Softwareleverandør: Ukrypteret CPR-login er i orden
Indtast CPR-nummer, og du er inde. Unge, der vil tilmelde sig et knallertkursus på den lokale ungdomsskole, møder i mange kommuner en løsning, hvor de skal opgive deres CPR-nummer over en ukrypteret forbindelse for at logge ind.
Og det er ikke en fejl, fortæller leverandøren af webløsningen, Tabulex.
»Teknisk set er det korrekt, at CPR-nummeret suser af sted ukrypteret. Men CPR-nummeret er ikke en personfølsom oplysning, hvis det ikke kan knyttes til andre oplysninger om personen, for eksempel navnet,« siger Stig Korgaard, direktør for Tabulex.
Firmaet har talt med Datatilsynet, før softwaren kom på markedet, og har ifølge Stig Korgaard fået grønt lys til løsningen, .
»Kunderne tiggede og bad«
Ungdomskolerne, der køber softwaren, kan også vælge en løsning med brugernavn og password, men CPR-nummer-login er nemmere at håndtere, så det vælger de fleste.
»De har tigget og bedt om at få det lavet med CPR-nummer, fordi det er det, de har ved hånden. Kommunerne har jo adgang til CPR-numre på deres egne borgere, og så kan de tillade adgang for alle mellem 13 og 19 år,« forklarer Stig Korgaard.
Tabulex' løsning kunne også have været krypteret med den sikre protokol https, men det har firmaet fravalgt.
»Der er intet teknisk til hinder for det, men vi har vurderet, at det ikke var nødvendigt. Det ville give problemer på ungdomskolerne, som så skulle have hjælp til at bruge kommunens certifikat til det,« siger direktøren.
Til gengæld er der i den nyeste version taget et andet sikkerhedshensyn. Det eneste, de unge kan, når de er logget ind, er nu at tilmelde sig smykkelavningskurset, eller hvad der nu udbydes - der er ikke adgang til nogen information om andre tilmeldinger eller oplysninger om personen selv.
Det er gjort for at undgå potentielle uheldige situationer, hvor det for eksempel kan give en ungdomsskole-elev problemer, hvis andre kan lokalisere, hvor vedkommende befinder sig, ud fra listen over tilmeldinger, fortæller Stig Korgaard og understreger, at ændringen ikke er sket på baggrund af en konkret situation, men kun for at være på forkant.
Datatilsynet: Ikke normal praksis
Hos Datatilsynet kan kontorchef Lena Andersen ikke afvise, at Tabulex har fået grønt lys til at bruge CPR-numrene på en ukrypteret http-forbindelse, men hun har omvendt heller ikke har hørt om, at firmaet skulle have fået en undtagelse.
»Praksis er, at CPR-numre altid skal beskyttes med kryptering på nettet, uanset om det står alene,« siger Lena Andersen.
Tilsynet er i øvrigt på vej til at kulegrave hele Ungdomsskole-området, og her vil den udbredte brug af CPR-numre over ukrypterede forbindelser også blive kigget nærmere på, oplyser kontorchefen.
Stig Korgaard holder fast på, at Tabulex har rygdækning for firmaets brug af CPR-numre til login, men vil for en sikkerheds skyld kontakte Datatilsynet for at spørge igen, fortæller han.
Kommentarer (5)
Ikke at bruge et certifikat er bare ren dovenskab.
Et certifikat koster for det mindste under 500,- for det billigste https://www.digitaltcertifikat.dk/da/produkter/
Og ja, det skal måske være noget der giver en grøn bjælke, eller hvad man nu har lyst til.
Men i min optik, så er det ren og skær sjusk ikke at bruge det ved så følsomme oplysninger. Hvis man vælger at bruge de billige certifikater, så kan man uden de store omkostninger kunne dele dem ud til alle der skal bruge et site, hvorpå der skal bruges et CPR nummer.
»Der er intet teknisk til hinder for det, men vi har vurderet, at det ikke var nødvendigt. Det ville give problemer på ungdomskolerne, som så skulle have hjælp til at bruge kommunens certifikat, siger direktøren.
Problemer på ungdomsskolerne... De skal da ikke have anden hjælp en alle andre der skal ind på siden = ingen hjælp.
Hvis de skal have content op, så har de forhåbentligt ikke adgang til den kode der har med CPR numrene at gøre - ellers er de da helt tabt bag af en vogn...
-
0 -
0
Hvis vi ser på hvem der kan udnytte CPR-oplysningerne, når de transmitteres mellem en elev og skolen eller kommunens server, er hovedparten måske nogen der har noget med skolen eller kommunen at gøre. F.eks. andre elever.
De har givet vis ikke super svært ved at finde ud af hvilke elever (elevnavne) der har hvilke fødselsdage, og så er navn og nummer kædet sammen.
-
0
-
0
Udover indkøb og installation af certifikat skal websitet også have sit eget IP-nummer (eller i hvert fald være det eneste site på IP-nummeret, der bruger port 443, medmindre det deler et stjernecertifikat med andre sites på samme domæne).
Så det er lidt mere bøvlet end som så. Dermed ikke sagt, at det er en dårlig idé.
-
0
-
0
Udover indkøb og installation af certifikat skal websitet også have sit eget IP-nummer (eller i hvert fald være det eneste site på IP-nummeret, der bruger port 443, medmindre det deler et stjernecertifikat med andre sites på samme domæne
Stadig ikke nogen undskyldning... Bare fordi det er besværligt at lave et minimum af sikkerhed, så skal man ikke undlade den form for sikkerhed.
Så må man anskaffe flere IP adresser, de koster mig bekendt i sig selv ikke penge.
-
0
-
0
CPR-nummeret er så hybersensitivt at det principielt ikke må¨bruges til noget. HVERKEN som "sikkerhed" eller som "reference" - førstnævnte giver falsk sikkerhed, sidstnævnte ødelægger datasikkerheden.
Du kan teoretisk få et nyt cpr-nummer, men det er så besværligt at det i praksis er tæt på de samme sikkerhedsproblemer som biometri.
»De har tigget og bedt om at få det lavet med CPR-nummer, fordi det er det, de har ved hånden. Kommunerne har jo adgang til CPR-numre på deres egne borgere, og så kan de tillade adgang for alle mellem 13 og 19 år,« forklarer Stig Korgaard.
Ungdomsskoler burde slet ikke have adgang til eller ret til at bruge cpr-nummer til noget.
Man tænker sig ikke om, det centrale systemer skaber ikke løsninger og decentralt tager man bare første den bedste model.
Der er ingen tvivl om at dette er groft uansvarlig misbrug af cpr-nummeret - uanset om den specifikke service er sensitiv eller ej. Problemet er ikke så meget om der er en teoretisk risiko for det specifikke system, men at det generelt underminerer sikkerhed ved at lade nogen tro at det er i orden.
Nej - man må ikke bruge "moderat fysisk pres" til at få tilståelser og man må heller ikke misbruge cpr-nummeret. Tag jer sammen !
Problemet er den bovlamme håndtering i Datatilsynet som ikke stiller krav til de andre ministerier om at tage sig sammen. Det efterlader alle andre i håbløse problemer så man forfalder til grove fejl som denne.
Det går galt når de centrale myndigheder ikke understøtter en flerlagsstruktur hvor man håndterer ændring i rettigheder så man decentralt ikke behøver at misbruge cpr-nummereret.
Ethvert system skal håndtere sin egen access kontrol som etablerer lokal genkendelse. Indrullering og revokation er så et særskilt punkt uafhængigt heraf fordi de afhænger af den specifikke kontekst.
-
0
-
0
