Læsetid: 2 min.

It-eksperter: CPR-registret er alt for let at hacke

Statens strategi for at sikre CPR-registret med person-følsomme oplysninger om alt fra vores banklån tilsygdomme er forfejlet. For blot et par uger siden tiltvang hackergruppen Anonymous sig adgang til CPR-kontorets hjemmeside. Det kan være et varsel om et forestående angreb, siger forskere
24. november 2012

Danskernes personfølsomme oplysninger kan nemt lande i hackeres hænder, fordi den danske stat ikke passer godt nok på CPR-registret og de 400 andre elektroniske systemer, der sammenknytter vores personnumre med oplysninger om alt fra sygdomtil banklån. Myndighederne hemmeligholder i dag systemernes opbygning i et forsøg på at forhindre hackere i at finde huller, de kan trænge igennem. Men hackere er i dag så mange og angriber med så veludviklede metoder, at de altid vil kunne finde huller, fastslår it-eksperter.

Det er kun få uger siden, at den internationale hackergruppe Anonymous hackede sig ind på CPR-kontorets hjemmeside, cpr.dk, hvilket kunne være første skridt til at hacke registret. Angrebet var ifølge it-ekspert Poul-Henning Kamp fra The FreeBSD Project et såkaldt brute-force-attack, hvor hackerne gennemtrawler internettet og finder frem til systemer, der ikke er forsvarligt sikret. Det svarer til, at en tyv render rundt og rusker døre i nattens mulm og mørke og på et tidspunkt finder én, der er åben.

Et spørgsmål om tid

»Min vurdering er, at det blot er et spørgsmål om tid, før hackere bryder ind i sådanne systemer og offentliggør personfølsomme data,« siger Poul-Henning Kamp. Hvis CPR-systemet blev kompromitteret af hackere, ville ethvert personnummer, der nogen sinde er blevet tildelt, blive afsløret. Det kan føre til identitetstyveri og ødelagte databaser, der udgør rygraden i den offentlige administration. Den slags datasystemer er derfor oplagte mål for hacking.Derfor bør systemets koder være offentligt tilgængelige, så alle eksperter kan spotte huller, før hackerne gør det, mener professor i it-software ved DTUJoe Kiniry: »Den eneste måde, man kan forbedre sikkerheden på, er ved at udvikle sådanne systemer i et transparent miljø, såkaldt Open Source,« siger han.

Indenrigsminister Margrethe Vestager (R) ønsker ikke at kommentere sagen og henviser til Digitaliseringsstyrelsen, der står i spidsen for digitaliseringen af Danmark.

»Der er to skoler inden for it-sikkerhed: Den ene argumenterer for at lægge koden frem som Open Source, så alle eksperter kan spotte fejl og mangler. Den anden mener, at man skal holde koden hemmelig, så man ikke opfordrer folk med onde hensigter til at gå på jagt efter svagheder,« siger kontorchef i Digitaliseringsstyrelsen Cecile Christensen. »Begge strategier har fordele og ulemper, så man må i den konkrete sag vurdere, om man vil lægge koden frem eller ej. Om det er en god idé i forhold til CPR-registret, kan jeg ikke vurdere. Den beslutning må være op til CPR-registret.

Bliv opdateret med nyt om disse emner på mail

Vores abonnenter kalder os kritisk, seriøs og troværdig.
Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her

Anbefalinger

anbefalede denne artikel

Kommentarer

Eller også skulle registrets it-systemer baseres på efterprøvede standardmetoder, som bruges overalt på nettet, og som er særdeles svære at bryde igennem.

Nicholas Christian Langkjær Ipsen

At tro at man kan sige noget som helst om CPR-registerets sikkerhed udfra sikkerheden på deres hjemmeside er latterligt.

En uunderbygget skræmmeartikel som denne er hvad jeg ville forvente fra Ekstra Bladet, men ikke Information.

georg christensen

Nu sker "det", som for længst burde være sket, vores IT systemer virker ikke, så længe vores magtbegærligheder forlanger kontrollen over os, ( en form for "dynelyfteri" model), snyfleri i privatsfæren kan også bruges.

Hackerne har altid afgang, fordi system administratorene ønsker denne afgang for sig selv.
Verdens magtbegær er under pres, og det, kun fordi "hackerne" udfordrer denne med "intelligens" og ikke blot en flok tomme politiske "ord" lader sig skræmme af dumme bemærkninger fra selvudnævnte eksperter.

NB: Jeg har en bøn til "anonymous" , send den nu regerende finansindustris værdiløsheds magtbegær ud fra banen, en bane den selv, har beskrevet. og slet ikke så svær at finde, hvis opmærksomheden bare er tilstede.