Indbrud udstiller data-sårbarhed

Listetyvene, der har haft mulighed for at kopiere op mod fire millioner danskeres CPR-numre, pillede ved en af kronjuvelerne i den danske IT-sikkerhed. Det udhuler statens troværdighed og kan få store konsekvenser.

Der er et konstant kapløb mellem dem, der vil gennem elektroniske mure, og dem der forsøger at holde nettets listetyve ude – og hackerne, der fandt et smuthul ind til politiets computer, får nu Rådet for Digital Sikkerhed til at sætte spørgsmålstegn ved, hvor meget staten skal kunne lagre om os. Arkivfoto: Claus Bech Fold sammen
Læs mere
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Siden CPR-systemets oprettelse i 1968 har kritikere påpeget risikoen for, at de mange personfølsomme oplysninger, systemet indeholder, kunne falde i de forkerte personers hænder. Det kunne Rigspolitiet i går offentliggøre måske er tilfældet, i hvad der tegner til at være danmarkshistoriens største hacker-sag.

CPR-numre på de mere end fire millioner danskere med kørekort er formentlig blandt de enorme mængder data, som hackere over fem måneder i 2012 downloadede fra en af CSCs hovedcomputere, der indeholder politiets kørekortregister, hvor CPR-numrene indgår.

Nyheden kommer ikke bag på IT-advokat Martin von Haller Grønbæk fra det internationale advokatfirma Bird & Bird.

»Det måtte jo komme på et tidspunkt. Vi har talt om det her i mange år, og der måtte jo komme et tidspunkt, hvor der var nogle, der fandt et hul igennem. Der foregår, og har altid foregået, et konstant kapløb mellem dem, der vil kompromittere de her systemer, og dem, der prøver at sikre dem,« siger Martin von Haller Grønbæk.

Et afgørende nummer

Det får formanden for Rådet for Digital Sikkerhed, Birgitte Kofod Olsen, til at opfordre til, at vi genovervejer, hvor mange oplysninger, der skal være knyttet til vores CPR-numre, og hvad numrene skal give adgang til.

»Som borgere bliver vi meget sårbare, hvis sikkerheden omkring numrene ikke er i orden. Med ét nummer kan man gå ind og finde alt om os. Der er selvfølgelig nogle begrænsninger på, hvad man må få adgang til, men nummeret er den nøgle, der låser op til alt, hvis den rigtige bruger det. Derfor synes jeg, at det er på tide, at vi tager nogle diskussioner om, hvor mange oplysninger det offentlige skal have om os, som kan henføres til vores person,« siger Birgitte Kofod Olsen.

Nem at bryde

I mange tilfælde er der knyttet ekstra sikkerhedsforanstaltninger til CPR-numrene. Det gælder bl.a. Nem-ID, hvor alle borgere laver sig en personlig kode og får udleveret et nøglekort, men der er også steder, hvor CPR-numeret i sig selv er nok. I april viste TV 2, at de ved hjælp af et computerprogram kunne skaffe økonomi- og indenrigsminister Margrethe Vestagers CPR-nummer på mindre end to minutter og derefter foretage et lån på 50.000 kroner på nettet.

Ifølge IT-advokat Martin von Haller Grønbæk er muligheden for identitetstyveri ikke den største trussel ved sagen fra sidste år.

»Det, vi skal holde os for øje nu, er, hvad den reelle skade er. Er der nogle, der er døde af det, og hvor mange må gå fra hus og hjem. Først derefter kan vi vurdere, hvor slemt det i virkeligheden er,« siger han og påpeger, at den største skade formentlig kommer til at ske på tilliden til de offentlige IT-systemer.

»Der, hvor angrebet rammer hårdest, er på systemernes troværdighed, for hvis den ryger, så får det en enorm samfundsmæssig konsekvens. Lige så snart der bliver skrevet om det her i pressen og så videre, så stiger sikkerhedsudgifterne, og der kommer til at ske tab, fordi virksomheder og borgere ikke tør bruge systemerne. Den største taber i sager som den her er samfundet,« siger han.