I Norge er tusindvis af personers navne og CPR-numre faldet i hænderne på en hacker, som udnyttede to hul i it-sikkerheden. Selv direktøren for det norske Datatilsyn mistede sin identitet og fik således et mobilabonnement tilsendt med posten, som hackeren havde bestilt til ham.
I Danmark behøver vi dog ikke være ængstelige.
Hvis blot virksomheder, offentlige myndigheder og foreninger overholder persondataloven, så er danskernes personlige oplysninger i sikre hænder.
Den norske hackeren havde skrevet et program, der dannede personnumre på baggrund af fødselsdatoer. Numrene blev derpå testet hos den offentlige tjeneste altinn.no, så ikke-gyldige numre blev sorteret fra. De gyldige personnumre blev derpå brugt til at hacke Tele2s norske hjemmeside, hvor gerningsmanden foretog et kreditcheck, hvilket gav automatisk opslag i folkeregistret. På den måde fik hackeren adgang til navn, adresse og kreditvurdering hos hver indehaver af personnumrene.
Men i Danmark kan man ikke bruge CPR-nummeret alene til at få oplysninger med.
»Det er vigtigt for både offentlige myndigheder og private virksomheder, at man ikke må basere sin datasikkerhed på personnummeret som adgangskode til de oplysninger, der er registreret,« står der på Datatilsynets hjemmeside.
Derfor vurderer IT-sikkerhedseksperten Ole Schmitto fra eSec, at en hacker ikke på samme måde vil kunne trække personlige oplysninger ud via danske hjemmesider.
I øvrigt oplyser direktør i Datatilsynet, Janni Christoffersen, at Datatilsynets rolle ikke er at holde opsyn med alle hacker-trusler, men at sikre ordentlige retningslinjer for behandling af fortrolig data i Danmark.
»Best practice rykker sig hele tiden, og der følger vi jo med i udviklingen,« fortæller Janni Christoffersen, der dog ikke selv har nogen kommentarer til, om den norske sag ville kunne gentage sig i Danmark.
Men Datatilsynet vil tage kontakt til de norske kolleger for at se, om der er noget, tilsynet kan lære af den norske sag.
»Selv om Datatilsynet prøver at følge med med, kan tilsynet selvsagt ikke holde opsyn med, om alle danske hjemmesider lever op til loven,« beretter Janni Christoffersen. Hvis Datatilsynet får henvendelser, om at sikkerheden på en hjemmeside ikke er i orden, så reagerer Datatilsynet på dem.
»Men hvis der er tale om decideret hackning - altså at nogen har ondt i sinde og vil hacke - så er det i første
omgang en sag for politiet,« siger Janni Christoffersen. Datatilsynet vil derudover
Datatilsynet får dog løbende henvendelser fra virksomheder og myndigheder, der vil have oplysninger om persondataloven. Her giver Datatilsynet vejledning og sørger blandt andet for, at CPR-nummeret ikke bliver brugt som et password til at få andre oplysninger.
På sin hjemmeside har det norske Datatilsyn fortalt, at det er afhængigt af årvågne borgeres hjælp, hvis de skal finde sikkerhedssvagheder ved norske hjemmesider.
Premium
Sådan har Region Syddanmark forbedret sin it-sikkerhed