From: "Gisle Hannemyr" <gisle@ifi.uio.no>
To: efn-listen@ifi.uio.no
Subject: Kronikk: Personnummer og personvern
Date: Fri, 31 Aug 2007 06:32:53 +0200 (CEST)
Sender: efn-listen-owner@ifi.uio.no
User-Agent: SquirrelMail/1.4.10a

Skriver på en kronikk om Tele2-saken.
Sender et preview til efn-listen for innspill og kommentarer.


=====================
Personnummer og personvern

Er det først og fremst bruken av personnummeret som er problemet når
systemene lekker informasjon?

Av GISLE HANNEMYR

<ingress>I sommer havnet personopplysninger om 60 tusen nordmenn på
avveie. Datatilsynet svarer med å vurdere å forby bruken av
personnummer som identifikator. Problemet ligger imidlertid et annet
sted, skriver Gisle Hannemyr i denne kronikken.</ingress>

Tidligere i sommer ble det en smule oppstyr, når Aftenposten (Nordmenn
lett bytte i storskala ID-tyveri, 2007-07-19) kunne melde at to
forskere ved Informatikk ved universitetet i Bergen i en
forskningsrapport påviste hvordan en rekke norske nettjenester -
teleselskaper, banker, samt Posten og den statlige tjeneste Altinn,
«lakk» personopplysninger eller åpnet opp for tjenestenektelseangrep
og andre former for misbruk gjennom grove designfeil i de berørte
tjenestene.

På grunnlag av det som kom fram i rapporten, var det forholdsvis
enkelt å lage et dataprogram for å hente ut personopplysninger fra de
berørte systemer. For å sjekke hvorvidt det som de to forskerne påsto
var tilfelle, laget jeg et slikt program, og fikk bekreftet at dersom
man kjente en persons fødselsdato, var det svært enkelt å hente
informasjon om denne personens personnummer, navn, adresse og
kredittverdighet fra flere mobiloperatørers datasystem. Andre gjorde
tydeligvis det samme. Ifølge mediene ble personopplysninger om
anslagsvis 60 tusen nordmenn hentet fra Tele2 i tidsrommet
28-30. juli.

Tele2 hevdet i en pressemelding at selskapet hadde vært utsatt for
«hacking», og at forholdet var politianmeldt. I denne sammenheng betyr
ordet «hacking» datainnbrudd, det vil si at en eller annen sperre
eller beskyttelse er brutt. Det forholder seg imidlertid slik at Tele2
hadde designet sitt datasystem slik at jeg og andre fikk tilgang uten
å bryte en eneste sperre. Dersom noen i politiet skulle lese dette, og
ønsker å følge opp Tele2s anmeldelse, står jeg til disposisjon.

Det er siden kommet fram at designfeilen i Tele2s datasystem har vært
kjent av selskapet lenge. Den ble påtalt av Datatilsynet i et brev
datert 26. november 2006 uten at selskapet gjorde forsøk på å rette
den. Heller ikke når Aftenposten brakte saken fram i mediene den
19. juli 2007 foretok selskapet seg noe. (Det gjorde imidlertid andre
mobiloperatører som inntil da hadde samme feil som Tele2.) Først når
misbruket er en realitet, og mediene rapporterer om at opplysninger om
60 tusen nordmenn er på avveie, finner Tele2 grunn til å ta
affære. Ifølge Personopplysningsloven plikter den som forvalter
personopplysninger å «sørge for tilfredsstillende
informasjonssikkerhet med hensyn til konfidensialitet, integritet og
tilgjengelighet ved behandling av personopplysninger» (POL § 13,
1.*ledd). Det er grunn til å spørre om Tele2 har oppfylt lovens krav i
dette tilfellet.

Som informatiker med interesse for design av informasjonssystemer
hadde jeg håpet at forskernes gode rapport om hvordan designet til
Altinn, Tele2, Posten, bankene og andre feilet kunne ført til større
oppmerksomhet rundt personvernaspektene ved design. Dessverre er det
ingen ting som tyder på det har skjedd. I stedet har vi fått et fokus
på bruken av personnummer som identifikator som etter min mening er en
avsporing. I en artikkel på Forbruker.no (Personnummer vekk som IS,
2007-08-30) varsler Brønnøysundregistrene som står bak Altinn at de
skal slutte med å bruke personnummer som identifikasjon, og
Datatilsynet vurderer om bruken av personnummer som identifikator skal
bli ulovlig.

Jeg mener dette er en avsporing fordi hovedpoenget i bergensforskerens
rapport er ikke at det er problematisk og bruke personnummer som
identifikator. Poenget er at bruken av personnummer på denne måten
blir et problem i det øyeblikket systemet lekker informasjon når det
blir presentert for et gyldig eller ugyldig personnummer, eller at
personnummer benyttes til autentisering av brukeren.

Hvorvidt det er heldig eller uheldig å bruke personnummer som
identifikator kan være verdt en debatt. Jeg kan se at det hefter visse
personvernproblemer ved dem (blant annet det at de allerede inneholder
en personopplysning, fødselsdato, og det at personnumre kan benyttes
på tvers av ulike systemer gjør kobling personopplysninger fra ulike
registre enkelt). Men disse tingeneer ikke det som er begrunnelsen for
at Brønnøysund dropper personnummer og Datatilsynet vurderer å forby
bruken av dem, så for øyeblikket kan den ligge.

Personnummer ble i sin tid innført fordi det var behov for en unik
personidentifikator. Det behovet eksisterer nok fortsatt, og med
mindre man tenker seg veldig godt om, kan det hende at det som
evt. avløser dem etter at personnummer som identifikator er avskaffet,
vil være minst like problematisk fra et personvern- og
sikkerhetsperspektiv.

Benyttet på forsvarlig vis mener jeg at personnummer er en god løsning
for identifikasjon. Den mest åpenbare fordelen med personnummeret er
de fleste av oss kjenner vårt personnummer. I en verden der vi må
identifisere oss i stadig flere ulike sammenhenger vil det å måtte
forholde seg til de mange ulike personidentifikatorer som vil måtte
komme i stedet for personnummer utvilsomt komplisere hverdagen for den
enkelte. Og kompleksitet kan også komme i veien for personvernet. Folk
kan bli avskåret fra tjenester de har krav fordi de roter med sine
ulike digitale identifikatorer, eller at folk hjelper på hukommelsen
ved å skrive ned sine ulike digitale identiteter, noe som åpner opp
for identitetstyveri ved at utenforstående får tilgang til disse
notatene.

Vi bør altså vende tilbake til forskernes rapport for å se hva som er
galt med de berørte systemene Her er en kort oppsummering

1. Systemene «lekker» om et personnummer er gyldig eller ikke, typisk
ved å svare «ugyldig personnummer» dersom det tastes inn ett
ugyldig personnummer, og ved å be om gå videre i en eller annen
prosess dersom personnummeret er gyldig. Det trenger de ikke
gjøre. Ved å sørge for at systemet responderer på nøyaktig samme
vis enten personnummeret er gyldig eller ugyldig vil det ikke
lenger være mulig å bruke systemet til å hente ut gyldige
personnummer.

2. Systemene bruker personnummer til autentisering, ikke til
identifisering. Forskjellen på de to er at når personnummeret
brukes til autentisering, så gir nummeret tilgang til tjenester
eller personopplysninger som er forbeholdt den autentiske person
som identifikasjonen er knyttet til. Tele2, Posten og flere
nettbanker hadde denne feilen i sine systemer. Hadde disse
systemene i stedet vært konstruert slik at verken informasjon eller
tjenester hadde blitt gjort tilgjengelig før etter at personen, i
tilegg til å ha identifisert seg ved å oppgi personnummer, også har
autentisert seg på en uavhengig måte (f.eks. gjennom en engangskode
fra en kodekalkulator) hadde bruken av personnummer til
identifikasjon etter min mening ikke vært en personvernrisiko.

Jeg frykter at i kjølvannet av denne saken, der det hersker en del
forståelig opphisselse over at personinformasjon om 60 tusen nordmenn
er kommet på avveie, blir det nå tatt grep som sannsynligvis ikke gjør
særlig fra eller til for å bedre forvaltningen av personopplysninger i
norske virksomheter.

Det finnes allerede lover som pålegger de som forvalter
personopplysninger å sikre at disse ikke «lekker» gjennom feildesign
eller på andre måter. Det Datatilsynet burde gjøre, er å sørge for å
bruke de fullmakter de har til håndheve de lover som allerede er i
kraft, i stedet for å vurdere å innføre nye paragrafer eller
forskrifter, som mildt sagt virker lite gjennomtenkte.
--
Gisle Hannemyr ( http://hannemyr.com/ )