Sikkerhedsbrist i virksomhedsregister: Alle kan blive direktør

Alle med NemID kan logge ind og ændre på følsomme oplysninger i selv store danske virksomheder som Jysk og Coop, skriver DR Nyheder.

Det tager kun et øjeblik at blive direktør i nogle af Danmarks største virksomheder.

Med NemID kan man logge ind på Erhvervsstyrelsens database, Webreg, gennem hjemmesiden Virk.dk og uden yderligere autentificering få adgang til at ændre vigtige virksomhedsoplysninger som ansatte, moms, import og eksport. Og ikke mindst kan man også indsætte sig selv som administrerende direktør i virksomheden.

Det skriver DR Nyheder, efter at en af mediets journalister fik adgang til blandt andet store danske virksomheder som Coop, Jysk og TV2.

»Jeg er faktisk ret overrasket over, at det er så nemt at ændre på nogle ret væsentlige oplysninger. Og det er oplysninger, der også bruges af andre virksomheder og myndigheder. Derfor burde det kun være dem, der har rettigheder til selskabet, der kan ændre i dem,« siger erhvervspolitisk chef i FSR - Danske Revisorer Tom Vile Jensen til DR Nyheder.

Alle ændringer bliver sporet

Sikkerhedshullet begrænser sig dog ikke kun til Erhvervsstyrelsens hjemmeside, for når der bliver lavet ændringer i Webreg, bliver de sendt videre til andre offentlige it-systemer hos blandt andet Skat og CVR-registeret.

»Kan man indsætte sig selv som direktør for en virksomhed, får man lige pludselig ret til at tegne virksomheden - det vil sige skrive under på virksomhedens vegne, agere på virksomhedens vegne, indgå aftaler og handler. Det er altså en alvorlig sag,« siger Ulf Munkedal, it-sikkerhedsekspert hos Fort Consult til DR Nyheder.

Mens nogle større virksomheder har valgt at kræve et password, før man kan ændre på virksomhedsoplysningerne, gælder det langtfra alle - blandt andet har Coop ikke gjort det ifølge DR Nyheder. Erhvervsstyrelsen holder dog indtil videre fast på den åbne løsning:

»Det er korrekt, at man kan registrere på en anden virksomhed, Men man gør det jo ikke anonymt, men ved brug af en digital signatur. Vi vil altid kunne se, hvem der har ændret hvad og hvornår. Og hvis vi konstaterer misbrug, kan man altså blive straffet i henhold til straffeloven,« siger kontorchef Lars Buch til DR Nyheder.

Fra næste år vil Erhvervsstyrelsen indføre en adviseringsfunktion, der giver besked på mail, når der er lavet ændringer i en virksomheds oplysninger.

Artiklen blev opdateret den 16.09.2014 kl. 14.30

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 lArs hAnsen

At NemID ikke er nogen optimal løsning er der nok mange der er enige i, men at give NemID skylden for at VIRK har lavet en dårlig implementering er måske lidt sensationspræget. Virk har jo bare sagt: "Du er nu logget ind med NemID, nu kan du rette ALT". Det er ikke NemID's skyld. Overskriften burde vel rettelig være "Sikkerhedsbrist i VIRK: Alle kan blive direktør"

  • 52
  • 0
#2 Frank Jensen

Vil give Lars ret, overskriften er jo direkte misvisende...

Hvis det nu havde været BT eller Ekstra-bladet havde jeg nok haft forståelse for det, men når nu Version2 selv mener, at de "vil levere uafhængig information af høj faglig kvalitet. Synsvinklen er de professionelle brugeres"...

  • 25
  • 0
#5 Morten Grouleff

Før digitaliseringen (og vel stadig?) kunne man man blot udfylde en papirformular, underskrive den, og så blev den indtastet og taget for gode varer.

Den forretningsgang har man digitaliseret. Det er så vidt jeg ved et bevidst valg. Der er heller ikke rigtig noget alternativ, for i mange sammenhænge kan CVR ikke vide hvem der er direktør eller i øvrigt har ret til at rette oplysningerne.

Jeg synes det er en fornuftig måde at håndtere det på, bortset fra, at man som "afsat direktør" burde få besked om ændringen, så fejl/misbrug hurtigere opdages.

Hvis man vil styrke troværdigheden af oplysningerne, så kunne man lade en virksomhed logge på med en medarbejdersignatur og trykke ja til at det fremadrettet kræver en medarbejdersignatur fra samme CVR at rette noget. Det tror jeg bare ikke ret mange vil vælge at gøre.

  • 6
  • 0
#7 Carsten Sørensen

Tænk hvis alle selvfølgelig kunne hæve på virksomhedens konto med NemId, fordi systemet jo bare logger hvem der gør hvad.

Tænk hvis alle ansatte i Nets selvfølgelig havde adgang til personfølsomme Dankort-oplysninger, fordi systemet bare logger hvem der gør hvad.

Tænk hvis alle selvfølgelig havde adgang til at udskrive recepter, fordi systemet bare logger hvem der gør hvad.

Det står sløjt til.

  • 5
  • 3
#8 Kristian Sørensen

Det har været sådan i mange år. Det er et bevidst designvalg i det underliggende system WebReg at det skal fungere sådan.

Artikel fra 2008: http://www.version2.dk/artikel/digital-signatur-brugt-til-svindel-90-mio...

Man kan lide det eller ikke lide det, men nogen nyhed er det ikke, og det er ikke en konsekvens af nemid, idet det har været sådan siden før der var tænkt på nemid.

  • 9
  • 0
#10 Morten Grouleff

Du kan da sagtens skrive en recept på papir og lade nogen hente den. Det er klart ikke tilladt at gøre dette, medmindre du er læge og overholder de regler der gælder for det. Helt på linie med alle andre papir-dokumenter, så ligger hele "sikkerheden" i sanktionerne ved misbrug.

Nets-sagen er meget anderledes: Den handler om, at en virksomhed internt ikke har styr på sine egne data og egne ansattes brug af dem. Det er en helt anden situation end CVR, der blot skal offentliggøre nogle data, som de ikke selv har egentligt ansvar eller ejerskab af.

Så længe man elektronisk har godt styr på, hvem der lavede misbrug, og det kun handler om ting, hvor "undo" er nemt og smertefrit, så kan jeg ikke se nogen god grund til at bruge en masse ressourcer på at gøre det sværere og dyrere for de legitime brugere. Hvis man virkelig vil, så skal man jo samtidig kræve personligt fremmøde og foto-id fremfor papirformularerne til virksomhedsregistrering for ikke at efterlade en ladeport der. Det er ude af proportioner med formålet.

  • 6
  • 1
#12 Jens Rahbek

Selvfølgelig kan Nets se, hvem der har tilgået hvilke data. De har et såkaldt PCI DSS certifikat. Dette er i overenstemmelse med en PCI (Payment Card Industry Standard(, v3.0 af november 2013. Denne standard er en typisk ramme standard, der opremser essentielle krav, men som ikke laver detailkrav. f.ex. er det et krav at have et system til at monitere afvigelser fra normal drift. Men der st[r ikke hvor ofte dette skal ske, hvem der skal have ansvaret og hvilke konsekvenser en misligholdelse skal have. Det er op til virksomhedens interne kvalitetssystem.

Dette blot til orientering, mvh. Jens

  • 0
  • 2
#16 Lars Bjerregaard

»Det er korrekt, at man kan registrere på en anden virksomhed, Men man gør det jo ikke anonymt, men ved brug af en digital signatur. Vi vil altid kunne se, hvem der har ændret hvad og hvornår. Og hvis vi konstaterer misbrug, kan man altså blive straffet i henhold til straffeloven,« siger kontorchef Lars Buch til DR Nyheder.

Riiight. Så, Lars Buch synes altså at det er en fin ide, at han lader sin gadedør stå helt åben, uden lås, fordi at der er et sikkerhedskamera der filmer indgangen? Kunne være et spændende socialt eksperiement, det synes jeg da vi skal afprøve.....

Hvilken planet kommer de her folk fra?

  • 2
  • 2
Log ind eller Opret konto for at kommentere