Artikel top billede

Sikkerhedsekspert: Her er en stensikker afløser for CPR

CPR-nummeret kan blive afløst inden for nær fremtid af en digital ID-løsning. Læs her, hvad sikkerhedsprofessor foreslår som en sikker legitimations-afløser for det 45 år gamle CPR-nummer.

Danskernes ti-cifrede CPR-nummer har i de seneste år fået kraftige skud for boven som en usikker og dermed elendig legitimationssmulighed.

Elendigheden skyldes blandt andet, at CPR-nummeret har opnået en form for pseudo-hemmelig status, som bliver brugt til adgangs-ID over for banker og offentlige myndigheder uden anden legitimation.

Således kan man eksempelvis tiltuske sig meget personlige oplysninger, hvis man har stjålet/fundet et sygesikringsbevis eller andet, hvor der står et CPR-nummer på.

Der skal en kønsoperation til for at få udskiftet CPR-nummeret, og det gør absolut ikke sagen bedre, at hackere stjal omkring fire millioner CPR-numre sidste år.

En af kritikerne af den nuværende brug af CPR-nummeret som legitimation er professor Ivan Bjerre Damgård fra Institut for Datalogi ved Aarhus Universitet.

"Jeg mener ikke, at CPR-nummeret skal forsvinde, for det offentlige har jo stadig brug for at identificere borgere med det samme navn, men vi skal holde op med at kunne bruge CPR som legitimation over telefonen eller i mødet med en bankrådgiver, som man ikke kender på forhånd," siger Ivan Bjerre Damgård til Computerworld.

Løsningen er ny NemID

Ivan Bjerre Damgård har specialiseret sig inden for kryptering og it-sikkerhed, og han påpeger, at en mulig og ganske sandsynlig afløser for nutidens CPR-numre kunne være den næste generation af NemID.

"Man kan sige meget om NemID i dag, men hvis man gik over til det i morgen, der hvor man nu bruger legitimation med CPR, så ville det allerede være en forbedring. Jeg mener dog, at vi skal tænke lidt videre end det nuværende NemID," siger Ivan Bjerre Damgård.

Han fortæller, at i dag har udstederen af NemID-certifikatet, hvilket vil sige Nets, mulighed for at slå op i CPR-registret og kan dermed i princippet videregive visse personlige oplysninger om NemID-brugere.

"Der er ingen systemmæssige forhindringer i, at folkene bag NemID kan gøre den slags, selvom de jo selvfølgelig kan love os, at det gør de ikke," siger Ivan Bjerre Damgård.

"Derfor mener jeg, at det vil være yderst fornuftigt, hvis det i en ny generation af NemID var borgernes selv, der bestemte, hvem der havde adgang til hvilke oplysninger i specifikke situationer," fortsætter han.

Del ud og luk for din identitet

Dermed er sikkerhedsprofessoren en kraftig fortaler for en ny generation af NemID, hvor der simpelthen skal kunne åbnes og lukkes for adgangen til bestemte data og informationer om borgeren, som den nu hedengangne IT- og Telestyrelsen også var inde og berøre for små tre år siden.

Så nemt bliver det at administrere CPR-afløseren

Således vil 'NemID 2.0' også kunne bruges som ID hos private virksomheder som eksempelvis et teleselskab, hvor NemID-brugeren åbnede for adgangen til navn og adresse, men lukkede af for køn og alder, som ville være irrelevante oplysninger i kontakten med teleselskabet.

Ivan Bjerre Damgård påpeger, at der i dag findes flere kommercielle produkter som eksempelvis IBM's Identity Mixer og Microsofts U-Prove, som netop kan orkestrere en anonymiserende infrastruktur, og der vil altså ikke nødvendigvis være tale om det store, forkromede udviklingsprojekt.

De fleste gider nok ikke

Den nuværende NemID-kontrakt mellem det offentlige i form af Digitaliseringsstyrelsen og leverandøren Nets udløber tidligst i 2015, hvorefter Nets har mulighed for at sidde på NemID i yderligere to år. 

Sikkerhedsprofessor Ivan Bjerre Damgård mener i den henseende, at det offentlige ved den først givne lejlighed bør medtænke den anonymiserende infrastruktur i næste generation af NemID, så brugen af CPR-numre som identifikation og dertil hørende risiko for identitetstyveri kan mindskes markant.

Der er dog flere udfordringer ved at bygge et system, hvor borgerne eksempelvis selv skal give en netbutik adgang til alder for at få lov at downloade en film, men samtidig spærre for andre ting som køn, navn og adresse.

En af udfordringerne er dovenskab.

"Jeg tror ikke, at folk gider at sidde og åbne og lukke for forskellige myndigheder og virksomheders adgang til ens data," erkender Ivan Bjerre Damgård.

Mor på 88 skal også være med

For at løse den udfordring ville det ifølge sikkerhedsprofessoren være hensigtsmæssigt, hvis den bagvedliggende infrastruktur til næste generation af NemID kom med en standardprofil for borgerne.

"Det vil sige, at borgerne bliver sat op til systemet og får at vide, at når den type myndighed eller virksomhed henvender sig, så får de udleveret én specifik type oplysninger. Det kan man så en gang for alle sige ja tak til."

Kan muligvis integreres med sygesikringsbeviset

"Selvfølgelig skal der være mulighed for at redigere i præcise detaljer om, hvordan man som borger distribuerer sine oplysninger. Men man skal ikke forvente, at folk som eksempelvis min mor på 88 uden computer gider eller kan finde ud af administrationen," siger Ivan Bjerre Damgård.

På den måde lægger Ivan Bjerre Damgård også op til, at forskellige myndigheder og virksomheder som netbanker og teleselskaber på forhånd skal defineres og klassificeres.

Pre-definitionen og klassificeringen vil betyde, at borgerne ikke skal bøvle alt for meget med administrationen af sine data på daglig basis, men samtidig har en sikkerhed for, at kun nødvendige oplysninger bliver sendt til en myndighed eller virksomhed i en given situation.

Integration med sygesikringsbevis

Ivan Bjerre Damgård fremhæver også, at den næste generation af NemID med fordel kan integreres med borgernes kort som eksempelvis sygesikringsbeviset og/eller kørekortet.

"Indtil videre har vi undgået at give borgerne tingester, som aktivt kunne dreje eller på anden vis generere koder. I stedet har vi fået plastic- og papkort. Det ville dog nok være nemmere for borgerne, hvis man havde én løsning, hvor ens identitet boede," vurderer professor Ivan Bjerre Damgård.

Dermed læner han sig op ad tankerne om et universelt borgerkort, som blandt andre tidligere videnskabsminister Helge Sander (V) var en varm fortaler for, men som endnu ikke er blevet til noget. 

"Disse tanker om næste generation af NemID og integration med diverse kort er selvfølgelig en langsigtet diskussion, men den næste generation af NemID bør kunne gøre op med CPR-nummeret som legitimation," fastslår Ivan Bjerre Damgård.

Digital ID er vejen frem

Ud over at være professor på Aarhus Universitet sidder Ivan Bjerre Damgård også med i bestyrelsen hos Rådet for Digital Sikkerhed, der brød gennem mediemuren i denne uge med udtalelser om, at CPR var forældet.

Hos rådet er bestyrelsesformand Birgitte Kofod Olsen helt på linje med sit menige bestyrelsesmedlem.

"Der er næppe tvivl om, at digital ID i sidste ende skal afløse CPR," forklarer hun til Computerworld og henviser i øvrigt til rådets pressemeddelelse, som kan findes på dets hjemmeside

Deltag i debatten: Er vi klar til en digital afløser for det 45 år gamle CPR-nummer? 




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere