Kender du fødselsdatoen på en person, kan du meget nemt finde frem til personens CPR-nummer, ved at teste de 40 forskellige muligheder, der er i det nuværende system. Og med det i hånden kan en identitetstyv begynde sit togt og tegne abonnementer eller tage SMS-lån i andres navn.
Der er brug for ændringer, lød det fra Forbrugerrådet Tænk, som torsdag i sidste uge holdt et seminar, hvor der skulle løsninger på bordet. Og fra de it-kyndige, som var mødt op, var meldingen klar: Offentliggør alle navne og CPR-numre, for eksempel om et år – for så bliver det klart for alle, at brugen af CPR-numre skal tænkes helt om.
»Problemet med CPR er, at det bliver brugt som et password, men hvis vi offentliggør dem alle samme, vil ingen overveje at gøre det længere. Der er i forvejen måske 500 mennesker, der kender mit CPR-nummer,« sagde Svenne Krap, freelance-udvikler og medlem af bestyrelsen for Dansk Internet Forum (DIFO).
Karin Gaardsted, it-ordfører for Socialdemokraterne, ville hellere bare sikre, at CPR-numre ikke kunne misbruges, uden at man også offentliggjorde dem, og Michael Aastrup Jensen, Venstres it-ordfører, var på samme linje. I dag bliver CPR-numre brugt som brugernavn, når man logger ind med NemID, pointerede han.
Heller ikke formanden for Rådet for Digital Sikkerhed, Birgitte Kofod Olsen, var varm på ideen. Når der sker læk af personfølsomme data, koblet op på CPR-numre, vil det være en ulempe at kunne koble dem med folks navne, lød argumentet.
De forskellige modargumenter købte Svenne Krap ikke.
»Der er nogen, som ikke kender til basal sikkerhed. Det kan ikke være en fordel at hemmeligholde det. Fordelen ved at offentliggøre det er, at det ville være et vink med en vognstang til alle om, hvordan man bruger CPR-numre,« sagde han.
Løbenummer i stedet for CPR
Til gengæld ville Rådet for Digital Sikkerhed gerne indføre et nyt system bag CPR-numre, så alle mod et gebyr kunne skifte til et andet slags nummer, som ikke afslører fødselsdag og køn, men som er et mere tilfældigt ’løbenummer’.
»Vi har prøvet ikke at være alt for ekstreme, så vi har peget på, at man kan starte med en mulighed for at skifte til et løbenummer, mod et gebyr. Også alle nyfødte ville få sådan et nummer. Vestager (økonomi- og indenrigsminister, red.) har afvist ideen og sagt, at hun tror, vi vil savne CPR-numre og de sidste fire. Meget arrogant, efter min opfattelse,« sagde Birgitte Kofod Olsen.
Resten af regeringen, her personificeret ved Karin Gaardsted, fandt heller ikke grund til at udstede nye slags numre eller få et helt nyt CPR-system.
»Jeg er ikke sikker på, at et nyt system er redningen i sig selv, for CPR-systemet fungerer udmærket i sig selv, hvis man bruger det ordentligt. Det handler om at koble en kode på, måske NemID, selvom vi skal passe på med at koble NemID på alting, så alting bliver sløvet ned, når man skal have kortet ud hver gang. Vi skal passe på ikke at smide barnet ud med badevandet. Det koster rigtig mange penge at lave systemet om,« sagde it-ordføreren.
Her var Svenne Krap enig.
»Vores CPR-system fungerer rigtig godt. Det vil være absurd dyrt at lave det om. For eksempel har jeg et eksamensbevis med CPR-nummer på, og jeg ville ikke kunne få et nyt bevis med et nyt nummer. Der er ikke noget galt med CPR-systemet i sig selv, udover at det bliver brugt som password,« sagde Svenne Krap.
Der skal være en økonomisk gulerod
Henrik Kramshøj, blogger på Version2 og direktør for Solido Networks, pegede på, at sikkerheden kun blev hævet hos myndigheder og private firmaer, hvis det kunne betale sig.
»Det er ret vigtigt, at vi får den tankegang på banen, hvis vi skal dæmme op for, at den offentlige og private sektor taber oplysninger konstant. Hvis det koster et fitnesscenter 100 kroner pr. person, der har fået lækket oplysninger, fordi der er krav om, at de skal informere alle og tilbyde forsikring mod identitetstyveri, så kan det være, at fitnesscentret vælger ikke at have sådan nogle oplysninger liggende,« sagde han.
Fra Dansk Erhverv talte Bo Dalsgaard butikkernes sag, og hans frygt var, at ekstra lag af sikkerhed ville gøre det dyrt og besværligt, både for kunder og butikkerne.
»Vi går ind for, at man som virksomhed passer på oplysningerne. Det, vi er bange for, er, at man ikke kan købe to biografbilletter på nettet uden at skulle igennem seks verifikationstrin. Vi er nødt til at sikre, at vi ikke bremser al nethandel. Det må ikke blive umuligt at starte en netbutik, fordi sikkerhedskravene er for høje, for vi har også brug for de små handlende på nettet,« sagde han.
Brug NemID i stedet for kørekort og pas
NemID var i høj kurs som en overbygning til CPR, så man kun kunne bruge CPR-nummeret som et ID-nummer, mens en transaktion, hvor du skal bevise, hvem du er, kræver NemID. For eksempel når man laver en aftale med en butik eller virksomhed.
»Er det urealistisk, at man bruger NemID, når man står nede i fitnesscentret og gerne vil tegne et abonnement? Det er lidt langsomt, men det har jo sikkerheden,« lød det fra underdirektør i Forbrugerrådet, Vagn Jelsøe.
Det mente Dansk Erhverv var en dårlig idé.
»Så kan man aflure folks kode nede i fitnessklubben og så stjæle deres pung på vej ud. Selvom man kan spærre et nøglekort, er det måske for sent. Hvis vi skal bruge NemID alle vegne, bliver det nemmere at aflure,« sagde Bo Dalsgaard, som heller ikke var glad for tanken om NemID-krav ved nethandel.
»Så skal de sætte 250.000 kroner af til at ændre systemerne, og to år efter er det noget andet. Den slags er døden for de små nethandlende,« sagde han.
Der blev også debatteret andre tiltag, som kunne gøre livet for identitetstyve sværere. Henriette Thiim, som blev udsat for svindel for over en kvart million kroner ved identitetstyveri, talte for, at der ikke skulle stå kontonummer bag på Dankort, at myndighederne ikke skal skrive CPR-numre i alverdens breve til borgerne, og at ID-beviser som pas og kørekort ikke skal sendes med post.
»Det er typisk der, det sker. Postkasser er ikke sikre, og hvis de ved, hvornår der kommer nye ID-papirer, kommer de forbi og stjæler dem fra postkassen,« fortalte hun forsamlingen.
Et andet stort problem ved misbrug af de fysiske ID-beviser er den manglende mulighed for at spærre dem. Bliver et pas eller kørekort stjålet, kan en identitetstyv blive ved med at misbruge dem. I dag findes der registre over pas og kørekort, der er meldt stjålne, men kun politiet og myndighederne har adgang til dem. Det var der enighed om måtte kunne bruges mere aktivt, så også butikker kan tjekke, om et pas eller kørekort er stjålet.
På samme måde kan en kreditspærre, som bliver brugt i Sverige og Norge, stoppe misbrug. Her kan borgerne melde til et centralt register, at der ikke må optages lån eller tegnes abonnementer i deres navn.
»Du kan anvende RKI-registret, som butikkerne i forvejen slår op i, så der er ikke brug for et nyt register. Når du så selv skal tage et lån, får du en kode, så du kan slå spærringen fra og til igen,« sagde Sebastian Andersen, der kom fra forsikringsbranchen.
Henriette Thiim, der havde været offer for identitetstyveri, mente ikke den slags tiltag er nok.
»Det er lappeløsninger. Der findes mange andre former for misbrug, for eksempel bøder i S-tog, hvor nogen bliver ved med at få falske bøder. Vi har brug for et ID-system i Danmark, vi kan stole på. Et sikkert ID-kort, vi kan spærre. Hvor mange ville turde have Dankort, hvis man ikke kunne spærre det?« sagde hun.
Forbrugerrådet Tænk samler alle forslag fra seminaret i et katalog, som politikerne så kan blive inspireret af. Har du forslag til, hvordan CPR-systemet og autentificering af folks identitet generelt kan blive forbedret, så giv dit besyv med i debatten herunder.
Leave a Reply