Allerførst tak til Rasmus Theede fra KMD for at have sendt IT-sikkerhedsstafetten videre til mig med spørgsmålet: Skal CPR-nummeret overhovedet bruges til at autentificere borgere og hvis ikke, hvad er alternativet?
Den første del af det spørgsmål er heldigvis nemt at svare på: svaret er klart nej! Inden vi ser på hvorfor det er sådan, så lad mig lige for en sikkerheds skyld forklare, at når vi taler om at autentificere en borger med CPR-nummer, så mener vi at vi bruger CPR-nummeret som legitimation: i stedet for at bede en person om at vise pas for at tjekke hvem han er, så beder man om hans CPR-nummer. Hvis man nu, f.eks. via CPR registeret, kan tjekke at CPR-nummeret passer med det navn og den adresse personen opgav, så tror man på, at vi har fat i den rigtige person.
Det er klart for enhver, at det her kun virker hvis CPR-numrene er private: det må kun være mig, der kender mit nummer. Hvis jeg kan få fat i en andens persons CPR-nummer, kan jeg udgive mig for ham/hende over for enhver, der bruger CPR-numre som legitimation. Det kan f.eks. føre til, at man kan bestille varer i den andens navn, får adgang til services på nettet på et falsk grundlag og mange andre grimme ting. Det er det, vi kender som identitetstyveri.
Læs også: Aarhus Kommune har ved en fejl lagt CPR-numre på internettet
Nu er der bare den hage ved det, at CPR-numrene overhovedet ikke er private! De har aldrig været det, og bliver det heller ikke som systemet ser ud i dag. Det er nemlig alt for nemt at gætte CPR-nummeret for en bestemt person. Hvis man kender fødselsdato og køn, vil 40 gæt i gennemsnit være nok til at finde den rigtige løsning. I mange tilfælde er det ikke engang nødvendigt at gætte. Der findes mange rapporter om sorte markeder for personoplysninger som kreditkortdata og CPR-numre. Her kan enhver for små penge købe personlige data, der bagefter kan bruges til identitetstyveri.
At bruge CPR-nummeret som legitimation er derfor rystende usikkert. Den eneste løsning er, at enhver, der bruger den metode, holder op med det så hurtigt som overhovedet muligt. Hvis man ikke kan få adgang til noget interessant alene ved at kende CPR-nummeret, så gør det ikke noget, at numrene i praksis ikke er hemmelige.
Et CPR-nummer bør i virkeligheden betragtes som en slags journal- eller telefonnummer, og i den egenskab tjener CPR-numrene et udmærket formål - det har bare ikke noget med legimitation at gøre. De blev oprindelig indført fordi det er en fordel, at man kan skelne mellem folk, der hedder det samme: der sikkert mange, der hedder Jens Hansen, og hvis en af dem skylder i skat, må vi hellere kunne holde styr på hvem af dem, vi skal gå efter.
Den anvendelse kræver ikke at personnumrene er hemmelige, men blot at vi har et unikt nummer til hver person. Ikke desto mindre blev borgerne helt fra starten opfordret til at holde deres personnumre for sig selv, og det er sikkert derfor misforståelsen er opstået: at CPR-numrene er hemmelige og derfor kan bruges til legitimation. Men det er altså ikke tilfældet.
Hvad er alternativet?
Hvad skal vi så stille op I forhold til autentifikation af borgere? Først kan vi bemærke at vi jo i Danmark har et system, der netop er beregnet til at autentificere borgere, nemlig NemID. Selvom NemID er en løsning, mange elsker at skælde ud på, så er der ingen som helst tvivl om, at det er langt sikrere end CPR-nummeret.
En anden metode bruges af mange offentlige myndigheder, energiselskaber m.fl.: hvis man har en verificeret adresse for en person, sender man et password i et fysisk brev til denne adresse, og passwordet skal så bruges til at logge ind senere. Antagelsen er at brevet faktisk når frem til den rigtige person, og ikke andre. Den adresse man bruger, kan verificeres med hjælp fra CPR registeret. De tilbyder allerede services til den slags, der ikke kræver at man beder folk om at opgive deres CPR-nummer. Noget tilsvarende kan lade sige gøre mere effektivt, hvis man kan få fingre i en verificeret mailadresse eller et verificeret telefonnummer. Man kan så sende en kode i en mail eller en SMS, også dette er en metode, vi ser brugt mange steder.
På lidt længere sigt er der god grund til at være opmærksom på den udvikling, der vil ske omkring den næste generation af NemID. Den nuværende kontrakt som NETS har for drift af NemID, udløber om få år, og der vil meget snart komme en debat om, hvordan efterfølgeren skal se ud. Mange vil stille krav om større fleksibilitet, og om muligheder for, at brugere kan have forskellige brugernavne og profiler i forskellige sammenhænge. På den måde kan man gøre det svært eller ligefrem umuligt at samle et komplet billede af en persons aktiviteter, og dermed kan man beskytte privatlivets fred bedre.
Stafetten går til Peter Kruse
Jeg vil gerne sende stafetten videre til Peter Kruse fra CSIS, og spørge: NETS har været under hård kritik efter Se og Hør skandalen for mangelfuld intern sikkerhed. Og der er vel næppe heller tvivl om, at alt ikke har været håndteret som det skulle. Men er det her en enlig svale? Står det generelt skidt til med danske virksomheders IT-sikkerhed – og bliver det bedre eller værre af, at man outsourcer opgaver med at håndtere kritiske data?
