Blogg

Här skriver vi om sånt som är av intresse för våra kunder. IT-säkerhetsfrågor som rör svenska företag, viktigt och intressant, och även om sådant som händer på Optinet!
Rune Wallgren
14 mar 2014

Kapning av IP-telefoniväxel, vad säger lagen och hur skyddar man sig?

ip-telefoniDå var det dags igen! Redan 2010 skrev vi om detta här, men nu var det alltså dags igen! Computer Sweden har uppmärksammat ett fall där ett företag i Stockholm fått sin telefonväxel kapad och sedan fått en faktura på en kvarts miljon från Telia. Ni hittar artikeln här! Företagets telefonväxel hade blivit kapad, hackad om ni så vill, och ringt upp ett betalnummer i Gambia!

Lite naivt kanske trodde vi att detta problemet var löst nu, 4 år senare men icke. Exakt samma problematik föreligger, inget har förändrats, varken tekniken, IT-säkerheten eller lagarna – skrämmande!

Som tur var, i fallet med kunden i Stockholm, tog Telia smällen, men vi anser att detta är fel, fel på flera sätt!

Vi gör en parallell med en biltjuv som stjäl en bil och sedan orsakar kostsam skada genom att köra in i ett skyltfönster, skall man då ställa bilägaren till svars för detta, givetvis inte! Om en inbrottstjuv bryter sig in i ert hem när ni är på semester och ringer upp ett betalnummer och lägger av luren, vill ni då betala den telefonräkningen när den kommer, knappast! Om du har din plånbok i din låsta bil, du får inbrott i bilen och tjuven använder ditt kreditkort, vill du då betala, nej såklart inte! Enda problemet här är att i det senaste exemplet så är du tvungen att gör det, att förvara sitt kreditkort i en låst bil betraktas nämligen som oaktsamt och du kommer inte att få någon ersättning!

Vi anser i fallet med IP-telefonkapning att Telia givetvis skall bestrida fakturan som de får från ”Gambiska televerket”, men det gör de tydligen inte, av någon anledning, utan kräver brottsoffret på pengarna. När de sedan går med på att stryka fakturan av ”goodwill”-skäl skall dom alltså framstå som ”the good guys”, när dom i själva verket mer borde vara ”the stupid guys” som i sin tur betalar till Gambia! Här är det mycket tydligt att avsaknaden på internationella rutiner utgör en klar brist i systemet!

Torsten Jaeckel, chef för polisens nya internetbedrägerigrupp håller med. Han uppmanar var och en som råkar ut för något liknande att bestrida, men antyder också att det kan finnas problem med de internationella kommunikationerna mot vissa länder!

Kan man då åka på hela smällen själv? Ja, det finns tyvärr definitivt en risk. I likhet med kreditkortet skulle man mycket väl kunna ha haft ett oaktsamt beteende i handhavandet eller installationen av sin telefonväxel och om en svensk domstol skulle komma fram till detta så kan man få ta hela kostnaden själv, trots att man är ett brottsoffer. Magnus Wiktorson, advokat på advokatfirman Nordia, tror inte att något liknande fall har prövats i Svensk domstol, men utesluter inte heller att konsulten som utfört installationen kan ställas till svar om installationen gjorts oaktsamt och sedan orsakat adekvat skada. En kvarts miljon får vi nog i sammanhanget betrakta som adekvat skada. Problemet här är då att man måste ta en rättstvist med sin egen leverantör, inte speciellt trevligt och dessutom mycket osäkert vart det leder!

Vem har då störst möjlighet att påverka framtiden för detta bedrägerifenomen. Anna Montelius, jurist på PTS (Post och Telestyrelsen) som tidigare granskat fenomenet med modemkapningar, anser liksom vi att det är Teleoperatören som har den största makten och de största påtryckningsmedlen. En skillnad dock jämfört med modemkapningsparallellen är att på den tiden var svenska företag inblandade och till slut gick dessa att stoppa genom bankerna och Postgirot, det är svårare nu när förövarna kan finnas var som helst på jordklotet.

Ytterligare en intressant faktor i sammanhanget är att Sverige ligger lite efter övriga länder här (inte så bra med tanke på att vi använder internet mest av alla). För att svensk polis skall utreda brott måste riksåklagaren besluta om rättshjälp och i Sverige ligger beloppsgränsen för detta på ca 200 000:-, mindre brott beaktas inte, i Schweiz ligger motsvarande nivå på 10 000:- Därför blir alltså Sverige ett tacksamt mål att utsätta för denna typ av bedrägerier!

Ok, ok, vi fattar, vad skall vi göra då för att skydda oss?
Ja, man kan göra olika saker, dels kan man spärra sin växel mot utlandssamtal eller för höga kostnader. Detta gör ni i samråd med er teleoperatör eller växelleverantör, men rent IT-säkerhetsmässigt måste växeln också skyddas. Det är väldigt vanligt att växelleverantören har en möjlighet att komma åt telefonväxeln för fjärradministration, i detta läge måste ni ifrågasätta hur säker den uppkopplingsmetoden är. Tyvärr kan det vara så att växelleverantören inte själva är medvetna om detta, deras IT-säkerhetskunskaper kan vara bristfälliga. Minsta säkerhetsnivå är någon form av VPN-tunnel (och där tappade vi alla tekniskt ointresserade läsare). Telefonväxeln skall alltså ligga på insidan av en brandvägg och inte kunna nås från internet på annat sätt än med en hög grad av IT-säkerhet.

Har ni fler frågor ang. själva IT-säkerhetsbiten är Optinet specialiserade på IT-säkerhetsanalyser och IT-säkerhetssystem så tveka inte att ta kontakt med oss, även om vi i princip anser att de internationella lagarna och rutinerna definitivt bör förändras, det är hög tid!

Lämna en kommentar