Artikel top billede

Sådan skal CPR sikres efter stort sikkerheds-hul

Efter to studerende blotlagde CPR-numre hos en række mobilfirmaer, har et af de eksponerede firmaer taget konsekvensen og ændret valideringsmetoderne.

Læs også:

It-studerende afslører kæmpe CPR-sikkerhedshul

CPR-hackere: Vi peger på et stort problem

Telebranchen har senest fået på puklen af to studerende fra IT-Universitetet for ikke at passe godt nok på kundernes CPR-numre.

Det demonstrerede de to studerende ved at udvikle et program, der kunne afsløre CPR-numre hos en stribe teleselskaber, der bruger personnummeret til validering i forbindelse med teleabonnementer.

Det har man nu taget konsekvensen af hos mobilfirmaet Call me.

"Sikkerhed i forbindelse med CPR-valideringen er en problemstilling, som vi har overvejet i nogen tid," fortæller Hanne Lindblad, der er administrerende direktør i teleudbyderen Call me, der har været et af målene for de to it-studerendes CPR-eksponering i sidste uge.

"Efter omtalen har vi besluttet, at ændre procedurerne til, at man kun kan indtaste CPR-nummeret tre gange. Det lukker det hul, som de to studerende demonstrerede," fortæller hun til Computerworld.

Samtidig har Call me endnu en stopklods på vej.

"Vi vil desuden implementere en såkaldt captcha-kode, et lille piktogram med en række tal eller bogstaver, der skal indtastes i et felt. Det vil dukke frem, hvis man indtaster det forkerte CPR-nummer en gang og er en løsning, som automatiserede forespørgsler har svært at komme uden om," siger Hanne Lindblad.

Er CPR-validering nødvendig?

Hvorfor bruger I overhovedet CPR-validering, nå der nu er et sikkerhedsproblem?

"Det gør vi, fordi der er en kredit involveret i kundeforholdet. Kunden betaler ikke forud, og da det er os, der lægger pengene ud, vil vi naturligvis også gerne have dem igen."

Har branchen ikke behov for en generel løsning i stedet for at hver udbyder kommer med sin egen løsning?

"Alle virksomheder, der giver en kredit til kunderne, har en interesse i en korrekt validering. Det er en balance mellem sikkerhed og brugervenlighed, og der kan sikkert skabes en bedre løsning, men det bør gøres på branche-niveau," lyder vurderingen fra Call me's direktør.

"Men det er vigtigt, at skabe et sikkert og trygt miljø, for tilliden er uhyre vigtig."

Læs også:

It-studerende afslører kæmpe CPR-sikkerhedshul

CPR-hackere: Vi peger på et stort problem




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Tieto Denmark A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere






CIO
Sådan tager top-CIO Pernille Geneser livtag med 40 år gamle it-systemer i Stark Group med 10.000 medarbejdere