Styrelse efter afsløring af sikkerhedshul: Virksomhedsregister er ikke en legeplads

Det er strafbart at give falske oplysninger til en myndighed. Det understreger Erhvervsstyrelsen nu, efter at det er kommet frem, at alle med NemID kan redigere oplysninger om virksomheder på virk.dk

Selvom det med NemID er muligt at logge på virk.dk og gøre sig selv til eksempelvis Lego-direktør for en dag, skal man lade være, lyder det i en melding fra Erhvervsstyrelsen. Det er nemlig ulovligt.

På hjemmesiden Virk.dk kan man alene med NemID få adgang til Erhvervsstyrelsens database, Webreg. Her kan man uden at give yderligere dokumentation ændre vigtige virksomhedsoplysninger som ansatte, moms, import, eksport og indsætte sig selv som administrerende direktør i virksomheden.

Læs også: Sikkerhedsbrist i virksomhedsregister: Alle kan blive direktør

Men det er strafbart, hvis man bevidst går ind og foretager ændringer, som man ikke har ret til, eller hvis man på anden måde opgiver forkerte oplysninger til offentlige myndigheder, oplyser styrelsen.

»Webreg er ikke nogen legeplads, og det er ikke lovligt at foretage forkerte registreringer – heller ikke proforma eller for sjov,« forklarer kontorchef i Erhvervsstyrelsen Lars Bunch i en meddelelse på styrelsens hjemmeside.

Kontorchefen understreger, at man ikke er anonym, når man har logget ind med NemID, og det er derfor ret nemt at finde ud af, hvem der har haft sjov med virksomhedsregisteret.

Systemet er ifølge styrelsen designet med den indbyggede åbenhed for alle med et NemID for at gøre det enkelt for virksomheder at drive deres forretning.

»I Danmark skal virksomhederne ikke vente på, at myndighederne foretager registreringer. De har adgang til et smidigt system, hvor de selv kan foretage de nødvendige og lovpligtige registreringer,« meddeler Lars Bunch.

Fra næste år kan alle virksomheder abonnere på ændringer i selskabets oplysninger. Det betyder, at enhver justering af firmaets registrering udløser en besked til virksomheden via Digital Post. Det skal mindske mulighederne for misbrug, lyder det fra Erhvervsstyrelsen.

»Men selvfølgelig er der altid tale om en balancegang mellem sikkerhed og smidighed,« erkender Lars Bunch.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Jünckow

Det er jo fint hvis folk virkelig er hvem de giver sig ud for at være. Hvor let er det monstro at opnå en anden persons NemID - findes der cases allerede?

Den vinkel er jo ikke blevet mindre aktuel efter at selv retsvæsenet ser ud til at anerkende at CPR-registeret er helt og aldeles kompromiteret.

  • 9
  • 5
Anonym

Hvorfor løser man ikke bare opgaven ?
Bare at stille sig op med en undskyldning om at det er ulovligt, løser jo ikke opgaven.
Det løser jo ikke engang opgaven, altså lukker hullet, selv om der kan abonneres på en meddelelse via e-boks.

  • 12
  • 5
Erling Sjørlund

Det forekommer en smule utroværdigt at alle firmaer skal have oprettet et firma-NemID samtidigt med at virk.dk ikke begrænser adgangen til at ændre oplysningerne til login med netop dette ID.
Den modsatte løsning ses hos SKAT, hvor det ikke er muligt at ændre en momsangivelse efter login med NemID. Her kommer man kun til fadet med det gamle Tastselv-kode login.
Både hos virk.dk og skat.dk har man indrettet hjemmesiden efter principper, der fungerede fint i papiralderen, men som ikke virker særligt gennemtænkte i IT-alderen.

  • 5
  • 0
Anders Kjærgaard Hansen

Jeg synes faktisk at det lyder som en god balancegang i dette tilfælde. Og synes egentlig ikke dette er et spørgsmål om dårlig IT-sikkerhed.

  • Det er et sikkert login (det har vi trods alt vedtaget at NemID er - hvis du er direktør for LEGO og din NemID bliver stjålet så er verden træls alligevel, og det mindste problem er nok at man kan ændre selskabsoplysninger)
  • Man kan se hvem der foretager hvad, og selvfølgelig vil det være træls for et firma at rydde op i efterladenskaber efter en bitter medarbejder, men i dette tilfælde føler jeg at god logning er tilstrækkeligt.
  • Hvis et firma mister sin direktør (eller anden WebReg godkendt medarbejder) er det nemt at udpege en ny i firmaet uden bureaukrati fra "statens side". Det kan jeg godt lide.

Og på ulempe siden.
- Man kan ændre oplysninger man ikke har juridisk ret til at ændre - men hvor mange gange er det sket? (Ved udmærket godt det ikke er en målestok for IT-sikkerhed - men til gengæld et ok pejlemærke for hvor barren for sikkerheden skal sættes).

Jeg synes dette er en storm i et glas vand for at lede efter syndebukke - især er NemID i denne sag misbrugt af V2, bare fordi det er en af vores yndlings syndebukke.

Men modargumentér gerne - jeg kan sagtens blive klogere - og kender ikke noget i praksis til WebReg - eller administration af firmaoplysninger for den sags skyld.

  • 8
  • 4
Jesper S. Møller

i andre sammenhænge skal personer være tegningsberettigede for at kunne udføre den slags. Det må være en ren lapsus, at dette ikke er implementeret i webreg.

Hvor?

En af de mest vidtgående digitaliserede samfundsprocesser er tinglysning.dk, hvor konsekvenserne af ulovlige anmeldelser selvfølgelig også er rigtig alvorlige.
Selv der er der ikke en "automatisk" tegningsret for virksomheder knyttet til certifikater, på nær for de personligt ejede virksomheder (hvor man netop kan bruge personcertifikater).

Alt andet skal checkes manuelt, dog pånær særlige anmeldere (banker, realkredit, bilfinansiering, etc.) som kan underskrive på vegne af personer og virksomheder, hvilket kombineres med en snail mail i postkassen om hvad der er sket. Dette virker på grund af jura: Banker etc. har stillet store garantier for at de ikke misbruger ordningen og beskytter deres nøgler, m.m. Der er beløbsgrænser involveret også, samt mulighed for at flere (i banken) skal underskrive ved større beløb.

  • 2
  • 0
Nikolaj Brinch Jørgensen

Vi kunne også bruge økonomi, på at man ikke kan gå over for rødt, kører for stærkt osv. osv. osv.

Webreg bygger er jo netop bygget fornuftigt op, og afspejler samfundet. Frihed under ansvar.

Hvor mange gange det er sket historisk set, er jo netop en målestok for hvor besværligt man skal gøre det for folk at benytte systemet.

  • 1
  • 4
Helle Eriksen

Jeg forstår godt at hullet ikke er så alvorligt fordi det kræver et NemId som kan spores for at foretage en ændring. Jeg forstår også at den reelle mulighed mest derfor vil ligge som en ekstra bonus for IT kriminelle som af andre grunde hacker NemID. Jeg forstår også at det ikke kræver et specielt NemID og derfor må være det letteste hack indenfor NemID hackenes verden. Det jeg ikke forstår er hvorfor man ikke bare senest NU tilføjer den linje kode som sender en mail til ejeren ved ændring. Det vil dreje sig om ca. X?? mails og ialt Y?? kr om året??? og være til besvær for hvem???

  • 1
  • 0
Nikolaj Brinch Jørgensen
  • 1
  • 2
Albert Nielsen

hvis du er direktør for LEGO og din NemID bliver stjålet

Problemet er jo, at man ikke behøver direktørens nemID, man kan rette en virksomheds oplysninger med en vilkårlig nemID, fx Mickey Mouses, hvis han har en.

Har man den rette indstilling, en enkeltbillet til fx Manaus og er man snedig nok til at kunne ændre nogle virksomhedsoplysninger, så man kan få en større fortjeneste ud af det, er det ret fristende at tage sydpå.

  • 4
  • 0
Nikolaj Brinch Jørgensen

Så har de få meget travlt. Sidst jeg kiggede var der ca. 36.000 indbrud på et år.


Lad os antage at en indbrudstyv laver et indbrud om året (det er nok ret lavt sat). Så er der 36.000 indbrudstyve. Det er da også en ret lille branche så - vil du ikke give mig ret. Der er til oplysning 2.1 mio. fuldtidsansatte i DK http://www.dst.dk/da/Statistik/emner/virksomheder-generelt/firmastatisti...

  • 0
  • 1
Log ind eller Opret konto for at kommentere