I fjor høst ble det avdekket sårbarhet i Telenors mobiltaleposttjeneste.
«I denne saken har det vært mulig å urettmessig logge seg inn og få tilgang til Telenor-kunders talepostkasse. Dette innebærer fare for at tjenesten er blitt misbrukt, eksempelvis for avlytting av innkomne talepostmeldinger eller ved å endre den personlig velkomstmeldingen», fastslår Nasjonal kommunikasjonsmyndighet (Nkom) i et brev til Telenor.
Totalt var 1,3 millioner av Telenors norske mobilkunder utsatt for at utenforstående kunne komme inn på deres taleposttjeneste.
– Vi har tatt lærdom av saken og svakheten i systemet ble umiddelbart korrigert, sier Petter Børre Furberg, administrerende direktør i Telenor Norge.
«Manglende tekniske tiltak»
Nkom retter knusende kritikk i brevet til Telenor om taleportaltjenesten selskapet tilbød mobilkunder.
«Gjennom relevante risikoanalyser ville Telenor blitt kjent med sårbarheten som var knyttet til talepostkassetjenesten og kunne iverksatt adekvate sikkerhetstiltak. Sårbarheten var således et resultat av manglende tekniske tiltak som sørger for tilfredsstillende sikkerhetsnivå med hensyn til konfidensialitet og integritet for talepostkassetjenesten. Det bemerkes i denne sammenheng at andre aktører som tilbyr talepostkassetjenester ikke har den samme sårbarheten som Telenor. Ved den svakheten som forelå fulgte ikke Telenor opp kravet til å gjennomføre nødvendige sikkerhetstiltak for vern av kommunikasjon og data i egne ekomnett- og tjenester», heter det i brevet Nkom har sendt til Telenor.
Det er den såkalte angrepsteknikken «spoofing» mobilkundene kunne blitt rammet av.
«Telenor var godt kjent med sårbarheter knytter til spoofing og skiftet blant annet system for talepostkassetjeneste 28. mai 2014. Videre har Telenor gjennomført tester for å sikre seg mot spoofing. Disse testene har imidlertid ikke identifisert de sårbarhetene som er avdekket i denne saken. Nkom legger således til grunn at det har foreligget sårbarhet ved talepostkassetjeneste gjennom flere år», heter det i brevet fra Nkom.
Furberg opplyser at selskapet har tatt problemet alvorlig.
– Telenor er svært opptatt av sikkerhet for våre kunder og jobber systematisk og grundig med dette. For talesvartjenesten har Telenor gjennomført nødvendige sikkerhetstiltak basert på kunnskap fra eget sikkerhetsarbeid og anbefalinger i bransjen. Straks Telenor fikk informasjon om den kombinasjonen av teknikker som var nødvendig for å omgå beskyttelsene som allerede var implementert, ble det gjennomført umiddelbare tiltak. Dette er en naturlig del av Telenors kontinuerlige sikkerhetsarbeid, sier Furberg.
«Vil akseptere det»
Nkom har vedtatt at Telenor må betale et overtredelsesgebyr på 1,5 millioner kroner som følge av sårbarheten ved talepostkassetjenesten. Telenor la inn protest da Nkom varslet selskapet om et gebyr i saken.
«Som en stor profesjonell aktør bærer Telenor et betydelig ansvar for å sikre kundenes konfidensialitet og integritet ved bruk av ekomtjenester. I denne saken foreligger det brudd på sentrale bestemmelser over flere år», slår Nkom fast.
Ikke enig med Nkom
Telenors norgessjef understreker at selskapet ikke er enig med Nkoms konklusjon i saken.
– Vi er uenig med Nkom i begrunnelsen i forelegget, men vi kommer til å akseptere gebyret, sier Furberg.
– Er det fordi dere ikke vil ha mer støy om saken?
– Vi har protestert, og er ikke blitt hørt. Da føler vi at vi bør la saken ligge. Telenor har etter en helhetsvurdering likevel ikke sett det hensiktsmessig å bruke ytterligere ressurser på å forfølge Nkoms vedtak, og vil derfor ikke påklage vedtaket, sier Furberg.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.