CPR-numre er ikke så hemmelige, som du tror

Får en hacker fat i dit CPR-nummer, kan han stjæle din digitale identitet. Får han fat i data for hele befolkningen, kan han i princippet lamme velfærdssamfundet. Der er bare ikke meget, vi kan gøre ved det.

ARKIVFOTO 2007 af EU-kørekort- Se RB 6/6 2013 11.16. Justitsministeren lover, at alle ressourcer sættes ind for at opklare hacker-angreb mod cpr-register. (Foto: Allan Lundgren/Scanpix 2013) Fold sammen
Læs mere
Foto: Allan Lundgren
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Gårsdagens afsløring af hackerangrebet mod dansk politi er kun en forsmag på, hvad vi kan forvente meget mere af i fremtiden.

I dag har hundredvis af danske virksomheder nemlig adgang til CPR-registret eller dele af det. Og her er risikoen for at få misbrugt sine oplysninger langt større end hos de offentlige myndigheder, advarer Henrik Lund Kramshøj, der er sikkerhedskonsulent hos IT-virksomheden Solido. I virksomhederne er oplysningerne nemlig ofte parret med kreditkortnumre, adresser og telefonnumre. I praksis er de fire unikke cifre slet ikke så hemmelige, som vi går og tror.

»Tidligere var skræmmeeksemplet på Big Brother-samfundet, at staten kunne overvåge dig og dine oplysninger, men det største problem for misbrug ligger hos virksomhederne. Hvis man ringer op med det rigtige navn, et CPR-nummer og en stemme, der matcher kønnet, er der pludselig helt åben adgang til alle ens privatoplysninger. Den praksis skal der dæmmes op for hurtigst muligt,« siger han.

I sig selv giver CPR-registret ganske vist ikke adgang til meget. Men koblet med andre databaser og personoplysninger kan de lamme livsnerven i den offentlige sektor.

Ud over CPR-registret findes der nemlig 400 andre danske personregistre, der sammenkæder vores personnumre med oplysninger om alt fra vores bankbetalinger og bibliotekslån over sygdomme og lægekonsultationer til kriminelle handlinger.

Og for IT-folk med godt hackerkendskab er det ingen sag at kombinere oplysninger fra forskellige registre og dermed udnytte oplysningerne kommercielt eller i andre sammenhænge.

Som borger er man f.eks. helt fortabt, hvis man får sit CPR-nummer misbrugt, for man kan ikke bare spærre nummeret på samme måde, som man kan med et stjålet dankort. Ifølge forbrugerrådet er det i dag ens eget ansvar at få ryddet op i problemerne og løfte bevisbyrden for, at man eksempelvis ikke selv har oprettet telefonabonnementer, optaget et forbrugslån eller er blevet fanget i kontrollen uden billet.

Fra undersøgelser i USA ved man, at identitetstyveri er en af de hastigst voksende kriminalitetsformer. Alligevel er det ikke noget, der fylder nævneværdigt i den danske debat, og det undrer Henrik Lund Kramshøj:

»I Danmark er vi mere sårbare end i andre lande, fordi vi er så gennemregistrerede fra fødsel til grav. Paradoksalt nok er vi samtidig ikke særlig gode til at beskytte oplysningerne. Hos virksomhederne er man helt utrolig åbne for, hvem der har adgange til personfølsomme data. Og myndighederne fortæller heller ikke borgerne så tydelig og klart som i andre lande, at de skal være opmærksomme på problemet,« siger han.

Digitalt vilkår

Spørgsmålet er, hvad vi egentlig kan stille op med risikoen som privatpersoner.

Stort set alt, hvad vi foretager os, efterlader jo elektroniske spor. Når vi er i kontakt med det offentlige, skriver noget på internettet, er indlagt på hospitalet, bruger smartphones, er på sociale medier, kører med en GPS i en bil eller betaler med et dankort, bliver det registreret og efterlader dermed en mulighed for, at ondsindede hackere kan samle informationerne, koble dem og misbruge dem til egen vinding.

Opsnapper en hacker oplysningerne for en enkelt person, kan han stjæle vedkommendes identitet. Lykkes det at samle data om alle borgerne, kan han i princippet lamme hele velfærdssamfundet.

Hvis alle elektronisk lagrede data om befolkningen blev slettet eller ændret, ville vores IT-systemer bryde sammen. Bankerne ville ikke kunne udbetale vores løn, lægerne ville ikke kunne klikke sig frem til vores sygdomsjournaler, Skat ville ikke ane hvor meget, der skulle opkræves.

»CPR-nummeret og de andre informationssystemer er det, der får vores moderne samfund til at hænge sammen og fungere,« siger Anders Albrechtslund, der forsker i overvågningsteknologier og IT-etik ved Aarhus Universitet.

»Og i et informationssamfund som vores er det nu engang et vilkår, at sådan nogle læk kan ske,« siger han.

Derfor kan det selvfølgelig være vigtigt at diskutere, hvilke oplysninger, der skal samles og lagres, og hvordan man teknisk kan sikre sig bedst. Men at forestille sig, at man ville kunne få samfundet til at fungere uden registre og overvågning er naivt, mener Albrechtsen:

»Det er med at finde balancen mellem det paranoide og det ligeglade. Men at dreje diskussionen hen på en generel frygt for overvågning vil være forfejlet. Det er et vilkår i vores samfund - det samme er risikoen for misbrug,« siger han.

Måske er det mest problematiske, at folk tror, at CPR-nummeret er hemmeligt og dermed bruger det som var det et password, siger Henrik Lund Kramshøj. I virkeligheden er nummeret faktisk ikke mere hemmeligt end f.eks. ens navn og hvis vi alle fik den forståelse, ville det også dæmme op for muligheden for misbrug, for så ville det ikke i samme grad blive brugt som autorisation i f.eks. private virksomheder.

»I virkeligheden ville det mest rationelle måske være at offentliggøre dem, så alle kan se, at man ikke kan stole på registret. På længere sigt ville det være bedre for Danmark, at folk vidste, at CPR-numre ikke er hemmelige,« siger han.