»Politikere bør tage it-sikkerhed alvorligt«

Det falder tilbage på politikerne selv, at de nu bliver udsat for et hackerangreb, hvor deres cpr-numre er blevet offentliggjort, siger ekspert i it-sikkerhed.

Det er forholdsvis ukompliceret at tilegne sig andre personers cpr-numre, og det er nemt efterfølgende at misbruge personnummeret til at finde personfølsomme oplysninger.

Sådan udlægger it-sikkerhedsekspert Henrik Kramshøj teksten, efter at Politiken torsdag kunne fortælle, at en hackergruppe har offentliggjort adresser, CPR-numre og mailadresser på 22 nuværende og tidligere SF'ere, som har været medlemmer af partiets folketingsgruppe i indeværende folketingsår.

Flere medier beskriver, at det er hackerkollektivet Anonymous Danmark, som står bag angrebet. Aktionen er ifølge gruppen selv en hævnaktion mod politikerne på Christiansborg, der onsdag denne uge vedtog loven om Center For Cybersikkerhed. Det er en omstridt lov, som er blevet skarpt kritiseret, fordi den giver Forsvarets Efterretningstjeneste adgang til e-mails og andre fortrolige oplysninger uden en dommerkendelse. Det klinger hult, når politikerne samtidig taler om at beskytte vores privatliv på internettet, mener hackerne.

Det er svært at vurdere, om hackerangrebet er kompliceret med den sparsomme information, der er indtil nu, forklarer Henrik Kramshøj. Dog forklarer han, at det generelt set er let at få fat på cpr-numre, hvis man har bare en smule teknisk snilde.

"Vores cpr-numre ligger spredt i hundredvis af registre. Når man først har fået fat i et cpr-nummer, kan man i høj grad misbruge det til at få udleveret personlige oplysninger. Det er ikke tilfredsstillende i dagens Danmark, at man bare kan misbruge cpr-numre, som man har lyst til. Derfor er det også en slags karma, at de nu rammer politikerne selv. Det må være et opråb om at få gjort noget ved problemet," siger Henrik Kramshøj.

Det er ikke første gang, at politikernes cpr-numre er blevet offentliggjort. I juni 2013 demonstrerede en it-studerende, hvor let det er at få adgang til cpr-numre i Danmark. Han mente, at CPR-numre i Danmark opfattes som noget hemmeligt og derfor kan bruges til at oprette kviklån, misbrug af opslysninger fra teleselskaberne. Ifølge den unge studerende var det forkert, og han satte derfor fokus på problemet ved at lave et "CPR-lotteri" med en række toppolitikeres personnumre, hvor man skulle gætte politikernes CPR-numre ud fra fire valgmuligheder.

Ifølge Politiken har hackerne i sagen med SF's folketingsmedlemmer er hackerne også i besiddelse af kodeord til politikernes mailkonti. Især det forhold understreger, at politikerne må prioritere sikkerheden højere, mener Henrik Kramshøj.

"Der ligger formentlig både fortrolige personsager, udkast til forskellige lovforslag og andre dokumenter, som offentligheden ikke bør se på en politikers mailkonto. Det burde politikerne tage alvorligt, men det virker det ikke til, at de gør," siger Henrik Kramshøj.

Han henviser til, at man relativt nemt kan finde ud af, om andre rent faktisk tilgår ens personlige mailkonti ved at benytte sig af såkaldt "two-step verification" som blandt andre Google, LinkedIn og Facebook tilbyder brugerne. Kort sagt er det en funktion, der sender en sms, når ens konto bliver brugt fra en computer, mobil eller tablet, som ikke er registreret.

"Hvis politikerne havde brugt det, ville de højst sandsynligt kunne se, hvis hackerne havde haft adgang til deres mailkonti," siger Henrik Kramshøj.