En eldre mann i dress snakker i telefonen ved et vindu. Utenfor ses bygninger og en blå himmel. Telefonen har flere klistremerker. (Bildebeskrivelsen er laget av en KI-tjeneste)
BEKYMRET: Advokat Kim Ellertsen ved Elden Advokatfirma mener feilen hos Telia kan avsløre taushetsbelagt informasjon om klienter. Foto: Gunnar Bratthammer / NRK

NRK avslørte onsdag at Telia-kunder har vært sporbare gjennom mobilene sine siden 2023.

Feilen har rammet både privat- og bedriftskunder, blant dem Elden Advokatfirma.

– Tilliten til Telia har fått seg en knekk, sier advokat Kim Ellertsen ved Elden Advokatfirma.

– Det er veldig bekymringsfullt at en sånn sårbarhet klarer å overleve i 2,5 år. Jeg er bekymret over manglende rutiner for gjennomgang av Telias egne systemer. Dette har vært for dårlig i denne perioden, sier Ellertsen.

Han understreker at advokatfirmaet har taushetsbelagt informasjon om sine klienter som de er lovpålagt å beskytte. Feilen hos Telia gjorde at slik informasjon kan bli avslørt, ifølge Ellertsen.

Forstår bekymringen

– Vi forstår godt at dette kan oppleves som bekymringsfullt. Samtidig er det viktig å understreke at avviket er lukket, og at kundene ikke trenger å foreta seg noe, skriver pressekontakt Daniel Barhom til NRK.

Telia sier alle deres bedriftskunder er informert om hendelsen, og teleselskapet er i «løpende dialog med dem».

– Videre er Datatilsynet og Nkom rutinemessig varslet, og vi vil samarbeide fullt ut med dem fremover, skriver Barhom.

Sammensatt digitalt trusselbilde

– Norge står overfor et mer alvorlig og sammensatt digitalt trusselbilde enn tidligere, der både statlige og ikke-statlige aktører opererer i det digitale rom.

Det sier Atle Tangen, avsnittsleder i PSTs avdeling for statlige trusselaktører, til NRK.

Feilen til Telia er et eksempel på hvordan ulike sårbarheter i kritisk infrastruktur kan gi tilgang til informasjon med verdi til andre lands etterretningstjenester, ifølge Tangen.

– Sårbarheter som gir innsikt i persondata og lokasjonsdata kan inngå i sammensatte operasjoner, med både etterretningsinnsamling og påvirkning som formål, legger han til.

I februar kom personopplysningene til en halv million privatkunder hos Telia på avveier, etter et datainnbrudd hos selskapet. Slike hendelser er del av det digitale trusselbildet, ifølge Tangen.

Ingen indikasjoner på utnyttelse

Telia tar feilen på «største alvor» og rettet den natt til tirsdag.

Selskapet understreker at det ikke er noen indikasjoner på at feilen har blitt utnyttet.

Telia kan ikke tallfeste hvor mange kunder som har vært direkte påvirket.

Barhom understreker at ikke alle mobilene med Telia-abonnent var sporbare, ettersom flere forutsetninger må være tilstede for å spore noen.

Det er heller ikke noen indikasjoner på at sårbarheten har vært utnyttet mot kunder i andre europeiske land, ifølge Barhom.

Les mer om det datainnbruddet fra vinter her: