Artikel top billede

CPR-hacket: Danmark har mistet sin digitale uskyld

Leder: Der skulle et seriøst hackerangreb til, før Danmark vågnede op og forstod, at digitaliseringen af vores samfund medfører en række risici. Nu er alle i gang med at lægge afstand til ansvaret og problemerne.

Der skal lig på borde, før der sker noget

Den sandhed gør sig ofte gældende, når det drejer sig om trafiksikkerhed. 

Når vi taler digitaliseringen af vores samfund, er det data, der skal på bordet, før der sker noget - og helst meget fortrolige data som eksempelvis CPR-numre.

Når det pludselig kommer frem, at CPR-numre er havnet i de forkerte hænder, flokkes politikerne om at kræve undersøgelser og handling, ministre hives i samråd, og myndigheder og leverandører gør alt for at foregive, at man nu har styr på situationen igen

Digitaliseringen af Danmark har stået på i flere årtier. Særligt inden for det seneste årti har der været et massivt fokus på at digitalisere den tidligere så analoge kontakt med borgerne.

Den bagvedliggende drivkraft er, at man med it kan lette arbejdsgange og gøre samfundet mere effektivt.

Men kan det komme som en overraskelse for nogen, at det samtidig medfører en række risici; at systemer kan hackes, og at data kan havne i de forkerte hænder?

Det kan det åbenbart, for reaktionerne efter gårsdagens afsløring af, at CSC er blevet hacket, har været overvældende: Alle råber vagt i gevær, alle vil gøre noget. Og det skal helst være NU!

Men hvorfor egentlig? Hvorfor ikke for tre år siden?

Det eneste, der er nyt ved denne sag, er at vi nu i praksis har oplevet det, enhver med bare et minimalt kendskab til it har vidst hele tiden: At it aldrig er ufejlbarligt.

Stadig mange ubesvarede spørgsmål

Det kom torsdag frem, at Danmark har udstedt en udleveringsbegæring på den svenske Pirate Bay-stifter Gottfrid Svartholm Warg, og at en 20-årig dansk mand samtidig er varetægtsfængslet i foreløbig fire uger for at have hacket sig ind i politiets registre

Rigspolitiet vurderer, at op mod fire millioner CPR-numre kan være blevet downloadet og kopieret i forbindelse med hackerangrebene.

Måske er der også forsvundet mere, det vil efterforskningen vise. 

Hackerne fik hul igennem til CSC's datacenter, hvor de vigtige politi-data bliver opbevaret på en IBM-mainframe.

Om hackernes aktion kunne lade sig gøre på grund af CSC's manglende sikkerhed, på grund af mainframen fra IBM, på grund af sløseri hos Rigspolitiets eller på grund af politikernes manglende forståelse af, hvad et digitalt Danmark indebærer af risici - tja, det er svært at sige for nuværende.

Men sagen er naturligvis virkelig alvorlig. Som borger i et digitalt samfund bør man kunne stole på, at myndigheder og myndigheders it-leverandører har styr på sikkerheden.

Det har ikke været tilfældet i denne sag, men det er ikke der, den egentlige alvor ligger.

Her er det store tillidsbrud

Det store problem er, at der skulle gå så lang tid, før oplysningerne slap ud. Gerningsmændene slog ifølge politiet til i perioden fra april til august 2012.

Det var 2012!

Derefter blev dansk politi tippet ved en tilfældighed i januar 2013, hvorefter CSC blev sat i sving med at kigge efter ubudne gæster i uønskede sikkerhedshuller, som minsandten viste sig at være blevet misbrugt og opdaget ved tilfældigheder. 

Nu advarer politiet om, at borgerne skal "være opmærksomme på, om der pludseligt sker transaktioner - eksempelvis køb af varer i ens navn - som man ikke kender noget til."

Det er fint med den advarsel, men det er tankevækkende, at den først kommer nu - næsten et år efter angrebet fandt sted, og fem måneder efter at politiet begyndte at efterforske sagen.

Det er et eklatant tillidsbrud, at man som borger først får besked så sent i processen.

Forklaringer er der formentlig mange af, men tilbage står stadig, at konklusionen må være, at man som borger i Danmark ikke kan vide sig sikker på at få det at vide, hvis ens CPR-nummer er havnet i de forkerte hænder.

Systemer har altid huller

Samtidig er det vigtigt, at man husker på, at sårbarheder i CPR-registret ikke er noget nyt.

Man behøver faktisk slet ikke at være en hacker for at få adgang til de dybt personlige data, for vi har tidligere skrevet om, hvordan nogle kommuner sjusker med opbevaringen af CPR-numre på nettet.

Sidste år skrev vi ligeledes om et par it-studerende, der på bare to dage udviklede et program, der på baggrund af fødselsdato og adresse kunne skaffe en persons CPR-nummer med udgangspunkt i den CPR-validering, teleselskaberne på daværende tidspunkt benyttede i forhold til kunderne.

Og hvad med din kommunikation med eksempelvis banken og forsikringsselskabet. Sender du dit CPR-nummer via en helt almindelige webmail? Eller siger du det højt i telefonen uden at tænke på, hvem der sidder omkring dig i toget?

Tænk på, hvilke data man kan få adgang til simpelthen blot ved at stikke hovedet ned i naboens skraldespand. Eller hvad med de data, der ligger på de mange USB-nøgler, DVD'er, smartphones, tablets og lignende, der mistes i lufthavne og på banegårde hver eneste dag året rundt.

Har vi lært noget?

Ingen systemer er 100 procent sikre, når alt kommer til alt. Det gælder netbankerne, det gælder den digitale borgerservice, det gælder virksomhedernes it, det gælder vores egen lille pc på skrivebordet, og det gælder politiets systemer og de leverandører, der står bag.

Det bør ikke kunne komme som en overraskelse for nogen.

Der er sårbarheder lige så mange steder, som der er data, og risikoen for at blive udsat for identitetstyveri er derfor noget, der skal tages seriøst af både os som borgere og af de data-opbevarere, som vi bør kunne stole på.

Det skal helst ske, inden hackerne slår til, for da er det allerede for sent - som det har været tilfældet i den aktuelle sag, hvor millioner af danske CPR-numre er havnet i de forkerte hænder.

Danmark har mistet sin digitale uskyld. Forhåbentlig har det gjort os klogere.

Følg @kimstensdal på Twitter.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Edgemo A/S
Salg af hardware, software, konsulentydelser og services inden for virtualiseret infrastruktur, cloud, datacenteret og unified communication.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


Sats på DevOps og få mere kvalitet og hastighed i både udvikling og drift

Der er mange potentielle gevinster at hente ved at satse på DevOps. Rigtig mange danske virksomheder er allerede i gang. På denne konference får du et indblik i mulighederne med DevOps og gode råd, der kan sikre dig succesen.

02. november 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere