Artikel top billede

CPR-hacket: Danmark har mistet sin digitale uskyld

Leder: Der skulle et seriøst hackerangreb til, før Danmark vågnede op og forstod, at digitaliseringen af vores samfund medfører en række risici. Nu er alle i gang med at lægge afstand til ansvaret og problemerne.

Der skal lig på borde, før der sker noget

Den sandhed gør sig ofte gældende, når det drejer sig om trafiksikkerhed. 

Når vi taler digitaliseringen af vores samfund, er det data, der skal på bordet, før der sker noget - og helst meget fortrolige data som eksempelvis CPR-numre.

Når det pludselig kommer frem, at CPR-numre er havnet i de forkerte hænder, flokkes politikerne om at kræve undersøgelser og handling, ministre hives i samråd, og myndigheder og leverandører gør alt for at foregive, at man nu har styr på situationen igen

Digitaliseringen af Danmark har stået på i flere årtier. Særligt inden for det seneste årti har der været et massivt fokus på at digitalisere den tidligere så analoge kontakt med borgerne.

Den bagvedliggende drivkraft er, at man med it kan lette arbejdsgange og gøre samfundet mere effektivt.

Men kan det komme som en overraskelse for nogen, at det samtidig medfører en række risici; at systemer kan hackes, og at data kan havne i de forkerte hænder?

Det kan det åbenbart, for reaktionerne efter gårsdagens afsløring af, at CSC er blevet hacket, har været overvældende: Alle råber vagt i gevær, alle vil gøre noget. Og det skal helst være NU!

Men hvorfor egentlig? Hvorfor ikke for tre år siden?

Det eneste, der er nyt ved denne sag, er at vi nu i praksis har oplevet det, enhver med bare et minimalt kendskab til it har vidst hele tiden: At it aldrig er ufejlbarligt.

Stadig mange ubesvarede spørgsmål

Det kom torsdag frem, at Danmark har udstedt en udleveringsbegæring på den svenske Pirate Bay-stifter Gottfrid Svartholm Warg, og at en 20-årig dansk mand samtidig er varetægtsfængslet i foreløbig fire uger for at have hacket sig ind i politiets registre

Rigspolitiet vurderer, at op mod fire millioner CPR-numre kan være blevet downloadet og kopieret i forbindelse med hackerangrebene.

Måske er der også forsvundet mere, det vil efterforskningen vise. 

Hackerne fik hul igennem til CSC's datacenter, hvor de vigtige politi-data bliver opbevaret på en IBM-mainframe.

Om hackernes aktion kunne lade sig gøre på grund af CSC's manglende sikkerhed, på grund af mainframen fra IBM, på grund af sløseri hos Rigspolitiets eller på grund af politikernes manglende forståelse af, hvad et digitalt Danmark indebærer af risici - tja, det er svært at sige for nuværende.

Men sagen er naturligvis virkelig alvorlig. Som borger i et digitalt samfund bør man kunne stole på, at myndigheder og myndigheders it-leverandører har styr på sikkerheden.

Det har ikke været tilfældet i denne sag, men det er ikke der, den egentlige alvor ligger.

Her er det store tillidsbrud

Det store problem er, at der skulle gå så lang tid, før oplysningerne slap ud. Gerningsmændene slog ifølge politiet til i perioden fra april til august 2012.

Det var 2012!

Derefter blev dansk politi tippet ved en tilfældighed i januar 2013, hvorefter CSC blev sat i sving med at kigge efter ubudne gæster i uønskede sikkerhedshuller, som minsandten viste sig at være blevet misbrugt og opdaget ved tilfældigheder. 

Nu advarer politiet om, at borgerne skal "være opmærksomme på, om der pludseligt sker transaktioner - eksempelvis køb af varer i ens navn - som man ikke kender noget til."

Det er fint med den advarsel, men det er tankevækkende, at den først kommer nu - næsten et år efter angrebet fandt sted, og fem måneder efter at politiet begyndte at efterforske sagen.

Det er et eklatant tillidsbrud, at man som borger først får besked så sent i processen.

Forklaringer er der formentlig mange af, men tilbage står stadig, at konklusionen må være, at man som borger i Danmark ikke kan vide sig sikker på at få det at vide, hvis ens CPR-nummer er havnet i de forkerte hænder.

Systemer har altid huller

Samtidig er det vigtigt, at man husker på, at sårbarheder i CPR-registret ikke er noget nyt.

Man behøver faktisk slet ikke at være en hacker for at få adgang til de dybt personlige data, for vi har tidligere skrevet om, hvordan nogle kommuner sjusker med opbevaringen af CPR-numre på nettet.

Sidste år skrev vi ligeledes om et par it-studerende, der på bare to dage udviklede et program, der på baggrund af fødselsdato og adresse kunne skaffe en persons CPR-nummer med udgangspunkt i den CPR-validering, teleselskaberne på daværende tidspunkt benyttede i forhold til kunderne.

Og hvad med din kommunikation med eksempelvis banken og forsikringsselskabet. Sender du dit CPR-nummer via en helt almindelige webmail? Eller siger du det højt i telefonen uden at tænke på, hvem der sidder omkring dig i toget?

Tænk på, hvilke data man kan få adgang til simpelthen blot ved at stikke hovedet ned i naboens skraldespand. Eller hvad med de data, der ligger på de mange USB-nøgler, DVD'er, smartphones, tablets og lignende, der mistes i lufthavne og på banegårde hver eneste dag året rundt.

Har vi lært noget?

Ingen systemer er 100 procent sikre, når alt kommer til alt. Det gælder netbankerne, det gælder den digitale borgerservice, det gælder virksomhedernes it, det gælder vores egen lille pc på skrivebordet, og det gælder politiets systemer og de leverandører, der står bag.

Det bør ikke kunne komme som en overraskelse for nogen.

Der er sårbarheder lige så mange steder, som der er data, og risikoen for at blive udsat for identitetstyveri er derfor noget, der skal tages seriøst af både os som borgere og af de data-opbevarere, som vi bør kunne stole på.

Det skal helst ske, inden hackerne slår til, for da er det allerede for sent - som det har været tilfældet i den aktuelle sag, hvor millioner af danske CPR-numre er havnet i de forkerte hænder.

Danmark har mistet sin digitale uskyld. Forhåbentlig har det gjort os klogere.

Følg @kimstensdal på Twitter.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Itm8 | IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere