Der skal lig på borde, før der sker noget
Den sandhed gør sig ofte gældende, når det drejer sig om trafiksikkerhed.
Når vi taler digitaliseringen af vores samfund, er det data, der skal på bordet, før der sker noget - og helst meget fortrolige data som eksempelvis CPR-numre.
Når det pludselig kommer frem, at CPR-numre er havnet i de forkerte hænder, flokkes politikerne om at kræve undersøgelser og handling, ministre hives i samråd, og myndigheder og leverandører gør alt for at foregive, at man nu har styr på situationen igen
Digitaliseringen af Danmark har stået på i flere årtier. Særligt inden for det seneste årti har der været et massivt fokus på at digitalisere den tidligere så analoge kontakt med borgerne.
Den bagvedliggende drivkraft er, at man med it kan lette arbejdsgange og gøre samfundet mere effektivt.
Men kan det komme som en overraskelse for nogen, at det samtidig medfører en række risici; at systemer kan hackes, og at data kan havne i de forkerte hænder?
Det kan det åbenbart, for reaktionerne efter gårsdagens afsløring af, at CSC er blevet hacket, har været overvældende: Alle råber vagt i gevær, alle vil gøre noget. Og det skal helst være NU!
Men hvorfor egentlig? Hvorfor ikke for tre år siden?
Det eneste, der er nyt ved denne sag, er at vi nu i praksis har oplevet det, enhver med bare et minimalt kendskab til it har vidst hele tiden: At it aldrig er ufejlbarligt.
Stadig mange ubesvarede spørgsmål
Det kom torsdag frem, at Danmark har udstedt en udleveringsbegæring på den svenske Pirate Bay-stifter Gottfrid Svartholm Warg, og at en 20-årig dansk mand samtidig er varetægtsfængslet i foreløbig fire uger for at have hacket sig ind i politiets registre
Rigspolitiet vurderer, at op mod fire millioner CPR-numre kan være blevet downloadet og kopieret i forbindelse med hackerangrebene.
Måske er der også forsvundet mere, det vil efterforskningen vise.
Hackerne fik hul igennem til CSC's datacenter, hvor de vigtige politi-data bliver opbevaret på en IBM-mainframe.
Om hackernes aktion kunne lade sig gøre på grund af CSC's manglende sikkerhed, på grund af mainframen fra IBM, på grund af sløseri hos Rigspolitiets eller på grund af politikernes manglende forståelse af, hvad et digitalt Danmark indebærer af risici - tja, det er svært at sige for nuværende.
Men sagen er naturligvis virkelig alvorlig. Som borger i et digitalt samfund bør man kunne stole på, at myndigheder og myndigheders it-leverandører har styr på sikkerheden.
Det har ikke været tilfældet i denne sag, men det er ikke der, den egentlige alvor ligger.
Her er det store tillidsbrud
Det store problem er, at der skulle gå så lang tid, før oplysningerne slap ud. Gerningsmændene slog ifølge politiet til i perioden fra april til august 2012.
Det var 2012!
Derefter blev dansk politi tippet ved en tilfældighed i januar 2013, hvorefter CSC blev sat i sving med at kigge efter ubudne gæster i uønskede sikkerhedshuller, som minsandten viste sig at være blevet misbrugt og opdaget ved tilfældigheder.
Nu advarer politiet om, at borgerne skal "være opmærksomme på, om der pludseligt sker transaktioner - eksempelvis køb af varer i ens navn - som man ikke kender noget til."
Det er fint med den advarsel, men det er tankevækkende, at den først kommer nu - næsten et år efter angrebet fandt sted, og fem måneder efter at politiet begyndte at efterforske sagen.
Det er et eklatant tillidsbrud, at man som borger først får besked så sent i processen.
Forklaringer er der formentlig mange af, men tilbage står stadig, at konklusionen må være, at man som borger i Danmark ikke kan vide sig sikker på at få det at vide, hvis ens CPR-nummer er havnet i de forkerte hænder.
Systemer har altid huller
Samtidig er det vigtigt, at man husker på, at sårbarheder i CPR-registret ikke er noget nyt.
Man behøver faktisk slet ikke at være en hacker for at få adgang til de dybt personlige data, for vi har tidligere skrevet om, hvordan nogle kommuner sjusker med opbevaringen af CPR-numre på nettet.
Sidste år skrev vi ligeledes om et par it-studerende, der på bare to dage udviklede et program, der på baggrund af fødselsdato og adresse kunne skaffe en persons CPR-nummer med udgangspunkt i den CPR-validering, teleselskaberne på daværende tidspunkt benyttede i forhold til kunderne.
Og hvad med din kommunikation med eksempelvis banken og forsikringsselskabet. Sender du dit CPR-nummer via en helt almindelige webmail? Eller siger du det højt i telefonen uden at tænke på, hvem der sidder omkring dig i toget?
Tænk på, hvilke data man kan få adgang til simpelthen blot ved at stikke hovedet ned i naboens skraldespand. Eller hvad med de data, der ligger på de mange USB-nøgler, DVD'er, smartphones, tablets og lignende, der mistes i lufthavne og på banegårde hver eneste dag året rundt.
Har vi lært noget?
Ingen systemer er 100 procent sikre, når alt kommer til alt. Det gælder netbankerne, det gælder den digitale borgerservice, det gælder virksomhedernes it, det gælder vores egen lille pc på skrivebordet, og det gælder politiets systemer og de leverandører, der står bag.
Det bør ikke kunne komme som en overraskelse for nogen.
Der er sårbarheder lige så mange steder, som der er data, og risikoen for at blive udsat for identitetstyveri er derfor noget, der skal tages seriøst af både os som borgere og af de data-opbevarere, som vi bør kunne stole på.
Det skal helst ske, inden hackerne slår til, for da er det allerede for sent - som det har været tilfældet i den aktuelle sag, hvor millioner af danske CPR-numre er havnet i de forkerte hænder.
Danmark har mistet sin digitale uskyld. Forhåbentlig har det gjort os klogere.
Følg @kimstensdal på Twitter.
