- Bruken av fødselsnummer har sklidd ut

- FOR MYE: Fødselsnummeret er ikke ment å brukes til identifikasjon på en stor mengde ulike steder, mener Datatilsynets Leif T. Aanensen. Foto: Datatilsynet

VG Nett følger

Data og nett / RSS
Digital rett / RSS

Lag din egen RSS

Gårsdagens sak om fødselsdatoer i Telefonkatalogen er nok en et bidrag til Datatilsynets skrekkscenario: Et mylder av databaser som alle i seg selv er uskyldige, men til sammen danner et grunnlag for ID-tyveri.

Bruken av fødselsnummer i Norge har sklidd helt ut, mener avdelingsdirektør Leif T. Aanensen, i Datatilsynet.

- Dette er et voksende problem, sier han til VG Nett.

- Man regner med at dersom en person kjenner nummeret har det en identifiserende effekt, men det skal det ikke ha.

Les også:Storstilt tyveri av personopplysninger på nett

Med identifiserende effekt mener han at fødselsnummeret kan brukes nesten på linje med et passord.

- I praksis har det en slik effekt. Fødselsnummeret er en døråpner til folk som har som hovedhåndtverk å samle inn opplysninger.

Leserne diskuterer:Personnummer er ikke hemmelige

Slike folk er ofte datakriminelle som er ute etter å stjele identiteten til andre personer for så å bruke til vinningskriminalitet.

Nå vil Datatilsynet at det ryddes opp i bruken av fødselsnummer. De har kommet med et klart innspill til en lovendring, som vil gjøre det vanskeligere å lage tjenester der fødselsnummeret brukes på en lemfeldig måte.

- Vårt innspill er en innskjerping i bruken av fødselsnummer, at det skal brukes som det offentliges kundenummer og ikke til identifikasjon på nettet, sier Aanensen.

Han peker spesielt på bankene, der flere av bankene nå bruker fødselsnummeret som en åpen identifikator. Man oppgir fødselsnummeret, engangskoden og passordet for å komme inn.

Les også:Over 300 klagere på Telefonkatalogens fødselsdato-publisering

- Bankene har fått nummeret for å rapportere til skattetaten, men når de først har fått det tenker de «hei, så kjekt, det kan vi bruke til andre ting», sier Aanensen til VG Nett.

I tillegg til en lovendring må det en holdningsendring til, mener Aanensen.

- Vi har en generell holdning til at det ikke skal kunne underbygge din ID.

De siste årene har flere tilfeller dukket opp der fødselsnummeret kan brukes til å utføre endringer i andres navn. Aanensen peker spesielt på fastlegeordningen der fødselsnummeret brukes til å identifisere personer og legge grunnlaget for endringer.

- Man kan for eksempel kaste ut noen fra listen til en populær fastlege, og ta over plassen selv, belyser han som en hypotetisk svakhet.

Brikke i spillet

Telefonkatalogens publisering av fødselsdatoen til tusenvis av nordmenn kommer som nok en brikke i et stort puslespill av muligheter for identitetstyveri. Hver for seg er detaljene uskyldige, men til sammen kan de utgjøre en trussel hvis systemet brukes feil.

Les også:Teleselskap bøtelagt etter ID-tyveri

- Det at fødselsdato legges på nett føler nok mange som krenkende, men det vi ser på som mest bekymringsverdig er alle de fragmentene med info som legges ut, sier informasjonssjef Ove Skåra i Datatilsynet til VG Nett.

Han peker på at det er enormt mange steder ute på nettet der ulike opplysninger kan hentes ned. Skattelikningen fra 2001 er ute på nettet, og gir hele fødselsdatoen med år. Ikke bare datoen, slik det er på Telefonkatalogens sider. Også i andre offentlige dokumenter lurer fødselsnummeret.

- Det er ikke bare skatteetaten, men saksdokumenter på kommunesider og liknende. Tele2-saken viste hvor lett det er å utnytte forskjellige systemer ril sin fordel, forklarer Skåra til VG Nett. - Plutselig kunne man hente ned tusenvis av fødselsnummer. - Man printer fødselsnummeret ofte ut som en del av KID-nummeret på blanketter og liknende.
Svakheter i systemet

- Det er definitivt svakheter i systemet, dersom man kobler disse dataene får man nummeret.

For å finne ut hva fødselsnummeret er, trenger man i utgangspunktet bare fødselsdatoen og kjønnet. Når disse to faktorene er kjent, kan man regne ut hva fødselsnummeret, og ende opp med maksimalt 250 alternativer til hva fødselsnummeret faktisk er.

Les også:Slik hackes fødselsnummeret ditt

De opptil 250 nummerne kan så «vaskes» mot tjenester på nettet som bruker fødselsnummeret som identifisering. Et automatisk system tester nummeret mot tjenesten og prosessen kan gjøres raskt.

Interessert i matematikken bak fødselsnummeret?Les mer om matematikken hos Universitetet i Oslos nettsider!

Datatilsynet ber flere etater om å skjerpe bruken av fødselsnummer som identifikasjon på nett og i andre sammenhenger.

- Vi skrev et notat til Fornyings- og administrasjonsdepartementet knyttet til ID-tyveri, der vi tok opp bruk av fødselsnummer. Det bør skjerpes inn på nettet, og man må se på for eksempel bruk av fødselsnummer som innlogging og til bytte av fastlege. Det er utrolig raskt gjort.

(VG NETT 09.06.2009 kl. 16:54, Sist oppdatert 09.06.2009 kl. 16:54)

Twingly Bloggsøk

Utskriftsvennlig versjon i samarbeid med:

Tester: Lyd og bilde

Test Panasonic Lumix: Spennende hybridkamera

Et helt nytt kamerasegment er i ferd med å få fotfeste i markedet. Blant de nye hybridkameraene er Panasonic GF1 kanskje det mest spennende så langt.