FEIL NUMMERBRUK

Er det bruk av fødselsnummer som er problemet når systemene lekker informasjon?

av Gisle Hannemyr

I sommer havnet personopplysninger om 60 tusen nordmenn på avveie. Datatilsynet svarer med å vurdere forbud mot bruk av fødselsnummer. Problemet er imidlertid ikke bruk av fødselsnummer, men feil bruk av fødselsnummer.

Det ble en smule oppstyr i sommer, da Aftenposten (Nordmenn lett bytte i storskala ID-tyveri, 2007-07-19) omtalte en rapport der forskerne Klingsheim og Hole påviste hvordan en rekke norske nettjenester – teleselskaper, banker, helsevesenet, Posten og den statlige tjenesten Altinn – kunne tappes for opplysninger eller misbrukes på grunn av grove designfeil i de berørte systemene.

Med utgangspunkt i rapporten var det enkelt å lage et program for å hente ut opplysninger fra de berørte systemene. Jeg laget et slikt program, og hentet ut fødselsnummer, navn, adresse og kredittverdighet for et vilkårlig antall personer fra flere mobiloperatører. Andre gjorde tydeligvis det samme, for opplysninger om anslagsvis 60 tusen personer ble hentet fra Tele2 i tidsrommet 28-30. juli 2007.

Tele2 hadde designet sitt datasystem slik at jeg og andre fikk tilgang.

Det er siden kommet fram at feilen i Tele2s datasystem var kjent av selskapet. Den ble påtalt av Datatilsynet i et brev datert 26. november 2006, uten å bli rettet.. Da mediene i juli 2007 omtalte feilen, ble den heller ikke rettet. Først etter at misbruket ble kjent i august 2007 ble feilen rettet. Ifølge personopplysningsloven plikter behandlingsansvarlige å «sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet» (POL § 13, 1. ledd). Har Tele2 oppfylt lovens krav til forsvarlig forvaltning?

I kjølvannet av denne saken håpet jeg at forskernes gode rapport om designfeilene i de berørte systemene skulle gi fokus på viktigheten av design for å ivareta personvernet. Så langt har det ikke skjedd. I stedet har vi fått fokus på bruk av fødselsnummer. Brønnøysundregistrene vil slutte med å bruke fødselsnummer som identifikator, og Datatilsynet vurderer å forby det (jf.: Personnummer vekk som ID, Forbruker.no, 2007-08-30)

Dette er en avsporing. Poenget i rapporten er ikke bruk av fødselsnummer, men at feil bruk av fødselsnummeret er et personvernproblem. Det for eksempel feil bruk når et system gir fra seg informasjon eller tjenester bare det blir presentert for et fødselsnummer, eller at når nummeret brukes til noe det aldri har vært meningen å benytte det til, som autentisering.

Fødselsnummeret er ikke uproblematisk: I fødselsnummeret er det innbakt unødige personopplysninger som alder og kjønn; og kanskje gjør fødselsnummeret det for enkelt å koble opplysninger fra ulike registre. Men dette er ikke begrunnelsen for at Datatilsynet vurderer forbud, så det er en annen debatt.

Fødselsnummer ble i sin tid innført fordi det var behov for en slik unik identifikator. Det behovet eksisterer fortsatt. Med mindre man tenker seg veldig godt om, kan det hende at det som evt. erstatter fødselsnummeret i disse systemene, blir minst like problematisk fra et personvern- og sikkerhetsperspektiv.

Benyttet på forsvarlig vis mener jeg at fødselsnummer er en god løsning for identifikasjon. Den mest åpenbare fordelen med fødselsnummeret er at de fleste av oss kjenner vårt eget fødselsnummer. I en verden der vi må identifisere oss i stadig flere ulike sammenhenger vil det å måtte forholde seg til de mange ulike personidentifikatorer som vil måtte komme i stedet for fødselsnummer utvilsomt komplisere hverdagen for den enkelte. Og kompleksitet er en risiko. Folk kan bli avskåret fra tjenester de har krav fordi de roter med sine ulike digitale identifikatorer, eller at folk hjelper på hukommelsen ved å skrive ned sine digitale identiteter, noe som åpner opp for identitetstyveri ved at utenforstående får tilgang til disse notatene.

Vi bør altså vende tilbake til forskernes rapport for å se hva som er galt med de berørte systemene. Her er en kort oppsummering:

Systemene forteller om et fødselsnummer er i bruk, typisk ved å gi feilmelding dersom det tastes inn et ubrukt fødselsnummer, og ved å gå videre i prosessen dersom fødselsnummeret finnes. Det trenger de ikke gjøre. Ved å sørge for at systemet responderer på samme vis enten fødselsnummeret er i bruk eller ikke vil det ikke lenger være mulig å misbruke systemet til å hente ut fødselsnummer som er i bruk.
Systemene bruker fødselsnummer til autentisering, ikke til identifisering. Forskjellen på de to er at når fødselsnummeret brukes til autentisering, så gir nummeret tilgang til informasjon eller tjenester som skal være forbeholdt den autentiske person som identifikasjonen er knyttet til. Tele2, Posten og flere nettbanker hadde denne feilen i sine systemer. Hadde disse systemene i stedet vært konstruert slik at verken informasjon eller tjenester hadde vært tilgjengelig før etter at personen, i tillegg til å identifisere seg ved å oppgi fødselsnummer, også må autentisere seg på en uavhengig og sikker måte (f.eks. gjennom å oppgi en engangskode fra en kodekalkulator) hadde bruken av fødselsnummer til identifikasjon etter min mening ikke vært en personvernrisiko.

Jeg frykter at i denne saken, der det forståelig nok kreves handling etter at personopplysninger om 60 tusen nordmenn er kommet på avveie, kan det bli tatt grep som sannsynligvis ikke bidrar til å sikre forsvarlig forvaltning av personopplysninger i norske virksomheter.

Det finnes allerede lover som pålegger de behandlingsansvarlige å sikre at disse ikke kan misbrukes på grunn av feildesign. Det Datatilsynet burde gjøre, er å sørge for å bruke de fullmakter de har til håndheve de lover som allerede er i kraft, i stedet for å vurdere å innføre nye paragrafer eller forskrifter, som mildt sagt virker lite gjennomtenkte.

Publisert i: Klassekampen, 2007-09-12, (211:37), s. 15; og Lov & Data des. 2007, #92, s- 29-30.
Copyright © 2007 Gisle Hannemyr. Noen rettigheter reservert. Dette verket er tilgjengelig under en Creative Commons Navngivelse-Ikkekommersiell-DelPåSammeVilkår 3.0 Lisens.