Digital tinglysning: Advokater skal sende cpr-numre ukrypteret

Virksomheder, der vil bruge den digitale tinglysning, tvinges til at sende oplysninger om medarbejderes cpr-numre og offentlige signatur-nøgler på en ukrypteret e-mail.

Den digitale tinglysning har måske en indbygget sikkerhedsbrist i designet. Selv om alle transaktioner foregår krypteret og signeret med digital signatur, så er følsomme oplysninger om aktørerne sendt ind til Tinglysningsretten over ukrypteret e-mail.

Version2 har set korrespondance mellem Tinglysningsretten og en it-chef i en advokatvirksomhed, der bekræfter, at retten beder advokatfirmaet sende personfølsomme cpr-numre til en e-mailadresse, som ikke har tilknyttet en digital signatur. I de forkerte hænder kan oplysningerne misbruges.

It-chefen ønsker ikke at stå frem med navn og firmanavn af hensyn til advokatvirksomhedens kunder. Han frygter, at firmaets renomme kan lide skade, hvis den i hans øjne lemfældige omgang med data knyttes til advokatfirmaet.

Af samme grund har han haft en længere korrespondance både på mail og på telefon med Tinglysningsretten for at få opklaret, om det kunne være rigtigt, at en offentlig myndighed kan tvinge private virksomheder til at sende personfølsomme oplysninger ukrypteret.

I det sidste e-mail svar fra retten er konklusionen kort og kontant:

»Der er ikke pt. mulighed for at sende svaret på anden vis end den nedenfor angivne,« skriver en juridisk konsulent således til it-chefen.

I en efterfølgende telefonsamtale finder it-chefen ud af, at retten udmærket er klar over forholdet, og at han ikke er den eneste, der har henvendt sig om dette.

Men retten fastholder, at oplysningerne skal sendes elektronisk, og en mulig løsning med at sende dataene på en cd-rom bliver afvist med kommentaren:

»Det kan du da godt prøve, men du får den nok bare sendt retur igen.«

En sidste e-mail med ordlyden » Okay, vil det så sige at I tvinger os til at sende vores medarbejderes cpr-nr. i klartekst over e-mail til jer, hvis vi vil kunne tinglyse fremover?« er ikke blevet besvaret, og derfor følte it-chefen sig nødsaget til at handle.

»Vi var presset og følte, vi havde en pistol for panden. Hvis ikke vi gjorde, som de sagde, kunne vi jo ikke tinglyse for vores kunder,« forklarer han Version2.

Klar med alternativ
Tinglysningsretten bekræfter over for Version2, at standardfremgangsmåden for virksomheder er, at de skal sende medarbejderes cpr-numre og tilhørende offentlig digitale certifikater til en autogenereret e-mailadresse, således at behandlingen af de mange oprettelser kan automatiseres.

»Vi mener ikke, at vores fremgangsmåde indebærer nogen risiko, og vi mener heller ikke, at vi handler i strid med god forvaltningsskik,« siger retspræsident Sørup Hansen.

Til gengæld kan han nu oplyse, at virksomheder, der er bekymrede over fremgangsmåden, kan sende oplysningerne til en alternativ e-mailadresse, som har tilknyttet en digital signatur. Noget, som Tinglysningsrettens medarbejdere tilsyneladende ikke har været klar over.

»Jeg skal naturligvis beklage, hvis vi har givet et forkert svar på det spørgsmål, men virksomhederne er velkomne til at benytte tinglysningsretten@domstol.dk, som har tilknyttet en digital signatur, og det er også muligt at sende data på en USB-nøgle. Efter vi nu har talt sammen, vil jeg indskærpe for medarbejderne, at de muligheder også eksisterer,« siger Sørup Hansen.

Hvor mange, der kan bruge de nye oplysninger til noget, står hen i det uvisse, men langt de fleste aktører har allerede inden premieren på digital tinglysning sendt oplysningerne ukrypteret, præcis som Tinglysningsretten foreskriver.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Rene Madsen

»Vi mener ikke, at vores fremgangsmåde indebærer nogen risiko, og vi mener heller ikke, at vi handler i strid med god forvaltningsskik,«

Det her handler ikke kun om forvaltningsskik, men sikkerhed for borgerens data sendes på en sikker måde. Få det nu gjort og stop med de halve løsninger og så diske op med en undskyldning om at I mener i handler i tråd med god forvaltningsskik...

»Jeg skal naturligvis beklage, hvis vi har givet et forkert svar på det spørgsmål, men virksomhederne er velkomne til at benytte tinglysningsretten@domstol.dk, som har tilknyttet en digital signatur, og det er også muligt at sende data på en USB-nøgle. Efter vi nu har talt sammen, vil jeg indskærpe for medarbejderne, at de muligheder også eksisterer,« siger Sørup Hansen.

Hvad er det for en sang fra de varme lande?

Hvis der eksistere en mulighed for at sende personfølsomme oplysninger på en sikker måde, skal den usikre metode da straks fjernes som mulighed. Det er da det eneste rigtige. Alt andet er da dybt uansvarligt!

  • 0
  • 0
#2 Peter Nørregaard Blogger

Pudsigt at det er en IT-chef i en privat virksomhed der fortæller en offentlig myndighed om sikkerhed. Specielt pudsigt når det er om lovens bestemmelser og når modtageren hører under Domstolsstyrelsen. :-)

CPR-numre er fortrolige i henhold til Personoplysningslovens §11. Der stilles derfor krav til sikkerheden såvel teknisk som administrativt. Blandt andet betyder det at kommunikationen skal foregå fortroligt. Derfor bør man bruge krypteret email eller fx en SSL-sikret upload til en webside. Alt andet ligner en overtrædelse af Personoplysningsloven.

Derfor er det ikke god forvaltning blot at "indskærpe for medarbejderne, at de muligheder også eksisterer" men i stedet at kræve at indberetninger sendes via en krypteret forbindelse. Det vil også have en vis pædagogisk effekt nu hvor en række nye aktører skal tilegne sig digitale kompetencer: "Glem ikke sikkerheden"

  • 0
  • 0
#3 Poul-Henning Kamp Blogger

Jeg tror egentlig mere den lapsede holdning skal tages som udtryk for hvorledes CPR numre generelt opfattes i det offentlige.

At CPR numre ikke er "vigtige" understreges af, at man som person ikke har en ret til ikke at udlevere det.

Et firma kan f.eks godt kræve at man afleverer sit CPR nummer hvis man skal ind i deres bygning.

Ligeledes bruges diverse plastikkort, med CPR nummer påtrykt, i stort omfang som ID kort, f.eks på diskoteker, posthuset osv.

Som udgangspunkt er det derfor naivt, grænsende til latterligt, at tro at et CPR nummer på nogen måde er mere "hemmeligt" end ens navn.

Det virkelige problemet er, at enhver kan ringe til kommunen, opgive et CPR nummer og få personfølsomme oplysninger udleveret.

Poul-Henning

  • 0
  • 0
#4 Kim Andersen

Kan kun være helt enig I at det er alt andet end en sikkerhedsmæssig smart løsning som Tinglysningsretten har valgt her.

Men igen er artiklen også faktuel forkert.

Det er IKKE alle brugere af systemet de skal sende data på denne måde, det er udelukkende den bruger som i virksomhed skal administrere tinglysningen (og som for øvrigt ikke kan andet) der skal sende bidden af den digitale signatur samt CPR nummer i den ukrypterede e-mails.

Når den bruger er oprettet har vedkommende adgang til at administrere og oprette brugere, alt dette foregår på tinglysning.dk hvor ALT trafik er krypteret.

I orden med en artikel men den skal også være faktuelt rigtig.

Sidder selv som administrator og jeg måtte indsende det ukrypteret og gjorde det IKKE uden tvivl og problemer med dette MEN generelt er der et problem med CPR sikkerheden i Danmark. Du kan stå i banken og høre folks CPR numre uden store ører, du kan finde breve på gaden osv. osv.

Oprettelse af de efterfølgende

  • 0
  • 0
#5 Tobias Tobiasen

"medarbejderes cpr-numre og tilhørende offentlig digitale certifikater" Bruges den liste så til at lave mapping mellem certifikater og cpr-numre? Betyder det så at hvis en blackhat sender en snedig mail med cpr-numre og certifikater kan han så tinglyse på vegne af andre?

Det antager jeg de har tænkt igennem så det er nok ikke tilfældet. Men hvad søren skal de så bruge listen til?

  • 0
  • 0
#6 Jacob Larsen

Uden at have sat mig ind i noget som helst af det bagvedliggende, så lyder kombinationen af et ID (CPR nummer) og en public key som princippet der bruges til public key authentication gennem SSH. En blackhat vil ikke kunne bruge public key til noget her, den skal såmænd bare registreres i systemet for at kunne godkende brugerens private key ved en efterfølgende login. Da blackhat ikke ser private key så kan han ikke bruge den til at logge ind. En kritisk ting vil være hvis en blackhat kan bruge en public key til at slå mere info op om ejeren, som f.eks. navn/adresse/email.

  • 0
  • 0
#7 Tobias Tobiasen

Jeg tænkte mere i retningen af at en blackhat sender sin egen (eller en anden medarbejders) public key sammen med chefens CPR nummer i en mail tinglysnings kontoret. Vil tinglysnings kontoret så tro at blackhattens public key er chefens. Dermed kan blackhatten jo tinglyse på vegne af chefen.

  • 0
  • 0
#8 Lars Kr. Lundin

Enig.

Men det dybereliggende problem må være den fundamentale fejlbeslutning at CPR-nummeret har en dobbelt-rolle, hvor den ene anvendelse (som unik nøgle i søgninger) ikke kræver hemmelighed, mens den anden anvendelse (borgerens brug af nummeret til at identificere sig selv overfor offentlige myndigheder) kræver at den er privat. (Tænk tilbage på det komiske personnummerbevis...)

En ordentlig løsning på problemet må være at kræve noget andet end CPR ifbm. borgerens identifikation af sig selv.

Dvs. man skal ikke længere kunne ringe til en offentlig myndighed og bede om oplysninger vedrørende et opgivet CPR-nummer.

Herefter bliver CPR-nummerets status omtrent som et person-navn, med den væsentlige forskel at et CPR-nummer er unikt.

(USA har iøvrigt præcis samme situation med deres SSN).

  • 0
  • 0
#10 Peter Nørregaard Blogger

Det er sikkert mere simpelt: Et MOCES (medarbejder-OCES-certifikat) identificerer en medarbejder hos en virksomhed. Men kun virksomheden er identificeret med sikkerhed, mens medarbejderen kun kendes ved et løbenummer.

Altså mangler Tinglysningsretten at kunne identificere personen bag det MOCES-certifikat, som i virksomheden skal administrere tinglysningen. Derfor skal CPR-nummeret bruges.

Det er, efter mit bedste gæt, hvad de skal bruge den liste til.

Du kan ikke black-hat'te dig til at få tinglysnings-rettigheder ved at bruge et MOCES certifikat som ikke i forvejen er udstedt til virksomheden.

  • 0
  • 0
#11 Jesper S. Møller

Når man skriver under med en medarbejdersignatur er det lidt som at bruge et firmastempel. Ja, man arbejder i virksomheden, men man kan ikke disponere for den. Det kan kun ejerne (for I/S og enkeltmandsfirmaer), eller (for selskaber) et nærmere angivet antal personer i bestyrelse eller direktion (dette checkes manuelt imod oplysninger i selskabsregisteret, hvor det står som ikke kodificeret klartekst á la "Selskabets tegnes af bestyrelsesformanden eller to direktører i forening")

Dette checkes ved tinglysning, så piccolinen ikke kan sætte virksomheden i gæld, men så direktøren stadig kan købe en ny lagerhal.

Hvis man bruger et LRA med CPR (som tinglysningsretten anbefaler), er det ikke nødvendigt at sende CPR numre.

  • 0
  • 0
#12 Tobias Tobiasen

"Dette checkes ved tinglysning, så piccolinen ikke kan sætte virksomheden i gæld, men så direktøren stadig kan købe en ny lagerhal."

Jeg er stadig forvirret. Hvad hvis picoloen først sender en registrerings mail med chefens CPR nummer og picoloens cetifikat. Derefter forsøger picoloen at tinglyse den nye lagerhal med picoloens certifikat. Vil picoloen så have gældsat firmaet?

Det vil sikkert være en umådelig dum picolo, da der sikkert vil være et spor tilbage til picoloen og picoloen helt sikkert vil komme i fængsel...

  • 0
  • 0
#13 Jesper S. Møller

Netop, og det er derfor "LRA med CPR" løsningen er attraktiv, da problemet derved sendes retur til virksomheden (idet LRA'en så får ansvaret for at knytte CPR numre og certifikater)

Alt dette er for at bootstrappe modellen og opnå kredit på tinglysnings- og retsafgifter (så advokatsekretæren ikke skal sidde med kontorets dankort ved hver anmeldelse!) -- derefter kan virksomheden selv gå ind og administrere certifikater, herunder differentiere tegningsregler beløbsmæssigt, etc. hvis de måtte have det behov.

  • 0
  • 0
Log ind eller Opret konto for at kommentere