Innsiktsløst fra NRK om ID-tyveri

Det er prisverdig av Dagsrevyen å ta opp ID-ran. Men skremslene bør suppleres med fakta.

NRK behandlet ID-tyveri i Dagsrevyen både lørdag og søndag.

Innslaget lørdag tok opp et tilfelle der en person hadde opplevd at hennes identitet var misbrukt i vinnings hensikt. Så fikk vi se IT-sikkerhetsekspert Stein A. J. Møllerhaug forklare at ID-tyveri vil øke i årene framover. Denne delen av innslaget var ledsaget av noen fraser om hvordan data ferdes på Internett, og det var illustrert med tanke på å gi et inntrykk av at det er på nettet man først og fremst risikerer å bli frarøvet sin identitet: uforståelig blinkende lys fra baksiden av en ruter.

Innslaget søndag slo fast at nordmenn flest har for lettvint omgang med sine personopplysninger. Eksemplene på dette dreide seg først og fremst rundt det faktum at de færreste makulerer ulike former for papirer, for eksempel fakturaer, der slike opplysninger er oppført. Her ble deler av lørdagens intervju med et offer for ID-tyveri vist en gang til.

Det er vanskelig å se den logiske sammenhengen mellom disse innslagene.

Offeret som sto fram i begge innslagene, hadde opplevd at noen hadde opprettet et mobilabonnement i hennes navn. Hun hadde fått en stor regning, med mange samtaler til utlandet. Hun hadde ingen idé om hvordan uvedkommende hadde fått tak i hennes personopplysninger. I innslagene om henne ble Internett overhodet ikke nevnt.

Det springende punktet, hvordan mobilselskapet Lebara hadde latt seg lure til å opprette abonnementet i hennes navn, ble ikke berørt i NRKs innslag.

NRKs kobling mellom ID-tyveri og Internett var med andre ord helt vilkårlig. Det var ingen sammenheng mellom det offeret forklarte, og den rammen hennes opplevelse så ble satt inn i.

Hvorfor ID-tyverier øker, er temmelig opplagt. Før i tiden kunne svindlere nøye seg med falske papirer. I dag er kontrollen så god at du blir avslørt hvis du oppgir en identitet som ikke finnes. Følgelig kan man ikke lenger nøye seg med å oppgi falsk identitet. Man må oppgi identiteten til en faktisk eksisterende person.

Temaet for søndagens innslag, at folk ofte er for slepphendte i sin omgang med personopplysninger, er bare én av faktorene som forenkler ID-tyveri. Det er minst to andre opplagte faktorer: For det første kreves det stadig oftere at man oppgir personnummer. For det andre er ID-kontrollen for dårlig.

Offeret som sto fram i NRK kan tenkes å ha opplevd det siste: Når man oppretter et mobilabonnement skal legitimasjonen kontrolleres. Krever man personnummer, skal det leses av legitimasjonen som presenteres, og bilde og underskrift skal sjekkes mot det som vises på dokumentet. I hvilken utstrekning Lebara har fulgt den pålagte kontrollrutinen, fikk man imidlertid ikke vite.

Det er lett å argumentere for at bruken av personnummer er for utbredt.

Datatilsynet har for eksempel i mange år forsøkt å få bankene til å bruke noe annet enn personnummer ved pålogging til nettbank. I disse dager får mange privatpersoner beskjed fra frivillige organisasjoner om at deres gaver kan gi skattefradrag, forutsatt at de gir organisasjonen tillatelse til å oppbevare deres personnummer til senere års innberetninger av skattefradrag. Dette er to eksempler på totalt unødvendig bruk av personnummer. Her er det ikke «folk flest» som er slepphendte, men institusjoner som vi nødvendigvis må ha tillit til: bankene og Staten.

Jeg vil gjerne at mine gaver til Bellona, Landslaget for hjerte- og lungesyke, Kreftforeningen, Blindeforbundet og så videre skal fritas for skatt. Men hvordan skal jeg kunne gjøre vurdere fordelen med at gavene slipper skatt, opp mot risikoen det er å la disse organisasjonene lagre mitt personnummer? Og hvorfor gjøre frivillige organisasjoners dataregistre til mål for hackere på jakt etter personnumre?

Det er ingen grunn til å nedtone at det å ferdes på Internett innebærer et særskilt behov for å vern om personopplysninger. Dette har vært en rød tråd i digi.nos dekning av sikkerhetsspørsmål i alle år. Utviklingen her har gått i retning økt risiko. I oktober i fjor la for eksempel Microsoft fram en 92 siders rapport – Microsoft Security Intelligence Report (pdf) – som slo fast at ID-tyveri er det primære målet for kriminelle hackere.

Det er likevel grunn til å minne om at du også kan miste din ID hvis du mister en lommebok med pass, bankkort eller førerkort.

En amerikansk undersøkelse fra høsten 2006 slo fast at kun en brøkdel av ID-tyveriene skyldes innbrudd i datasystemer. I digi.nos referat av denne undersøkelsen fra Javelin Strategy & Research het det: «Bare seks prosent av de kjente ID-tyveriene, både i år og tidligere, har funnet sted som følge av datainnbrudd. Og bare 0,8 prosent av de som er blitt ofre for datainnbrudd, har også blitt ofre for ID-tyveri.»

Andelen kan tenkes å ha vokst det siste halvannet året. På den andre siden: De største tilfellene av ID-er på avveie den siste tiden har vært tap av data under transport eller i posten. Da har de ikke vært lagret på PC-er, men på backup tape og CD. I fjor sommer mistet for eksempel det britiske innenriksdepartementet personopplysninger til halve befolkningen – personnummer, navn, bankkontonummer, adresse og så videre – på en passordbeskyttet men ukryptert CD.

I en britisk undersøkelse fra høsten 2005 redegjør kriminolog Emily Finch for metodene som kriminelle bruker til å kapre folks identitet. Det typiske er at man først får tak i PIN-koden til et kontantkort, og så finner en anledning til å rappe selve kortet.

Tendensen er nemlig at all kontroll av kortet overlates til teknologien: Kontroll av bilde og eventuelt underskrift – i tilfeller der man har «glemt» PIN-koden og greier å overtale en butikk til å godkjenne bankkortet som kredittkort – er praktisk talt ikke-eksisterende, og det er helt kurant at butikkansatte godtar at menn bruker kort som åpenbart viser en kvinne. Finch avdekket videre at det var langt enklere for ID-tyver å sanke personopplysninger fra husholdningsavfall enn fra Internett.

I mai i fjor varslet NorSis at de ville ta kontakt med politiet, Datatilsynet, myndighetene og aktører i databransjen for å få på plass en nasjonal registrering av id-tyverier.

Tiltaket lot vente på seg. I slutten av januar i år kunne NTB endelig melde følgende: «Sammen med Datatilsynet tar NorSIS nå initiativ til å starte jobben med å få på plass mer dokumentert kunnskap og statistikk rundt identitetstyveri.»

Det er på tide!

    Les også:

Til toppen