Fejl, inkompetence, ansvarsfrihed og superhackere

Nå, så CPR kontoret kom til at offentliggøre lidt under en million CPR numre sammen med borgernes navn og adresse?

Ikke fordi det umiddelbart er noget man kan se på hverken CPR kontorets eller ministeriets hjemmesider, men denne driftsmeddelelse kunne antyde hvor det var CPR numrene kunne findes:

csc-cprEn bruger af systemet var så venlig at gøre CPR opmærksom på fejlen og det skal han da have ros for. CSC er allerede udpeget som synderen.

Det lader til at CPR kontoret hvert kvartal modtager en fil med navne og adresser til Robinson listen og gør denne tilgængelig. Men at denne gang indeholdt filen altså også CPR numre. Det giver indtryk af at kørslen hos CSC er manuel og at en bruger kom til at glemme at fravælge et felt. Ikke kønt.

Hvad er værd at bemærke her? Nå ja, CPR numre er nemme at skaffe og duer ikke til at verificere noget som helst.

Og lad mig gætte at der heller ikke vil være nogen der straffes i denne forbindelse, altså lige med undtagelse af eventuelle brugere der måtte have downloadet listen og som ikke når at slette den hurtigt nok. De kan straffes.

For ligesom tinglysningen ikke straffes for deres ligegyldighed i forhold til at et vist, men endnu ukendt, antal personers CPR numre må være tilgængelige hos dem, så vil man da ikke straffe CSC eller CPR for denne fejl.

I går læste jeg at anklageskriftet mod Warg er klart. Han står anklaget for at have hacket politiets database (hos CSC, naturligvis) og anklagemyndigheden går efter 4 års fængsel. Det er en sag der efterlader en dårlig smag i munden, for anklagemyndigheden har hele tiden prøvet at spinne sagen mod Warg ved at få ham omtalt som “superhacker”. Kombineret med en dommers totale mangel på forståelse for computere gør det næppe nemt for Warg at forsvare sig.

»Man har fundet en krypteret container. Jeg ved ikke præcist, hvad det er, men jeg forestiller mig, at det er en slags Mærsk-container, som er låst med en krypteret lås, og som indeholder både CSC-filer og personlige data, der tilhører Warg. Mistanken er ikke afsvækket,« sagde dommeren.

Jeg gad nok at vide hvilke data der er blevet kopieret fra CSC. Chancen er at CSC ikke ved det men jeg synes det er meget relevant for en eventuel strafudmåling hvis Warg findes skyldig.

For i mange år har det været muligt for myndigheder og virksomheder at abonnere på de centrale oplysninger i CPR, hvorefter CSC en gang i kvartalet, med almindelig post ville sende en ukrypteret disk med alle borgeres informationer. De fleste af disse disks er naturligvis blevet modtaget af de rette personer der efterfølgende også har behandlet dem som man bør gøre med følsomme oplysninger.

Men når nu CPR numre er nemme at finde, CPR kontoret kommer til at offentliggøre en lille million af dem, CSC sender dataene ukrypterede rundt med de danske postbude og tinglysningen lader personer med NemId gå på jagt i deres arkiver, hvilke informationer skal Warg og kumpaner så have kopieret for at kunne straffes med 4 års fængsel?

 

Dette indlæg blev udgivet i IT sikkerhed og tagget , , , . Bogmærk permalinket.

Et svar til Fejl, inkompetence, ansvarsfrihed og superhackere

  1. Pingback: Så blev de dømt – gad vide hvad straffen bliver | Hennings blog

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out / Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out / Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out / Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out / Skift )

Connecting to %s