Stop med at anvende cpr-numre til validering
Virksomheder bør, som konsekvens af at hackere har haft held til at skaffe sig adgang til danskernes CPR-numre, øjeblikkelig stoppe med at anvende cpr-numre til at validere kunders identitet, når de handler på nettet eller i den fysiske butik, mener DANSK IT.
- Myndigheder og virksomheder bliver nødt til at reagere på, at flere millioner danskeres cpr-numre ifølge Rigspolitiet er kommet i hackeres hænder. Det giver derfor ingen mening, hvis man som virksomhed forsætter med at anvende CPR-numre til at validere folks identitet, når hackere sandsynligvis har haft adgang til millioner af danskeres CPR-numre, siger Peter Pietras, der er næstformand for DANSK IT’s udvalg for offentlig it. DANSK IT hilser det velkommen, at Rigspolitiet i forlængelse af hackerangrebet i sidste uge opfordrer danskerne til at være ekstra opmærksomme på, om der sker transaktioner, fx køb af varer i ens navn, som man ikke kender noget til. Men DANSK IT undrer sig over, at man i samme ombæring ikke opfordrer de virksomheder, der sælger varer på kredit, opretter lån eller abonnenter til enten helt at stoppe med at anvende CPR-numre til at validere folks identitet eller til at være ekstra påpasselige.
Rigspolitiets anbefalinger kan læses her
- Den hurtigste måde at få stoppet identitetstyve i at misbruge CPR-numrene, er hvis virksomhederne helt stopper med at anvende CPR-validering. På den lidt længere bane bør man fra politisk hold sørge for, at der bliver indført et borgerkort, der kan indeholde alle de oplysninger, man har brug for, når man skal legitimere sig online eller i den fysiske butik. På den kortere bane har virksomhederne mulighed for at anvende NemID, lyder det fra Peter Pietras, I sidste ende er problemet, at it-kriminelle med et CPR-nummer i hånden har et særdeles godt fundament for at opbygge en falsk identitet, som kan bruges til at tage lån, købe ind i andres navn eller få fat i personfølsomme oplysninger. Den slags misbrug vil blive en del sværere med digital signatur - og på sigt et borgerkort. Blandt andet fordi det vil være muligt at få en ny digital signatur, hvis man mister den. Noget som ikke er muligt, hvis man som i den aktuelle sag får sit CPR-nummer stjålet.
- DANSK IT har tidligere gjort de ansvarlige ministerier opmærksomme på det uholdbare i, at der støttes sikkerhed på et nummer, der ikke kan tilbagetrækkes og fornys. Det svarer jo til, at man ikke kunne få lukket sit kreditkort hvis det faldt i de forkerte hænder, fortæller Peter Pietras. DANSK IT mener dog også, at det vigtigt, at slå fast, at der ikke er noget i vejen med selve CPR-nummer-systemet.
- CPR-nummer-systemet er en vital del af den offentlige sektor, idet numrene blandt andet gør det muligt at indkræve korrekte skatter, at samkøre
oplysninger og meget mere. Problemet er da heller ikke selve CPR-nummer-systemet, men at vi anvender CPR-numre som en form for legitimation. Det giver nemlig ingen mening at tillægge besiddelsen af et CPR-nummer nogen vægt i relation til at fastslå en identitet, når det er nemt at få fat i andre folks CPR-numre. Det bedste værn mod identitetstyveri på baggrund af et CPR-nummer, er, at vi dropper illusionen om, at vi kan holde CPR-numre hemmelige, og i stedet begynder at behandle CPR-numre som om, at de er offentligt tilgængelige, slutter Ejvind Jørgensen, formand for DANSK IT’s udvalg for