Sekretariat
DANSK IT
Bredgade 25 A
1260 København K
33 11 15 60
dansk-it@dansk-it.dk
Links
  • Danmarks bedste grønne it-løsninger
  • nyhedsmail
  • Danmark 3.0 – vi surfer på den globale digitaliseringsbølge
  • Kursuskatalog
  • Talk'n'IT
  • Kursus on demand
  • DANSK IT Århus
  • CIO Innovation Forum
  • Råd for IT- og Persondatasikkerhed
 
Talk'n'ITmedlemsnetværk
Zonen:
It-sikkerhed
Overblik Indlæg Spørgsmål Deltagere Grupper
1
Kan dit CPR-nummer læses i dit CV?
Publiceret i zonen: It-sikkerhed | 2 kommentarer | 23.10.2008 11:18:17 |

Det danske central person register er et statsligt landsdækkende folkeregister, som opbevarer oplysninger om alle danskeres personnummer, navn, adresse, fødselsregistrering, statsborgerskab, folkekirkeforhold, slægtskab, civilstand samt statusoplysninger for den enkelte personregistrering.
Personnummeret (CPR-nummer) er et entydigt 10 cifferet identifikationsnummer opbygget med fødsels-dato, -måned, -år, -årtusinde, løbenummer og køn.
Systemet blev indført d.2.4.1968 i Danmark og d.1.5.1972 i Grønland. Systemet bruges ikke på Færøerne. CPR-nummeret er entydigt og tildelt en og kun en person. Langt de fleste andre registre anvender CPR-nummeret som identifikations kode og dermed udgør systemet et af de mest strukturerede datasæt i verden. Oplysninger fra CPR registret kan kobles med bankoplysninger, landspatientregistret, cancerregister, sportsklub m.m.
Da befolkningen har vænnet sig til disse 10 tal, bruges mange f.eks. de sidste fire cifre som pin kode til betalingskort og dørkoder.
For netop 1 år siden udsendte sikkerhedsfirmaet CSIS Security Group en advarsel omhandlende ubetænksom brug af personligt CV (curriculum vitæ). På få minutter kunne eksperten finde CPR- numre på flere end 100 danskere ved en søgning på Google.
Vi har gentaget deres forsøg og finder at problemet stadig er meget omfattende.
Vi kunne læse mere end 50 CPR-numre direkte på en enkelt søgning ved brug af Yahoo og søgetiden var 0,64 sek. og vi fik ca. 13.300 hits ved søgestrengen: cpr + nr + cv + .dk.
Vi kunne finde personlige oplysninger såsom: uddannelse, bopæl, CPR-nummer, tidligere og nuværende arbejdsplads og i nogle tilfælde bankoplysninger på 20 ansatte ved et større dansk universitet på få timer. Disse oplysninger var ikke alle indekseret i Yahoo søgningen og dermed kan vi konkludere, at problemet med personfølsomme data, såsom CPR-nummer på identificerbar person i CV’er, er endnu større end det i forvejen ses på søgemaskinerne.

Vi anbefaler alle, som har lagt et CV med tilhørende udtalelser, eksamensbeviser o.l. på internettet, at sikre sig at de ikke har været ubetænksomme. Vi anbefaler også virksomheder, institutioner og organisationer med CV informationer på medarbejderhjemmesider, at komme dette problem til livs.

Mads Ronald Dahl
M.Sc, PhD, MI, Assistant Professor
Institute of Public Health
Section for Health Informatics
University of Aarhus
Vennelyst Boulevard 6
8000 Aarhus C
Denmark
Tel: +45 89426127 Cellular: +45 61278942
Fax: +45 89426140
Email: MD@HI.AU.DK

Kommentarer
Henrik E. Bruun Henrik E. Bruun, Chef for it og it-brugercertificering svarede:
18.12.2008 18:51:47
Spændende. Uden at jeg i dette forum vil løfte sløret for mine kriminelle hensigter, kan du så alligevel fortælle mig, hvad man egentlig kan bruge en anden persons CPR-nr. til, hvis man har googlet/yahooet sig til den info...?
0
 | Spam?
 
Diskutér kommentar 0
Gæst
Din kommentar:

Indtast dit navn:

Indtast din e-mail:

 
Vi forbeholder os ret til at slette kommentarer,
der ikke overholder vores regelsæt.
Læs regelsættet

Svar
Gæst Mads R Dahl - Gæst , svarede:
19.12.2008 11:16:14
Bekymrende.
Du er ikke den første til at stille mig det spørgsmål.
Jeg er forsker, sidder i mit it-laboratorium og drikker måske mere kaffe end jeg betaler kaffekassen for. Jeg forsker i datasikkerhedsproblemer i relation til brugeranvendelse og adfærd.
Fokus for datasikkerhed ligger i høj grad på software + hardware og ikke på ”humanware”.
Som persondataloven er i dag, er ansvaret for Dansk-it’s medlemsoplysninger alene dit.
Som direkte svar på spørgsmålet vil jeg citere artikel i Computerworld d. 11. oktober 2007

”Med et personnummer, et navn og en adresse kan kriminelle indsamle masser af informationer om en helt uvidende person. Denne kombination giver eksempelvis adgang til bank- og pensionsoplysninger eller skatteoplysninger" Shehzad Ahmad, DK-CERT

Indenfor sundhedsområdet giver et CPR-nummer, navn og adresse mulig indsigt i din journal.
Jeg kan afsløre for dig, at jeg kun lige er startet min kampagne for øget fokus på humanware. Mit mål er at der om nogle år ligge et langt større juridisk ansvar på software og hardware udviklerne.
Som det er i dag har/tager de (f.eks. Microsoft) ingen ansvar for de problemstillinger jeg arbejder med.
0
 | Spam?
 
Diskutér kommentar 4
Henrik E. Bruun Henrik E. Bruun, Chef for it og it-brugercertificering svarede:
23.12.2008 01:14:11
Det er skam ikke fordi jeg mener, man bør tage let på den slags ting. Det er i høj grad vigtigt at få sat (faste) rammer for, hvad man strøer om sig med af informationer, ikke mindst når det handler om andres menneskers personlige oplysninger.

Husker at have læst, at Kim Larsen m.fl. valgte at publicere deres personnumre, da disse i sin tid blev indført, hvilket de så sikkert har måttet døje med siden (tror, Kims cpr-nr. blev en albumtitel, av for den).

Ved, at jeg og andre knægte tilbage i vist nok 1985 havde set en artikel i Ill. Videnskab, der fortalte, hvordan man konstruerede falske cpr-nr., som vi så gav billetkontrolløren i S-toget for at slippe for bøder, når vi kørte på røven. Ja, det skal ikke lyde som pral, tager selvfølgelig voksent afstand fra den slags i dag, men sådan foregik det....

En ven af mig fik regninger på ting, han aldrig havde bestilt/modtaget - dyrt, dyrt software - fordi han delte entré med en person, som dermed havde adgang til at stjæle et par breve og altså opsnappe nok information til, at der kunne bestilles over nettet.... Han tog så bare imod pakken, når den kom. Ikke så heldigt for leverandøren, for min ven kom selvfølgelig ikke til at betale.

Et lille tænkt eksempel: Hvis jeg nu giver dig mit cpr-nr., kan du i sagens tjeneste se, hvor meget du kan finde frem af snask på mig...? Hvis du finder noget, kan det jo være en slags case for det videre arbejde med problemstillingen.... Bare en tanke.
0
 | Spam?
 
Mads Dahl Mads Dahl, M.Sc. Ph.D. MI svarede:
23.12.2008 10:51:58
ad. HE Bruun's kommentar 23.12.2008.

Konkrete eksempler siger noget om en hændelse men giver ikke en generel indsigt i et problemområde.
Min professor fortalte mig, at de i 1969 på universiteterne i Danmark var så glade for det nye CPR nummer, at de skrev det ind i årsbogenskontaktoplysninger. Derfor stå alle CPR nummerer for de matematiske kandidater fra Københavns Universitet i bogen sammen med telefonnummer og adresse. Telefonnummeret og adressen er formodentligt ændret flere gange siden da, men navnet og CPR nummeret er det samme.

Jeg anser CPR nummeret for at være ufarligt i sig selv, men som gift i de forkerte hænder med onde hensigter. Som dataværktøj for struktureret data anser jeg nummeret for en ultimativ luksus hammer, som der skal passes godt på.

Jeg har i det sidste år fundet personfølsomme data på hvad der svarer til ca. 2 % af Danmarks befolkning. Lang de færreste af disse data lå direkte i CV’er, men ofte som indlejret regneark i dokumenter og PowerPoint præsentationer. Jeg har fundet tusindvis af regnskaber ol. fra de organisationer og virksomheder jeg har analyseret. Disse eksperimenter og resultater fortæller om det generelle billede af, hvordan data mistes pga. manglende omtanke og manglende brugervenlighed i den software vi anvender. Jeg kan godt finde og beskrive problemer (både konkrete og teoretiske) ved en analyse af Dansk IT som organisation, men det er jo ikke sikkert, at det netop er dig, som laver en given fejl. Ikke desto mindre kan din/vores organisation godt mediere et datatab.
Så hvis vi skulle lave et lille case studie, skulle det f.eks. være en analyse af www.dansk-it.dk for mediering af følsomme data. Tør vi det?

Glædelig jul!

/Mads R Dahl
0
 | Spam?
 
Henrik E. Bruun Henrik E. Bruun, Chef for it og it-brugercertificering svarede:
23.12.2008 11:10:04
Principielt er vi åbne, men at konvertere dette til en reel invitation gående på at stille sine fejl til offentligt skue.... Tak, men nejtak.

Giver gerne en bid af mig selv, men DANSK IT holder du nalderne væk fra ;-)

Nå det er sagt, så er området da helt klart af potentiel interesse for DANSK IT, måske den politiske afdelingen herinde burde blande sig i denne tråd.... Hvad med Rådet for it- og persondatasikkerhed, http://www.it-sikkerhedsraadet.dk, har du været i dialog med dem og nogle af dine interessante pointer?
0
 | Spam?
 
Henrik E. Bruun Henrik E. Bruun, Chef for it og it-brugercertificering svarede:
23.12.2008 11:28:08
Kunne du ikke oprette en gruppe i zonen for it-sikkerhed vedr. dette emne? Det skaber i hvert fald noget opmærksomhed blandt DANSK IT's medlemmer eftersom der kun er 2 åbne grupper indtil videre....
0
 | Spam?
 
Gæst
Din kommentar:

Indtast dit navn:

Indtast din e-mail:

 
Vi forbeholder os ret til at slette kommentarer,
der ikke overholder vores regelsæt.
Læs regelsættet

Svar
Gæst
Din kommentar:

Indtast dit navn:

Indtast din e-mail:

 
Vi forbeholder os ret til at slette kommentarer,
der ikke overholder vores regelsæt.
Læs regelsættet

Svar
Skribent
Mads Dahl
Mads Dahl
M.Sc. Ph.D. MI
#
Tags til indlæg/blog
 
Kontakt for denne side: dansk-it@dansk-it.dk Senest redigeret: 9. september 2009