Læsetid: 4 min.

Hackerangreb afslører alvorlige problemer ved cpr-registeret

Hackere har i månedsvis haft adgang til blandt andet millioner af cpr-numre efter et indbrud i politiets registre. Det er endnu uklart, om det vil få konsekvenser for almindelige mennesker, men sikkerhedsbristen afslører store problemer ved selve cpr-systemet
7. juni 2013

Flere millioner cpr-oplysninger om alle danskere, der har et kørekort, er blevet downloadet. Der har været adgang til EU’s Schengen-system over efterlyste personer, og brugernavne og passwords på 10.000 tjenestemænds email-konti er også kompromitteret.

Det er, hvad offentligheden foreløbig har fået at vide om det hackerangreb, som politiets registre har været udsat for. Angrebet udnyttede en sikkerhedsbrist hos it-leverandøren CSC, der end ikke opdagede angrebet, før dansk politi blev tippet om det af svensk politi i januar 2013 – mere end fem måneder efter, at hackerne første gang var brudt ind. Yderligere fem måneder gik der, før offentligheden i går fik besked om indbruddet.

Henrik Lund Kramshøj, der er sikkerhedskonsulent hos it-virksomheden Solido, mener, myndighederne har handlet for langsomt.

»Man skal erkende, at der ikke er noget, der hedder 100 procent sikkerhed. Dagens infrastruktur er meget kompleks og har mange elementer. Men der skulle have været reageret hurtigere, og man skulle have opdaget det selv,« siger han.

Systemudvikleren Poul-Henning Kamp er mindre diplomatisk:

»Det er kriminel inkompetence inden for it-sikkerhed, at man kan bryde ind på den måde, uden at der er en kæft, der opdager det. De har ikke styr på sikkerheden,« siger han.

Endnu er det uklart, om sikkerhedsbristen vil få konsekvenser for almindelige borgere. Politiet oplyste på et pressemøde i går, at der indtil videre ikke har været tegn på, at oplysningerne er blevet brugt til at udføre kriminelle handlinger.

»Der er tale om, at man har downloadet cpr-numre, men uden navne er det ikke umiddelbart noget, man kan bruge til noget. Vi har ikke konstateret noget misbrug af nogen art overhovedet,« siger Jens Henrik Højbjerg, politidirektør i Københavns Politi.

Cpr-register er sårbart

Ifølge Henrik Lund Kramshøj kan det dog bare være et spørgsmål om tid, før et datasæt som de stjålne cpr-numre kan blive koblet med andre kompromitterede data som navne og fødselsdage. Sker det, vil man for alvor kunne udnytte oplysningerne til identitetstyveri, og det er det grundlæggende problem ved hele vores brug af cpr-numrene.

»Truslen er der, hvis folk bliver ved med at bruge de sidste fire cifre, som om det var lige så godt som et password. Så har vi hele tiden en latent trussel for, at vores liv bliver overtaget, hvis nogen kender de sidste fire cifre,« siger Henrik Lund Kramshøj. »Det er en utrolig farlig situation og har været det i mange år, at man stoler så meget på de sidste fire cifre.«

Problemet er, at cpr-nummeret slet ikke var tiltænkt at blive brugt på den måde, som såvel virksomheder som det offentlige i årevis har brugt det, forklarer Poul Henning Kamp.

»Cpr-nummeret har aldrig været tænkt som hemmeligt, men en måde, hvorpå computere kunne kende Peter Hansen fra Peter Hansen. Problemet er, at det bliver brugt forkert, til at man kan få alle mulige oplysninger udleveret over telefonen. Man bruger det som autorisation og ikke som identifikation,« siger han.

Derfor kan denne sikkerhedsbrist sammenholdt med alle de mindre sikkerhedsbrister, der løbende sker i behandlingen af cpr-numre i kommuner og på skattekontorer, også give anledning til at gøre grundlæggende op med systemet.

»Et rationelt svar på det her kunne være at offentliggøre cpr-registeret, for så kan alle se, at man ikke kan stole på det,« siger Poul-Henning Kamp.

Henrik Lund Kramshøj supplerer:

»Vi er nødt til at få offentliggjort det cpr-register, så folk holder op med at bruge de sidste fire cifre. Det er ikke et password, og det beviser ikke, at man er den, man er,« siger han.

Meget alvorligt

Justitsminister Morten Bødskov (S) understregede utallige gange i går, at hackersagen er »meget alvorlig«. Stående på en gang i Justitsministeriet til et hasteindkaldt pressemøde forklarede ministeren om regeringens utilfredshed med leverandøren CSC:

»Hackerangrebet på visse af politiets registre er en meget alvorlig sag. Jeg forstår godt, hvis almindelige mennesker er bekymrede, for der er tale om stærkt personfølsomme oplysninger,« siger han.

»Det er klart, at det her er stærkt utilfredsstillende. Vi skal have en leverandør, der er i stand til at sikre den her type registre mod hackerangreb,« sagde Morten Bødskov og tilføjede, at »det var for tidligt at sige endnu«, om indbruddet skal have nogle konsekvenser. Over for Danmarks Radio erklærede nordisk direktør for CSC’s offentlige sektorforretning, Jens Schmidt, at uanset om man har »den højest realiserbare sikkerhed i systemerne«, vil kriminelle kunne komme ind:

»Der er intet, der tyder på, at oplysningerne er blevet hverken misbrugt eller viderebragt. De borgere, der har deres data liggende i systemer hos os, er så sikre, som det overhovedet er muligt at sikre dem med dagens teknologi,« siger Jens Schmidt til dr.dk.

Den svenske hacker og aktivist Gottfrid Svartholm Warg er begæret udleveret i sagen. Han sidder foreløbig anholdt i en lignende sag for omfattende indtrængninger hos den svenske it-leverandør Logica og Nordea. Samtidig er også en 20-årig dansk it-konsulent foreløbig varetægtsfængslet i fire uger i sagen, sigtet for »ulovlig indtrængning«, »forstyrrelse« og »hærværk« på offentlige informationssystemer.

 

Bliv opdateret med nyt om disse emner på mail

Vores abonnenter kalder os kritisk, seriøs og troværdig.
Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her

Anbefalinger

anbefalede denne artikel

Kommentarer

Marianne Rasmussen

Forslag:

1: Forbyd al brug af cpr-numre som autorisation.

2. Iværksæt en løbende oplysningskampagne om IT-sikkerhed generelt og om faren ved at bruge tallene som adgangskoder og lignende.

Verner Nielsen, Ib Christensen, Lise Lotte Rahbek og Sabine Behrmann anbefalede denne kommentar
Jens Falkesgaard

3: Giv borgerne reel mulighed for at få et nyt cpr-nummer, hvis det gamle er blevet kompromitteret.

Verner Nielsen, Ib Christensen, Marianne Rasmussen, Lise Lotte Rahbek og Sabine Behrmann anbefalede denne kommentar
Henrik Strøm

Hvis det virkeligt er lykkedes at stjæle passwords er der i hvert fald ikke tale om den højest realiserbare sikkerhed i systemerne - passwords skal naturligvis være hashed, ikke optræde i klar tekst, men jeg håber at det er en forenkling i artiklen at de skulle have fået adgang til egentlige passwords.

Det faktum at oplysningerne ikke skulle være viderebragt eller anvendt allerede er jo ikke noget CSC kan bruge som argument - det er blot svine held.

Det er ikke nogen IT systemer der er 100% sikre, det er helt korrekt, men den måde sagen har været håndteret på er lalle-amatør-agtig. CSC har i den grad fejlet, og de må stilles til ansvar.

Poul Henning Kamps pointe med at CPR nummer systemet anvendes forkert er helt korrekt, og det er noget alle der arbejder med IT har vidst i årevis, men ethvert forsøg på at lave et borgerkort eller lignende er hidtil faldet til jorden. Måske skulle man bare spørge svenskerne hvordan de har gjort med deres identitetskort, så vi undgår en ny rejsekort-saga.

@Jens Falkesgaard:
Nej, for det er slet ikke meningen at det skal være hemmeligt. Det bør udelukkende anvendes til identifikation, ikke til autentificering.

Verner Nielsen, Ib Christensen og Lise Lotte Rahbek anbefalede denne kommentar
Frans Kristian Randlev Mikkelsen

Vi bør alle true med at "aflevere vores cpr-nummer", ligesom lægerne truer med at aflevere deres ydernummer.

En instans - staten - som gør mennesker til numre, er en instans, som en eller anden bedre instans burde tvangsfjerne disse mennesker fra.

Anders Feder

Henrik Strøm: Ifølge Poul Henning Kamp opdateres CPR-databasen via den ældgamle FTP-protokol. Ifølge onde tunger helt uden kryptering. Ja, de læste rigtigt - eneste sikkerhed skulle være IP-begrænsning og et minimumskrav om passwordets styrke.

Vil vi se Morten Bødskov troppe op hos CSC med et kontingent af sagkyndige og undersøge om disse uhyrlige rygter virkelig er sande. Næppe. I stedet får han en over en fem retters middag CSC-chefens kraftigste forsikringer for at det ikke vil gentage sig, og så taler vi ikke mere om den sag, vel?

Ib Christensen

CSC lange historie af "uheldige" leverancer på borgernes regning bør snart undersøges i dybden. Der er noget underligt i at de igen og igen vælges til at leverer, med den sørgelige kvalitet det ER kendt for at leverer. Rejser bestemt spørgsmålet hvem i staten der vedholdende fortrækker dette selskab.

Er CSC mon blot et skuffe selskab med den primære funktion, at bruges til at kanaliserer borgernes skatte kroner over i udvalgte private hænder?

Hvilke hænder?

Henrik Jensen

Det her er vist et af de tilfælde, hvor Damark - som USA og Storbritannien - bør have åbne parlamentariske høringer.

Jeg ville gerne se CSCs ansvarlige besvare dé spørgsmål for rullende kameraer....

Heinrich R. Jørgensen

Nedlæg CPR systemet. Staten og forvaltningen kunne tydeligvis ikke forvalte den tillid de blev vist af borgerne, på ansvarlig vis.

Det er få lande, der har et CPR system, og de øvrige klarer sig ganske udmærket uden. I de fleste lande er modviljen mod CPR systemet meget udtalt, og funderet på forstandige argumenter.

christel gruner-olesen, Per Jongberg, Henrik Jensen og Verner Nielsen anbefalede denne kommentar