Id-tyveriene kan gi strengere lov

Bruken av fødselsnummer til identifisering har økt kraftig de siste årene. Datatilsynet har lenge hevdet at dette er uheldig.

Lekkasjen av opp mot 50 000 fødselsnumre tilhørende kunder i Tele 2 har gjort at flere nå har oppdaget farene ved at vår unike identifikasjon spres mer enn strengt tatt nødvendig.

Hackerne i Tele 2-saken fikk tak i numrene på den offentlige tjenesten Altinn, og kjørte dem deretter opp mot kredittsjekk-systemet som teleselskapet benytter.

Kritisk

Datatilsynet skal med basis i en rapport fra Tele 2 vurdere sakens videre gang.

- Vi vil se spesielt etter eventuell manglende sikkerhet, og også om det finnes svakheter hos andre aktører. Etter hva vi erfarer, er det også utnyttet svakheter hos en offentlig nettside i tyveriet, sier avdelingsdirektør Leif T. Aanensen i Datatilsynet

LES OGSÅ: Advarer mot id-tyveri

Han er svært kritisk til den utstrakte bruken av fødselsnummer til elektronisk identifisering.

- I praksis er fødselsnummeret ditt "kundenummer" hos offentlig sektor. Vi har sett en utglidning i bruk, også hos private virksomheter, og det er uheldig. Fødselsnummeret benyttes mer ut fra beleilighet, ofte med tvilsom sikkerhet som resultat. Datatilsynet har vært skeptisk til denne utviklingen i lang tid.

Vurderer lovendringer

Ifølge Personopplysningsloven skal bruken av fødselsnummer ha en høy terskel, ut fra nødvendighetshensyn. Datatilsynet er i full gang med å gjennomgå den praktiske bruken av fødselsnummer, for å se om det er behov for å be om justeringer i regelverket.

- Vi har hatt en gruppe det siste året som har vurdert den praktiske anvendelsen av fødselsnummer. Problemet er jo ikke bare fødselsnummeret i seg selv, men alle opplysningene som knyttes til det. At offentlig sektor har gått i bresjen for å benytte fødselsnummer ved pålogging, har gjort det vært vanskelig å demme opp for utviklingen, sier Aanensen.

LES OGSÅ: Pass på fødselsnummeret ditt

Fødselsnummeret gir dessverre fortsatt adgang til svært mye informasjon som siden kan misbrukes, mener avdelingsdirektøren, som mener det er nokså nytt at problemet med id-tyveri blir tatt på alvor.

Fortgang i e-signatur

Aanensen mener at økt usikkerhet i forbindelse med bruken av personnummer også bør motivere fortgang i arbeidet med å få etablert elektronisk signatur og e-id.

- Fordelen med en kvalifisert elektronisk signatur er at den kan anvendes overalt. Og skulle den bli misbrukt, kan den enkelt erstattes. Å få nytt fødselsnummer er derimot en vanskelig og omstendelig prosess.

- Innbyggerne trenger et bedre grunnlag for elektronisk samhandling enn det fødselsnummeret kan gi. Vi synes også det må ses på den svake stilling offer for id-tyveri har i dag, mener Aanensen, som synes ryddejobben for ofte overlates til den enkelte.

- Ingen teknisk løsning

Sikkerhetsekspert Stein Møllerhaug i Watchcom Security støtter Datatilsynets kritiske holdning til bruken av fødselsnummer. Men han tror elektronisk signatur neppe vil løse problemet med id-tyverier.

- Det blir et hjelpemiddel, men neppe noen løsning. Det finnes altfor mange muligheter til å stjele identitetsinformasjon til at vi kan løse dette teknisk. Likevel er det klart at å få skikk på infrastrukturen vil heve terskelen litt, sier Møllerhaug.

LES OGSÅ: Det fiskes som aldri før

Det finnes imidlertid alltid noen som vil kunne komme seg rundt de administrative rutinene, og problemet med utro tjenere vil alltid være der, mener han. Møllerhaug peker også på at biometriske pass har virket delvis stikk i mot sin hensikt.

- Ironisk nok har bio-pass ført til en økning i omfanget av id-tyverier. Nylig ble det også påvist fjernavlesing av bio-pass. Avstanden var ikke veldig stor, men teknologien er der allerede, sier Møllerhaug.