Sikkerhedsbrist i NemID: Alle kan blive direktør

September 16, 2014 by admin · Leave a comment

Det tager kun et øjeblik at blive direktør i nogle af Danmarks største virksomheder.

Med NemID kan man logge ind på Erhvervsstyrelsens database Webreg gennem hjemmesiden Virk.dk og uden yderligere autentificering få adgang til at ændre vigtige virksomhedsoplysninger som ansatte, moms, import og eksport. Og ikke mindst kan man også indsætte sig selv som administrerende direktør i virksomheden.

Det skriver DR Nyheder, efter en af mediets journalister fik adgang til blandt andet store danske virksomheder som Coop, Jysk og TV2.

»Jeg er faktisk ret overrasket over, at det er så nemt at ændre på nogle ret væsentlige oplysninger. Og det er oplysninger, der også bruges af andre virksomheder og myndigheder. Derfor burde det kun være dem, der har rettigheder til selskabet, der kan ændre i dem,« siger erhvervspolitisk chef i FSR – Danske Revisorer, Tom Vile Jensen, til DR Nyheder.

Alle ændringer bliver sporet

Sikkerhedshullet begrænser sig dog ikke kun til Erhvervsstyrelsens hjemmeside, for når der bliver lavet ændringer i Webreg, bliver de sendt videre til andre offentlige it-systemer hos blandt andet Skat og CVR-registeret.

»Kan man indsætte sig selv som direktør for en virksomhed, får man lige pludselig ret til at tegne virksomheden – det vil sige skrive under på virksomhedens vegne, agere på virksomhedens vegne, indgå aftaler og handler. Det er altså en alvorlig sag,« siger Ulf Munkedal, it-sikkerhedsekspert hos Fort Consult til DR Nyheder.

Mens nogle større virksomheder har valgt at kræve et password, før man kan ændre på virksomhedsoplysningerne, så gælder det langt fra alle – blandt andet har Coop ikke gjort det ifølge DR Nyheder. Erhvervsstyrelsen holder dog indtil videre fast på den åbne løsning:

»Det er korrekt, at man kan registrere på en anden virksomhed, Men man gør det jo ikke anonymt, men ved brug af en digital signatur. Vi vil altid kunne se, hvem der har ændret hvad og hvornår. Og hvis vi konstaterer misbrug, kan man altså blive straffet i henhold til straffeloven,« siger kontorchef Lars Buch til DR Nyheder.

Fra næste år vil Erhvervsstyrelsen indføre en adviseringsfunktion, der giver besked på mail, når der er lavet ændringer i en virksomheds oplysninger.

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>