IT-sikkerheden halter: »Personfølsomme oplysninger om danskere florerer i den mørke underverden«

»Man må bestemt regne med, at der ligger personfølsomme oplysninger på nogle danskere, der er til salg på det sorte marked,« siger formand for IT-Politisk Forening.

»Identitetstyveri er en hastigt voksende kriminalitetsform, og sundhedsoplysninger er i særlig høj kurs,« siger Jesper Lund, formand for IT-Politisk Forening, om behovet for bedre IT-sikkerhed i det offentlige. Fold sammen
Læs mere
Foto: Reporters

Vi udleverer flere og flere digitale personoplysninger om os selv til det offentlige. Samtidig er omfanget af IT-kriminalitet og identitetstyveri eksploderet. Som danskere er vi særligt udsatte, mener formand for IT-politisk Forening, Jesper Lund.

»Identitetstyveri er en hastigt voksende kriminalitetsform, og sundhedsoplysninger er i særlig høj kurs. Jo mere man ved om dig, jo større er sandsynligheden for, at man kan give sig ud for at være dig. Sundhedsoplysninger er desuden nyttige til afpresning af folk i sårbare situationer.«

Er vi særligt udsatte?

»Vi er særligt udsatte på den måde, at en stor del af det arbejde, de kriminelle laver, når de skal lave identitetstyveri eller samle en profil med henblik på at afpresse, er lavet på forhånd, fordi alle oplysninger er samlet i centrale databaser i Danmark.«

»I andre lande vil man typisk have decentrale systemer, og man bruger ikke automatisk dit CPR-nummer i alle systemer, som det er tilfældet i Danmark. Det har vi gjort i Danmark siden 1970erne, og alle tager det i dag for givet, men der er lande, hvor der nærmest udbryder revolution, hvis man foreslår, at borgerne skal have samme borgernummer i skats systemer som i sundhedssystemerne.«

Hvad kan man gøre?

»På den korte bane, så er det offentlige nødt til at tage datasikkerhed mere alvorlig. Der er mange steder en lidt for løsagtig holdning til sikkerheden. Der kommer simpelthen for mange fejl ud af det offentlige system, hvor det tyder på, at man har sjusket med sikkerheden.«

»På længere sigt tror jeg, man må kigge på de store centrale databaser, hor alt er registreret med CPR-nummer, for det vil skabe risiko for at noget sådan sker. Tiden er på mange måder løbet fra systemet med CPR-nummeret. Det var smart i 1970, hvor det var en effektiv indgang til lokale systemer, men nu er problemet, at systemerne er blevet bundet sammen, og det gør, at selv hvis databaserne var decentrale, så har de samme unikke nøgle i form af CPR-nummeret, og så er det meget let at kæde sammen.«

»Man burde skabe en situation, hvor en borger har flere virtuelle identiteter i de offentlige systemer. Det kan man gøre på flere niveauer. Det kan ske på flere niveauer - gennem pseudonymisering eller flere id-koder. Det er kun dig som borger, der har brug for at kende sammenhængen mellem din identitet hos SKAT og din identitet hos sundhedssystemet.«

Hvad tænker du om for at indføre sanktioner i det offentlige?

»Man kunne godt overveje, om ikke tiden er kommet til muligheden for bøder til offentlige institutioner, der ikke har styr på sikkerheden. Det kan først og fremmest have en præventiv effekt. Er der økonomiske incitamenter bag den dårlige sikkerhed, så vil truslen om bøder i det mindste fjerne det incitament. Muligheden for bøder vil formentlig påvirke, når man udarbejder sikkerhedsløsninger.«

»Det er naivt at tro, at der ikke allerede florerer personfølsomme oplysninger om danskere i den mørke underverden. Man må bestemt regne med, at der ligger personfølsomme oplysninger på nogle danskere, der er til salg på det sorte marked. Jeg undrer mig altid over, at i de tilfælde, vi hører om hackerangreb, så udtaler man altid med usvigelig sikkerhed, at hackerne fik ikke noget, de kunne bruge. Men sandheden er, at det kan man ikke vide. Er du blevet kompromitteret, så ved du ikke, hvad de har taget. Det er jo selve hovedreglen.«