Svært sensitiv informasjon om 60.000 nordmenn kom på avveie. Å få tak i dine navn og nummer kan være en enkel sak.

En fersk rapport roper et kraftig varsku om sviktende datasikkerhet i Norge.

Hvordan et personnummer et bygget opp og sikres er en offentlig kjent sak, og i forrige uke rullet saken om hvordan særdeles svak oppbygging av nettsidene til Tele2 og en litt uheldig funksjon på statens Altinn-tjeneste førte til at 60.000 gyldige personnummer og tilhørende informasjon kom på avveie.

Kombinasjon av svakheter
Dette ble gjort mulig ved et program som først genererte tilfeldige potensielt gyldige personnummer. Disse numrene ble så sjekket opp mot nettstedet Altinn for å sjekke om nummeret var i bruk. Hvis nummeret var i bruk, ble det sjekket opp mot Tele2s nettsteder som automatisk hentet ut navn og adresse bak personnummeret, samtidig som kredittverdigheten ble sjekket.

Den potensielle sårbarheten skal ha vært kjent siden i fjor, og Datatilsynet har vært involvert i saken. Tele2 lukket først hullet da programmet ble kjent gjennom flere norske diskusjonsforum og e-postlisten til Elektronisk Forpost Norge (EFN).

Tele2 har senere forsøkt å fraskrive seg ansvaret ved å forklare saken med at de har blitt utsatt for et tyveri og at saken er politianmeldt.

Gjort i beste hensikt
Funksjonen på Tele2s nettsider var laget med all hensikt og var ment som et verktøy for å forenkle bestillingsprosessen av Tele2s produkter. Isolert sett skulle funksjonen bare sørge for at du ved å skrive inn personnummer skulle slippe å skrive inn navn, adresse og tilhørende informasjon, og at en kredittsjekk skulle utføres umiddelbart slik at du kunne få et raskt svar på om du kunne få selskapets tjenester.

Funksjonen på Altinns nettsider var enkel og grei: Skrev du inn et ubrukt personnummer så fikk du beskjed om at du hadde tastet feil, men var personnummeret rett kom du videre til passordinnlogging.

Farlige ting kan virke veldig uskyldig
Saken illustrerer med all tydelighet at to funksjoner som isolert sett kan virke svært uskyldige, sammen virket som en gigantisk svakhet som gjorde at svært personsensitiv informasjon om 60.000 nordmenn har kommet på avveie.

Datagiganten HP gjennomførte før sommeren en stor undersøkelse de kaller et Teknologibarometer blant norske bedrifter. Resultatet av undersøkelsen har så langt ikke vært kjent, men HP forteller nå til Nettavisen at de på ingen måte er overrasket over denne saken.

- Datasikkerheten i Norge er så lav, at dette vil skje igjen, og det kan lett skje i mye større skala, sier Morten Meier, sjef for programvare i Hewlett-Packard Norge.

- Et stort varsku!
- Dette bør være et stort varsku! Man skal beskytte og begrense innsyn i alle sine data, også de som tilsynelatende ikke er sensitive. Ikke bare for å hindre innbrudd, men også for å ha kontroll på tilgangen til systemene. Det er så mye informasjon tilgjengelig i dag, at ved å sette sammen data fra forskjellige kilder kan man fort oppnå kritisk masse, særlig hvis man kommer over slepphendt og lite gjennomtenkt håndtering, sier Meier.

Ifølge Teknologibarometeret er det bare 14 prosent av norske bedrifter som har en strategi for såkalt «identity management», altså håndtering av personopplysninger. Blant private selskaper er tallet så lavt som 10 prosent.

Tidligere ansatte har tilgang
Mens det ofte er mye snakk om hacking og virus i medier, så er den virkelige trusselen en helt annen hvis vi skal tro Meier.

I gjennomsnitt har norske ansatte tre passord å forholde seg til for å gjøre sin daglige jobb, mens enkelte har over ti. Det å fjerne tilgangen til alle disse systemene som disse påloggingene representerer er det få som har rutiner for.

Undersøkelsen viser at kun en tredjedel av norske bedrifter kan garantere at personer som sluttet for et halvt år siden ikke lenger har tilgang til datasystemene. Svært mange bedrifter mangler sentralisert styring av påloggingsinformasjon. Seks prosent av de nettverksansvarlige får aldri informasjon om at personer slutter, og mer enn tre av fire bedrifter har manuelle rutiner som kan svikte.

I rapporten kan en lese følgende:

«Man behøver tydeligvis ikke å hacke en norske virksomhet, det holder å skaffe et passord fra en tidligere ansatt.»

- Glem virus og datainnbrudd, dette er mye verre og en potensiell risiko i mangemilliarders-klassen, sier Meier.

Tror vi har mange flere databrudd
HP mener at vi har en tendens til å kjøpe flotte låser og alarmsystemer til hovedinngangen samtidig som vi lar bakdøren stå fritt åpen for alle som vil gå inn og forsyne seg.

- Når tilgangskontrollen til datasystemene er manuell og desentralisert sier det seg selv at det lett oppstår feil. En tidligere ansatt kan dermed enkelt og uten risiko åpne døren til forretningskritisk informasjon for hvem det måtte være. Tenk å kunne hente ut kundelister? Lønningsoversikter? Prismodeller? Jeg er overbevist om at det foregår mye mer datakriminalitet i norsk næringsliv enn vi er klar over, men mange gir innbryterne veldig lett spill, sier Meier.