Top 100:Visma-koncernen brager frem: Fire af selskaberne blandt de 100 dygtigste i Danmark

Artikel top billede

CPR-hacket: Danmark har mistet sin digitale uskyld

Leder: Der skulle et seriøst hackerangreb til, før Danmark vågnede op og forstod, at digitaliseringen af vores samfund medfører en række risici. Nu er alle i gang med at lægge afstand til ansvaret og problemerne.

Der skal lig på borde, før der sker noget

Den sandhed gør sig ofte gældende, når det drejer sig om trafiksikkerhed. 

Når vi taler digitaliseringen af vores samfund, er det data, der skal på bordet, før der sker noget - og helst meget fortrolige data som eksempelvis CPR-numre.

Når det pludselig kommer frem, at CPR-numre er havnet i de forkerte hænder, flokkes politikerne om at kræve undersøgelser og handling, ministre hives i samråd, og myndigheder og leverandører gør alt for at foregive, at man nu har styr på situationen igen

Digitaliseringen af Danmark har stået på i flere årtier. Særligt inden for det seneste årti har der været et massivt fokus på at digitalisere den tidligere så analoge kontakt med borgerne.

Den bagvedliggende drivkraft er, at man med it kan lette arbejdsgange og gøre samfundet mere effektivt.

Men kan det komme som en overraskelse for nogen, at det samtidig medfører en række risici; at systemer kan hackes, og at data kan havne i de forkerte hænder?

Det kan det åbenbart, for reaktionerne efter gårsdagens afsløring af, at CSC er blevet hacket, har været overvældende: Alle råber vagt i gevær, alle vil gøre noget. Og det skal helst være NU!

Men hvorfor egentlig? Hvorfor ikke for tre år siden?

Det eneste, der er nyt ved denne sag, er at vi nu i praksis har oplevet det, enhver med bare et minimalt kendskab til it har vidst hele tiden: At it aldrig er ufejlbarligt.

Stadig mange ubesvarede spørgsmål

Det kom torsdag frem, at Danmark har udstedt en udleveringsbegæring på den svenske Pirate Bay-stifter Gottfrid Svartholm Warg, og at en 20-årig dansk mand samtidig er varetægtsfængslet i foreløbig fire uger for at have hacket sig ind i politiets registre

Rigspolitiet vurderer, at op mod fire millioner CPR-numre kan være blevet downloadet og kopieret i forbindelse med hackerangrebene.

Måske er der også forsvundet mere, det vil efterforskningen vise. 

Hackerne fik hul igennem til CSC's datacenter, hvor de vigtige politi-data bliver opbevaret på en IBM-mainframe.

Om hackernes aktion kunne lade sig gøre på grund af CSC's manglende sikkerhed, på grund af mainframen fra IBM, på grund af sløseri hos Rigspolitiets eller på grund af politikernes manglende forståelse af, hvad et digitalt Danmark indebærer af risici - tja, det er svært at sige for nuværende.

Men sagen er naturligvis virkelig alvorlig. Som borger i et digitalt samfund bør man kunne stole på, at myndigheder og myndigheders it-leverandører har styr på sikkerheden.

Det har ikke været tilfældet i denne sag, men det er ikke der, den egentlige alvor ligger.

Her er det store tillidsbrud

Det store problem er, at der skulle gå så lang tid, før oplysningerne slap ud. Gerningsmændene slog ifølge politiet til i perioden fra april til august 2012.

Det var 2012!

Derefter blev dansk politi tippet ved en tilfældighed i januar 2013, hvorefter CSC blev sat i sving med at kigge efter ubudne gæster i uønskede sikkerhedshuller, som minsandten viste sig at være blevet misbrugt og opdaget ved tilfældigheder. 

Nu advarer politiet om, at borgerne skal "være opmærksomme på, om der pludseligt sker transaktioner - eksempelvis køb af varer i ens navn - som man ikke kender noget til."

Det er fint med den advarsel, men det er tankevækkende, at den først kommer nu - næsten et år efter angrebet fandt sted, og fem måneder efter at politiet begyndte at efterforske sagen.

Det er et eklatant tillidsbrud, at man som borger først får besked så sent i processen.

Forklaringer er der formentlig mange af, men tilbage står stadig, at konklusionen må være, at man som borger i Danmark ikke kan vide sig sikker på at få det at vide, hvis ens CPR-nummer er havnet i de forkerte hænder.

Systemer har altid huller

Samtidig er det vigtigt, at man husker på, at sårbarheder i CPR-registret ikke er noget nyt.

Man behøver faktisk slet ikke at være en hacker for at få adgang til de dybt personlige data, for vi har tidligere skrevet om, hvordan nogle kommuner sjusker med opbevaringen af CPR-numre på nettet.

Sidste år skrev vi ligeledes om et par it-studerende, der på bare to dage udviklede et program, der på baggrund af fødselsdato og adresse kunne skaffe en persons CPR-nummer med udgangspunkt i den CPR-validering, teleselskaberne på daværende tidspunkt benyttede i forhold til kunderne.

Og hvad med din kommunikation med eksempelvis banken og forsikringsselskabet. Sender du dit CPR-nummer via en helt almindelige webmail? Eller siger du det højt i telefonen uden at tænke på, hvem der sidder omkring dig i toget?

Tænk på, hvilke data man kan få adgang til simpelthen blot ved at stikke hovedet ned i naboens skraldespand. Eller hvad med de data, der ligger på de mange USB-nøgler, DVD'er, smartphones, tablets og lignende, der mistes i lufthavne og på banegårde hver eneste dag året rundt.

Har vi lært noget?

Ingen systemer er 100 procent sikre, når alt kommer til alt. Det gælder netbankerne, det gælder den digitale borgerservice, det gælder virksomhedernes it, det gælder vores egen lille pc på skrivebordet, og det gælder politiets systemer og de leverandører, der står bag.

Det bør ikke kunne komme som en overraskelse for nogen.

Der er sårbarheder lige så mange steder, som der er data, og risikoen for at blive udsat for identitetstyveri er derfor noget, der skal tages seriøst af både os som borgere og af de data-opbevarere, som vi bør kunne stole på.

Det skal helst ske, inden hackerne slår til, for da er det allerede for sent - som det har været tilfældet i den aktuelle sag, hvor millioner af danske CPR-numre er havnet i de forkerte hænder.

Danmark har mistet sin digitale uskyld. Forhåbentlig har det gjort os klogere.

Følg @kimstensdal på Twitter.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Keybalance A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Om SAP Excellence Day 2022

På SAP Excellence Day 2022 får du et kondenseret og prioriteret overblik, der gør det lettere at prioritere mellem de mange muligheder og informeret grundlag for at vælge til og fra. Du får viden om, hvilke muligheder de nye tilbud og services giver – men også om risikoen ved at vælge de nyeste løsninger fra. Samtidig får du senest opdaterede indsigt i SAPs egne planer for de kommende 2-3 år.

05. oktober 2022 | Læs mere


Sådan får du effektiv drift og udnytter de nye muligheder med Microsoft Dynamics 365

På denne konference kan du derfor få indblik i nyhederne i Microsoft Dynamics 365, erfaringer med udrulning af systemerne samt nyttig viden fra en række centrale leverandører om valgmulighederne i det omfattende system og erfaringerne ind til nu.

06. oktober 2022 | Læs mere


Cyber Security Strategy Trends 2022

Vi kan ikke komme uden om, at CISO'ens rolle bliver mere og mere markant i de fleste organisationer grundet det evigt omskftelige trusselsbillede. It-sikkerhed er forlængst blevet en forretningskritisk disciplin, hvor dele af og hele organisationer kan blive lagt ned af at enkelt angreb. Derfor ser vi nærmere på det overordnede trusselsbillede, og hvordan CISO'erne konstant skal være på vagt over for nye trusler.

11. oktober 2022 | Læs mere






CIO
Stort CIO-interview: Lemvigh-Müllers milliard-omsætning er blevet digital