Styrelse efter afsløring af sikkerhedshul: Virksomhedsregister er ikke en legeplads

17. september 2014 kl. 16:0324
Det er strafbart at give falske oplysninger til en myndighed. Det understreger Erhvervsstyrelsen nu, efter at det er kommet frem, at alle med NemID kan redigere oplysninger om virksomheder på virk.dk
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Selvom det med NemID er muligt at logge på virk.dk og gøre sig selv til eksempelvis Lego-direktør for en dag, skal man lade være, lyder det i en melding fra Erhvervsstyrelsen. Det er nemlig ulovligt.

På hjemmesiden Virk.dk kan man alene med NemID få adgang til Erhvervsstyrelsens database, Webreg. Her kan man uden at give yderligere dokumentation ændre vigtige virksomhedsoplysninger som ansatte, moms, import, eksport og indsætte sig selv som administrerende direktør i virksomheden.

Men det er strafbart, hvis man bevidst går ind og foretager ændringer, som man ikke har ret til, eller hvis man på anden måde opgiver forkerte oplysninger til offentlige myndigheder, oplyser styrelsen.

»Webreg er ikke nogen legeplads, og det er ikke lovligt at foretage forkerte registreringer – heller ikke proforma eller for sjov,« forklarer kontorchef i Erhvervsstyrelsen Lars Bunch i en meddelelse på styrelsens hjemmeside.

Artiklen fortsætter efter annoncen

Kontorchefen understreger, at man ikke er anonym, når man har logget ind med NemID, og det er derfor ret nemt at finde ud af, hvem der har haft sjov med virksomhedsregisteret.

Systemet er ifølge styrelsen designet med den indbyggede åbenhed for alle med et NemID for at gøre det enkelt for virksomheder at drive deres forretning.

»I Danmark skal virksomhederne ikke vente på, at myndighederne foretager registreringer. De har adgang til et smidigt system, hvor de selv kan foretage de nødvendige og lovpligtige registreringer,« meddeler Lars Bunch.

Fra næste år kan alle virksomheder abonnere på ændringer i selskabets oplysninger. Det betyder, at enhver justering af firmaets registrering udløser en besked til virksomheden via Digital Post. Det skal mindske mulighederne for misbrug, lyder det fra Erhvervsstyrelsen.

»Men selvfølgelig er der altid tale om en balancegang mellem sikkerhed og smidighed,« erkender Lars Bunch.

24 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
18. september 2014 kl. 16:03

"Det er strafbart at give falske oplysninger til en myndighed."

Så er alle sikkerhedsproblemer jo løst.

Som vi alle ved, har vi i Straffeloven et forbud mod indbrudstyveri, og derfor sker der aldrig indbrud i Danmark - eller noget i den retning :-(

16
18. september 2014 kl. 15:49

Jeg forstår godt at hullet ikke er så alvorligt fordi det kræver et NemId som kan spores for at foretage en ændring. Jeg forstår også at den reelle mulighed mest derfor vil ligge som en ekstra bonus for IT kriminelle som af andre grunde hacker NemID. Jeg forstår også at det ikke kræver et specielt NemID og derfor må være det letteste hack indenfor NemID hackenes verden. Det jeg ikke forstår er hvorfor man ikke bare senest NU tilføjer den linje kode som sender en mail til ejeren ved ændring. Det vil dreje sig om ca. X?? mails og ialt Y?? kr om året??? og være til besvær for hvem???

21
18. september 2014 kl. 16:43

@Nikolaj Brinch Jørgensen

Du har vist selv lige givet svaret på denne email problematik. Det må være den gamle der skal sendes til i alle tilfælde. Altså send_mail FØR update :)

14
18. september 2014 kl. 12:21

Vi kunne også bruge økonomi, på at man ikke kan gå over for rødt, kører for stærkt osv. osv. osv.

Webreg bygger er jo netop bygget fornuftigt op, og afspejler samfundet. Frihed under ansvar.

Hvor mange gange det er sket historisk set, er jo netop en målestok for hvor besværligt man skal gøre det for folk at benytte systemet.

12
18. september 2014 kl. 09:33

i andre sammenhænge skal personer være tegningsberettigede for at kunne udføre den slags. Det må være en ren lapsus, at dette ikke er implementeret i webreg.

13
18. september 2014 kl. 12:11

i andre sammenhænge skal personer være tegningsberettigede for at kunne udføre den slags. Det må være en ren lapsus, at dette ikke er implementeret i webreg.

Hvor?

En af de mest vidtgående digitaliserede samfundsprocesser er tinglysning.dk, hvor konsekvenserne af ulovlige anmeldelser selvfølgelig også er rigtig alvorlige. Selv der er der ikke en "automatisk" tegningsret for virksomheder knyttet til certifikater, på nær for de personligt ejede virksomheder (hvor man netop kan bruge personcertifikater).

Alt andet skal checkes manuelt, dog pånær særlige anmeldere (banker, realkredit, bilfinansiering, etc.) som kan underskrive på vegne af personer og virksomheder, hvilket kombineres med en snail mail i postkassen om hvad der er sket. Dette virker på grund af jura: Banker etc. har stillet store garantier for at de ikke misbruger ordningen og beskytter deres nøgler, m.m. Der er beløbsgrænser involveret også, samt mulighed for at flere (i banken) skal underskrive ved større beløb.

10
18. september 2014 kl. 08:25

Jeg synes faktisk at det lyder som en god balancegang i dette tilfælde. Og synes egentlig ikke dette er et spørgsmål om dårlig IT-sikkerhed.

  • Det er et sikkert login (det har vi trods alt vedtaget at NemID er - hvis du er direktør for LEGO og din NemID bliver stjålet så er verden træls alligevel, og det mindste problem er nok at man kan ændre selskabsoplysninger)
  • Man kan se hvem der foretager hvad, og selvfølgelig vil det være træls for et firma at rydde op i efterladenskaber efter en bitter medarbejder, men i dette tilfælde føler jeg at god logning er tilstrækkeligt.
  • Hvis et firma mister sin direktør (eller anden WebReg godkendt medarbejder) er det nemt at udpege en ny i firmaet uden bureaukrati fra "statens side". Det kan jeg godt lide.

Og på ulempe siden.

  • Man kan ændre oplysninger man ikke har juridisk ret til at ændre - men hvor mange gange er det sket? (Ved udmærket godt det ikke er en målestok for IT-sikkerhed - men til gengæld et ok pejlemærke for hvor barren for sikkerheden skal sættes).

Jeg synes dette er en storm i et glas vand for at lede efter syndebukke - især er NemID i denne sag misbrugt af V2, bare fordi det er en af vores yndlings syndebukke.

Men modargumentér gerne - jeg kan sagtens blive klogere - og kender ikke noget i praksis til WebReg - eller administration af firmaoplysninger for den sags skyld.

19
18. september 2014 kl. 16:08

hvis du er direktør for LEGO og din NemID bliver stjålet

Problemet er jo, at man ikke behøver direktørens nemID, man kan rette en virksomheds oplysninger med en vilkårlig nemID, fx Mickey Mouses, hvis han har en.

Har man den rette indstilling, en enkeltbillet til fx Manaus og er man snedig nok til at kunne ændre nogle virksomhedsoplysninger, så man kan få en større fortjeneste ud af det, er det ret fristende at tage sydpå.

9
18. september 2014 kl. 07:57

»Webreg er ikke nogen legeplads, og det er ikke lovligt at foretage forkerte registreringer – heller ikke proforma eller for sjov,« forklarer kontorchef i Erhvervsstyrelsen Lars Bunch

... og for jurister kan (og skal!) alle problemer løses med jura.

8
18. september 2014 kl. 07:44

Mama mia: jeg vil da heller ikke have at banken ligger mine kontanter frem og siger til dem der går forbi at det er strafbart at tage dem !

7
18. september 2014 kl. 06:29

Det forekommer en smule utroværdigt at alle firmaer skal have oprettet et firma-NemID samtidigt med at virk.dk ikke begrænser adgangen til at ændre oplysningerne til login med netop dette ID. Den modsatte løsning ses hos SKAT, hvor det ikke er muligt at ændre en momsangivelse efter login med NemID. Her kommer man kun til fadet med det gamle Tastselv-kode login. Både hos virk.dk og skat.dk har man indrettet hjemmesiden efter principper, der fungerede fint i papiralderen, men som ikke virker særligt gennemtænkte i IT-alderen.

6
18. september 2014 kl. 02:06

Kunne man bare ringe eller sende et brev/fax med ændringerne, og en underskift? Hvis det er tilfældet, så er IT-udgaven ikke værre end den IT-løse udgave.

5
17. september 2014 kl. 21:59

Hvis vi andre gjorde vores arbejde lige så godt, så havde vi vist ikke det arbejde ret længe...

4
17. september 2014 kl. 19:20

Truslen om straf er en del af IT sikkerhed.

Nu genskriver vi loven, men denne gang på A3, og med fede typer.

SÅ skal de nok nære sig...

Pffft.....

K

2
Indsendt af Thomas Hansen (ikke efterprøvet) den ons, 09/17/2014 - 18:04

Hvorfor løser man ikke bare opgaven ? Bare at stille sig op med en undskyldning om at det er ulovligt, løser jo ikke opgaven. Det løser jo ikke engang opgaven, altså lukker hullet, selv om der kan abonneres på en meddelelse via e-boks.

1
17. september 2014 kl. 17:57

Det er jo fint hvis folk virkelig er hvem de giver sig ud for at være. Hvor let er det monstro at opnå en anden persons NemID - findes der cases allerede?

Den vinkel er jo ikke blevet mindre aktuel efter at selv retsvæsenet ser ud til at anerkende at CPR-registeret er helt og aldeles kompromiteret.

3
17. september 2014 kl. 18:19

Virksomheder kan allerede idag abonnere på ændringer på cvr.dk. Det der kommer næste år er automatisk meddelelse ved ændringer uden abonnement