Denne CD-en med 3,95 millioner fødselsnumre ble sendt ut til 8 redaksjoner. EFN mener fødselsnummerne i praksis er fritt tilgjengelig, og at de ikke bør kunne brukes som en sikkerhetsmekanisme.

Personnumre er usikre, lær å leve med det

Elektronisk Forpost Norge (EFN) mener fødselsnumre ikke bør kunne brukes til ID-bekreftelse.

Eletronisk Forpost Norge (EFN) er en elektronisk borgerrettsorganisasjon som jobber med medborgerskap og juridiske rettigheter i IT-samfunnet.

I denne kronikken skriver Bjørn Remseth og Thomas Gramstad i EFN at fødselsnumre er å regne som usikre, at man må gå ut fra at de ikke er hemmelige og at de ikke bør kunne brukes for å få tilgang til for eksempel å sperre bankkort over telefon. Her følger kronikken i sin helhet:

Personnumre er usikre, lær å leve med det

Denne uken ble det kjent at skattedirektoratet har sendt ut CDer med skattelister til flere av landets nyhetsredaksjoner, og i disse skattelistene finnes det informasjon om personnummere.

Personnumrene i skattelistene er beskyttet med en kryptografisk nøkkel, men i følge avisrapportene om dette ser det ikke ut til å være en spesielt hemmelig nøkkel, så i praksis må vi nå anta at alle landets personnummere med tilhørende navn er eller

lett vil bli tilgjengelig både for for avisredaksjonene og alle andre som via lovlige eller ulovlige metoder skaffer seg en kopi av den utsendte CDen.

Skattedirektoratets glipp er naturligvis alvorlig. Skattedirektoratet burde ikke ha gjort dette. På den annen side er det også alvorlig at mange fortsatt lever i den villfarelse at

personnummer er hemmelige, og at det er vanskelig å få tak i andres personnummer. Personnummer er i praksis ikke hemmelige, og det burde nå være demonstrert for all verden at de også er enkelt tilgjengelige. Det å bruke kunnskap om personnummer som bevis for noe som helst er en sikker vei til sikkerhetsproblemer. Flere banker bruker f.eks. slik kunnskap kombinert med kunnskap om kontonummer som tilstrekkelig informasjon til å kunne sperre bankkort over telefon. Denne og lignende praksiser basert på personnummer er etter EFNs mening ikke forsvarlige og bør opphøre, kanskje til og med eksplisitt forbys.

Personnummere slik de brukes i dag er ikke sikre, og alle som lagrer personopplysninger eller opplysninger som er viktige for personer, bør ikke la kunnskap om personnummer kunne fungere som "brekkjern" til bruk i identitetstyverier. Med så mange brekkjern

i fritt omløp vil det ganske enkelt bli for mange som fristes til å begå identitetstyveri.

Løsningen på dette problemet er ikke å gjøre personnumre hemmelige, det er etter EFNs mening umulig, men å gjøre dem ugyldige som identifikasjon i de fleste av de

sammenhenger de i dag er gyldige.

    Les også:

Til toppen