Daily Archives: July 7, 2014

»Der er overhovedet ingen sikkerhed, der stopper en. Jeg kan ikke tro, det er så grotesk nemt«, siger Albert. Han er en 18-årig gymnasieelev, der overfor avisen Politiken afslører hvor let det er at få oplysninger om sine medstuderenes CPR-numre. Ifølge Albert er der åben adgang til de mange cpr-numre via det system, mange gymnasieskoler benytter til biblioteksudlån, og hvor man logger på alene ved at indtaste sit cpr-nummer.

I løbet af få minutter skaffer han cpr-numre på op mod tusind gymnasieelver. Han demonstrerer fremgangsmåden over for Politiken, der ikke fortæller om metoden men oplyser at bibliotekssiden kæder CPR-numrene sammen med et navn.

»Tænk, hvad en identitetstyv kunne bruge det her til. Hellere at jeg gør det, end en eller anden russisk hacker. I princippet kunne jeg sætte alle de her cpr-numre til salg på nettet. Det har jeg ingen interesse i, men det kunne andre måske finde på«, siger 2. g-eleven til avisen.

Historien er de seneste afsløring af, hvor nem adgangen er til danske borgeres CPR-numre, hvilket har åbnet for debatten om CPR overhovedet bør opfattes som et hemmeligt nummer. Version2 har skrevet et foreløbigt overblik over CPR-historierne her:

Leverandøren af gymnasieskolernes biblioteksløsninger Reindex kendte ikke til problemet før Politiken gjorde firmaet opmærksom på sikkerhedsbristen. Kodeansvarlig Hans Erik Büchner oplyser at Reindex »ikke har rådgivet vores kunder tilstrækkeligt med henblik på sikkerhed for persondata«, men siger, at firmaet tilbyder flere løsninger, og at det er skolernes valg alene at bruge cpr-numre som login.

Reindex varetager cpr-oplysninger på omkring 60.000 elever.

Efter afsløringen har Albert, hvis fulde navn er kendt af Politiken, nu hjulpet Reindex med at lukke hullet.

Sagen om Økonomi- og Indenrigsministeriet, der i sidste uge stod bag en datalækage og lod 900.000 danske CPR-numre ligge til frit skue på den såkaldte Robinsonliste, er blevet til en sag hos Datatilsynet.

I en meddelelse fredag skriver tilsynet, at det har: “besluttet at indlede en sag af egen drift mod Økonomi- og Indenrigsministeriet bl.a. med henblik på at finde ud af, hvad der specifikt er sket, hvad ministeriet vil gøre fremadrettet for at undgå, at noget lignende kan ske igen, og om der skal udtales kritik mod ministeriet som følge af lækken af de ca. 900.000 borgeres cpr-numre.”

Robinsonlisten er en intern liste i Det Centrale Personregister over forbrugere, der har bedt sig fri fra uopfordrede skriftlige og telefoniske henvendelser i markedsføringsøjemed. Optagelse på listen sker ved henvendelse til folkeregistret. Før en virksomhed henvender sig til forbrugeren er den forpligtet til at tjekke, om forbrugeren er optaget i Robinsonlisten. Hvis det er tilfældet, må virksomheden ikke kontakte forbrugeren. Robinsonlisten blev indført i Danmark i 2000 gennem en ændring af Markedsføringsloven og Persondataloven.

Det amerikanskejede it-selskab CSC har til opgave hvert kvartal at levere listen til CPR-kontoret, hvilket selskabet har gjort siden år 2000. Men tirsdag havde CSC problemer med selskabets batchkørsler, og det påvirkede udarbejdelsen af den opdaterede version af den Robinson-liste, som CSC skulle levere.

Da CSC blev rykket for listen, endte selskabet med at udlevere en version, hvor der endnu ikke var kørt de batchprogrammer, som skulle fjerne CPR-numrene fra udtrækket fra CPR-registret, som er grundlaget for listen.

Hverken hos CSC eller hos CPR-Kontoret blev listen kontrolleret, inden den blev lagt ud på den tjeneste, hvorfra cirka 600 tilmeldte virksomheder henter listen. 15 virksomheder nåede at downloade listen inden lækken blev opdaget og stoppet.

Finn Gilling fra firmaet Gilling ApS er krediteret som første mand, der opdager lækagen og kontakter CPR-kontoret. Gilling arbejder som statens distributør af ejendomsoplysninger. Senere på aftenen modtaget Finn Gilling besked om, at listen er taget ned. Finn Gilling, som til daglig arbejder med personfølsomme data, siger til Børsen, at han betragter det danske CPR-system som så kompromitteret, at et CPR-nummer alene ikke længere bør kunne benyttes til nogen former for online-transaktioner.

Datatilsynet oplyser at det på nuværende tidspunkt har modtaget flere klager fra nogle af de ca. 900.000 borgere, hvis cpr-numre var omfattet af lækken hos Økonomi- og Indenrigsministeriet.

»Vi vil nu tage kontakt til cpr-kontoret og bede dem om at komme med en redegørelse. Vi vil blandt andet spørge dem til, hvad der er sket, og hvad de vil gøre fremadrettet for, det ikke sker igen. Det er helt standard, når der er en sikkerhedsbrist af den her størrelse«, siger Jesper Vang, der er specialkonsulent i Datatilsynet.

Til avisen Politiken fortæller han, at cpr-kontorets fejl ikke kan få de samme konsekvenser, som hvis det havde været en privat virksomhed, der havde lækket cpr-numrene.

»Nu er det jo en offentlig myndighed, og så er vi lidt begrænset i, hvad vi kan. Hvis en privat havde gjort noget tilsvarende, ville vi nok tale om en politianmeldelse. Den mulighed eksisterer ikke i forhold til offentlige myndigheder. Det er der ikke hjemmel til i persondataloven«, siger Jesper Vang.

Fremover skal elektroniske enheder kunne tændes, hvis de skal med på fly til USA. Det oplyser den amerikanske transportsikkerhedsadministration TSA i en kort meddelelse i går søndag.

Meddelelsen er sparsom på detaljer om især hvilke elektroniske enheder, der er tale om men nævner dog at det både gælder mobiltelefoner og bærbare computere, og at enheder uden strøm ikke vil blive tilladt ombord på et fly.

Stramningerne kommer som følge af at det amerikanske Homeland Security har hævet generelle sikkerhedsprocedurer ved flyrejser, herunder ekstra sikkerhedskontrol under rejser fra visse lufthavne i Europa og Mellemøsten med direkte fly til USA, men der følge ingen forklaring på, hvorfor man netop nu ønsker at stramme sikkerheden på denne måde. Analytikere oplyser til BBC at stramningerne synes at komme som reaktion på efterretninger om at militante islamister in Syrien og Yemen er ved at udvikle bomber, der kan undslippe lufthavnssikkerheden. Redaktionen har dog endnu ikke været i stand til at finde yderligere detaljer.

Den amerikanske efterretningstjeneste NSA overvåger langt flere end de erklærede lovlige mål. Det skriver Washington Post efter fire måneders efterforskning og gennemgang af dokumenter fra tidligere NSA-ansat Edward Snowden.

Når NSA overvåger et mål bliver en lang række mennesker omkring målet fanget i samme net. Personer som har kommunikeret med et overvågningsmål bliver nemlig også til genstand for overvågningen. Det gælder både amerikanere og ikke-amerikanere.

Især overvågning af amerikanske statsborgere har vakt debat i USA, fordi NSA som udgangspunkt kun må overvåge udlændinge uden særtilladelse. Men nu viser det sig, at heller ikke amerikanere kan undgå overvågning af NSA.

Mange af NSAs filer bliver beskrevet ubrugelige af analytikere og indeholder emails med intime oplysninger. Det tæller samtaler om religion og politik, historier om hjertesorger og personlig krise. Endda overvejelser om privatøkonomien.

Kort fortalt gemmer NSA på private oplysninger fra det daglige liv for 10.000 mennesker, som er blevet indsamlet i forbindelse med overvågning af et helt andet mål.

Washington Post har i sin research gennemgået omkring 160.000 emails og chatbeskeder indsamlet af NSA. Materialet er indsamlet i Obamas første periode fra 2009 til 2012, hvor efterretningstjenesten efter sigende i langt højere grad begyndte at overvåge amerikanske statsborgere.

Mozillas samlede markedsandele på desktop og mobileenheder er faldet de sidste to måneder. Der er især mangel på brugere til Mozillas mobile udgave af Firefox, skriver Computerworld.com.

Ifølge Computerworlds undersøgelse er det samlede brug af Firefox på både mobil og desktop helt nede på 12,9 procent i juni måned. Det er 1,2 procentpoint mindre end to måneder forinden, og det laveste siden Computerworld for fem år siden begyndte at måle markedsandele på browser markedet.

Juni gik 17,3 procent online fra en mobil enhed, hvilket er en stigning på 6 procentpoint de sidste 12 måneder, og en vækst på 52 procent.

Men selvom om mobil browsing er i voldsom vækst er det ikke lykkes Mozilla at udbrede sin browser på det mobile marked. Langt under én procent bruger Mozilla Firefox på sin smartphone, og kun Microsofts Internet Explorer klarer sig dårligere end Firefox.

Helt godt ser det dog heller ikke ud for Apples Safari. Apples browser er nemlig nede på 12,3 procent af de samlede markedsandele, hvilket er et fald fra 13,1 procent blot to måneder tidligere.

Månedens store browserkonge er Google, som har en samlet markedsandel på 22,6 procent, hvilket er 1,5 procentpoint højere end April.

Det offentlige har en lang række store databaser med grunddata, som myndighederne skal stille rådighed både for hinanden og for andre interesserede. Hidtil har alle myndighederne haft deres egne snitflader til at få fat i data, men det skal snart være slut.

KMD er for nylig blevet valgt til at levere den såkaldte datafordeler, som skal samle myndighedernes data ét sted. Det er imidlertid en opgave, som rummer visse udfordringer, der ikke kun er tekniske.

»Det er en løsning, som er en central infrastruktur, så der er et stort og broget interessentbillede, og det er det altid en udfordring at navigere i. Vi skal passe på ikke at tilgodese nogle, hvis det går ud over andre,« siger it-arkitekt David Graff Nielsen fra Digitaliseringsstyrelsen til Version2.

I dag driver de enkelte myndigheder selv en række portaler og andre former for indgange til dataene, men tanken med datafordeleren er, at det fremover skal ske gennem én fælles løsning.

Derfor skal datafordeleren også udvikles under hensyntagen til, at der allerede findes løsninger, og det kan lige så meget være et forandringsprojekt som et it-teknisk projekt.

»Det er en stor udfordring at møde fire forskellige løsningers krav og behov, når folk har været vant til selv at være tæt på forretningen. Så vi skal sikre, at de stadig selv har styringen,« siger David Graff Nielsen.

Datafordeleren er en del af det større projekt i staten med at få gjort flere af de såkaldte grunddata tilgængelige. I dag har eksempelvis Geodatastyrelsen stillet data som den danske højdemodel til rådighed. Tanken er, at det både skal gøre det nemmere at udvikle nye tjenester til det offentlige, men også at private virksomheder kan bruge data til kommercielle løsninger.

Også forretningsmodellerne er forskellige rundt om i staten. Visse datasæt koster i dag penge, og der er mange forskellige tekniske løsninger og ikke mindst servicemål.

»Vi har kigget på de eksisterende distributionsløsninger, og de har eksempelvis hver deres mål om oppetid,« siger David Graff Nielsen.

En del af målet med datafordeleren er, at alle tjenesterne kan hæves til samme niveau for oppetid, ligesom sikkerheden også skal være i orden.

»Der vil ligge både persondata og andre typer data, så det er vigtigt, at designet lever op til sikkerhedskravene for datatyperne,« siger David Graff Nielsen.

Arkitekturen for datafordeleren er inspireret af den måde, cloud-baserede løsninger er opbygget efter. Når alle skal gennem samme indgangsvej, så skal systemet også kunne skalere, hvis én af løsningerne pludselig begynder at trække ekstraordinært mange data.

Selve datafordeleren er én teknisk løsning, men derudover skal dataene også kobles på. Det vil foregå i en serie af små agile forløb, hvor eksempelvis Geodatastyrelsens 30 forskellige registre bliver klaret som enkelte iterationer.