Norge

Ekspert mener teleselskapene har vært for sløve med sikkerheten

Teleselskapene får på pukkelen for ikke å ha sikret kundene sine mot mobilavlytting. De største aktørene sparker ballen rett tilbake til myndighetene.

  • Andreas Bakke Foss
  • Per Anders Johansen
  • Lars Magne Hovtun
  • Nina Selbo Torset

Det er flere spørsmål enn svar om hvem som har ansvaret etter at Aftenposten kunne avsløre at hemmelige, falske basestasjoner – såkalte IMSI-catchere – med svært høy sannsynlighet er i bruk rundt flere sentrale bygninger i hovedstaden.

Spionutstyret kan overvåke bevegelsene til alle som beveger seg i de berørte områdene i Oslo sentrum.

Jon Christian Hillestad er teknisk direktør i TeliaSonera Norge. Carl Martin Nordby

Tirsdagens krisemøte mellom Post— og teletilsynet (PT), Nasjonal sikkerhetsmyndighet (NSM) og teleselskapene førte ikke til strakstiltak, på tross av at tilsynet varslet at de ville gå drastisk til verks etter Aftenpostens avsløringer.Nå får teleselskapene kritikk for ikke å ha gjort nok for å sikre sine kunder mot at mobilen deres kan bli avlyttet. De har det formelle ansvaret for at trafikkdata ikke kommer på avveie.

- Dette er en sak som ville kostet meg noen få timer med programmering, sier professor Josef Noll ved Universitetssenteret på Kjeller.

- Svært lett å lage en løsning

Noll er ekspert på mobilnett, trådløse systemer og sikkerhet. Han mener det vil være svært lett å lage en algoritme som gjør at basestasjonene oppdager falske basestasjoner i mobilnettet.

— Alle de mobile basestasjonene burde ha en varselfunksjon som sier fra når det dukker opp signaler fra IMSI-catchere i nabolaget.

- Er det virkelig så enkelt å beskytte mobilbrukerne?

— På papiret, ja. Du har jo en database over nabostasjonene. Da har du også et oppsett som viser styrken mellom de ulike stasjonene. Når det plutselig kommer opp signaler fra en IMSI-catcher som er så sterkt at basestasjonene må se det, så mener jeg det må være en overkommelig sak å oppdage slik form for mobilovervåking.

- Hvis det er så lett: Hvorfor har ikke teleselskapene gjort noe med dette for lengst?

— I mine øyne, rett og slett fordi man har vært for sløve med sikkerheten.

Tilsynet: – Teleselskapenes ansvar

Det var avdelingsdirektør Einar Lunde i Post- og teletilsynet som tok initiativ til tirsdagens krisemøte. Han er tydelig på at teleselskapene selv har et ansvar for å sikre sine kunder mot mobilavlytting.

- Teleselskapene har et ansvar for å levere tjenester med forsvarlig sikkerhet og tilstrekkelig beredskap, sier Lunde.

Avdelingsdirektør Einar Lunde i Post- og teletilsynet samlet sentrale aktører til krisemøte om mobilspionasje tirsdag. Jan T. Espedal

Han har nå bedt teleselskapene finne konkrete løsninger for hvordan de best kan unngå at mobilkunder blir utsatt for overvåking.— Men vi vil bistå dem i arbeidet. Vi ser blant annet på muligheten for at telefonen kan gjenkjenne og skille en falsk basestasjon fra en annen.

Lunde understreker at det norske mobilnettet så sent som i april i år ble kåret til verdens sikreste.

— Tilstanden er ikke dårlig, men det er en evig kamp om hele tiden å løfte sikkerheten til riktig nivå.

Teleselskap gjorde egne målinger

Aftenposten har vært i kontakt med teleselskapene som var til stede på tirsdagens krisemøte. De største aktørene på markedet, Telenor og Netcom, ble tidlig presentert for Aftenpostens funn.

De har henvist til myndighetene og uttalt at de ikke hadde registrert avvik i mobilnettet som kunne skyldes falske basestasjoner.

NSM gjorde undersøkelser på dagen da de ble presentert for Aftenposten funn. Nå bekrefter også de private teleselskapene langt på vei at målingene er reelle.

— Vi har gjort analyser av situasjonen og vurdert hvilke tiltak som er nødvendig, sier teknisk direktør i TeliaSonera Norge, Jon Christian Hillestad. Han svarer på vegne av Netcom og Chess, som sammen har over 1,65 millioner mobilkunder og vil av sikkerhetssyn ikke utdype hvilke tiltak det er snakk om.

- Har dere gjort egne undersøkelser i områdene hvor Aftenposten gjorde funn?

— Det er først og fremst myndighetenes ansvar, men vi har gjort egne undersøkelser. Vi har utstyr som kan avdekke noe aktivitet, men ikke det samme utstyret som Aftenposten har brukt. Jeg ønsker ikke å kommentere våre funn, men kan si at saken Aftenposten har avdekket fremdeles er svært alvorlig.

Telenor undersøker saken

Hillestad vil ikke kommentere når disse undersøkelsene ble gjort eller si noe om de konkrete resultatene.

— Det er viktig å understreke at bruk av IMSI-catchere er en veldig ressurskrevende aktivitet. Så jeg tror ikke hver enkelt skal gå rundt å bekymre seg for å bli avlyttet etter dette. Men det betyr ikke at det ikke er en alvorlig sak.

Informasjonssjef i Telenor Norge, Kristin Vetleseter. Presse

Telenor bekrefter også at de har gjort egne målinger etter avsløringene av de falske basestasjonene. De arbeider fortløpende med sikkerhetstiltak. — Telenor foretar kontinuerlige signalkvalitetsmålinger med mobilt utstyr. Disse data er undersøkt for å finne avvik som kan knyttes til saken, sier informasjonssjef Kristin Vetleseter i Telenor Norge.

Hun sier Telenor tar sitt ansvar på største alvor, og vil stille sin ekspertise til rådighet i det videre samarbeidet med myndighetene og bransjen for å løse sikkerhetsutfordringene med 2G-nettet.

— Men det er ikke teleoperatørenes ansvar å utføre kontrollvirksomhet av falske basestasjoner og IMSI-catchere. Dette er kriminell virksomhet, og politiets og myndighetenes ansvar, sier Vetleseter.

Tele 2 er blitt stilt en rekke konkrete spørsmål, men ønsker ikke å svare på disse. De gir en kort kommentar via sin kommunikasjonsdirektør på e-post: «Kundesikkerhet er svært viktig for Tele 2, og vi søker løpende å finne løsninger som ivaretar våre kunders sikkerhet på en best mulig måte innenfor rammen av teknologisk utvikling og hensynet til kvalitet og stabilitet i nettet vårt».

Ber Regjeringen avklare ansvarsfordelingen

Nestleder i Stortingets transport- og kommunikasjonskomité, Eirin Sund (Ap), synes det er viktig at Regjeringen kommer på banen og avklarer grenseoppgangene mellom private teleselskap og offentlige myndigheters rolle i overvåkingssaken.

– Det er klart at selskapene har et selvstendig ansvar for at vi skal ha et mest mulig sikkert nett og at vi har tjenester som er så gode og trygge som mulig for brukerne. Men de kan ikke løse denne problemstillingen alene, fordi det er offentlige myndigheters aktive rolle å forebygge og motvirke dette, sier hun til Aftenposten.

Abid Raja (V) i samme komité skriver i en SMS til Aftenposten at det er naturlig å undersøke hva teleselskapene har hatt av opplysninger om falske basestasjoner.

– Men det er muligens begrenset hva vi kan kreve av mobilselskapene. Dette er en sak for tilsyn og PST. Jeg tenker umiddelbart at det er de som har sviktet, med mindre mobilselskapene har visst og tiet om dette. Alle aktører bør tåle å få noen spørsmål og bør åpne for å gi nødvendige svar.

Se dokumentaren om mobilovervåkingen

Vi videreutvikler våre artikler.
Hjelp oss å forbedre, gi din tilbakemelding.
Gi tilbakemelding

Les mer om

  1. Mobilspionasje

Mobilspionasje

  1. NORGE

    Kraftig vekst i politiets rapportering om bruk av falske basestasjoner

  2. NORGE

    I flere år holdt politiet det hemmelig. Nå er antall varsler om bruk av falske basestasjoner i kraftig vekst.

  3. VERDEN

    Amerikanske myndigheter innrømmer funn av det de mistenker er falske basestasjoner i Washington

  4. ØKONOMI

    Konkurransetilsynet gir Telenor 788 millioner i gebyr