En million danskere kan potentielt skabe store problemer for tusindvis af danske virksomheder i alle størrelser, fordi der er en endog meget åben arkitektur på registrerings-hjemmesiden webreg.dk under Erhvervs- og Selskabsstyrelsen.
På sitet kan personer med en digital signatur logge på systemet, indtaste sit eget eller en vilkårlig virksomheds CVR-nummer og derefter få adgang til blandt andet at afmelde virksomhedens moms, afmelde import og eksport, ændre i vedtægterne, skifte ledelsen ud, afmelde selskabets A-skat samt ændre i firmaets navn og adresse.
Ved ændringer af virksomhedens status bliver selskabet ikke nødvendigvis informeret om modifikationerne lige med det samme, da det kun er anmelderen – det vil sige den person, der sidder med den digitale signatur – der får besked om selskabs-ændringerne per mail.
Selskabet får derimod en berigtigelse sendt med posten et par dage efter med den ændrede status i sine stamdata.
Ikke gennemtænkt løsning
Sikkerheden på sitet ligger i, at styrelsen via den digitale signatur kan se, hvem der har foretaget ændringer og eventuelt chikaneret et eller flere af de mere end 100.000 danske selskaber, der ligger frit tilgængelige på hjemmesiden efter log-in med den digitale signatur.
Derudover har styrelsen opsat et maksimalt antal gange én digital signatur kan foretage registreringer på sitet.
Men den arkitektur imponerer ikke sikkerhedsekspert Peter Kruse fra sikkerhedsselskabet CSIS.
"Løsningen er ikke gennemtænkt, for der er jo ingen grund til at friste svage sjæle. Så er det næsten ligegyldigt om det er sporbart eller ej. Man får jo adgang til at gøre stor skade ved at foretage en masse rettelser og måske ligefrem lukke en virksomhed," forklarer han til Computerworld.
Russer lænsede anpartsselskab
Den sporbare sikkerhedsbarriere så russeren Stene Danneholm, tidligere Ivan Kochelev, da også stort på, da han sidste vinter loggede ind og misbrugte systemet.
Han ændrede blandt andet i et anpartsselskabs vedtægter, så han fik fuldmagt til at hæve 90 millioner kroner på firma-kontoen.
Digital signaturer bliver stjålet
Makkeren i million-tyveriet, Michael Valevski, har ifølge flere danske aviser også misbrugt systemet ved adskillige gange at have indsat tilsyneladende intetanende personer som direktører og bestyrelsesmedlemmer i sine selskaber.
Sikkerhedsekspert Peter Kruse er ikke overrasket over, at nogen misbruger et så åbent system.
Han forklarer, at den digitale signatur i den henseende er en ringe sikkerhed for at fastslå den rette identitet på eventuelle vandaler eller kriminelle, der kan foretage meget drastiske ændringer.
"Vi lever i en tidsalder, hvor sikkerheds-certifikater og passwords i stigende grad bliver franarret personer på phishing-sites samt computere bliver stjålet. På den måde kan digitale signaturer nemt havne i de forkerte hænder," siger han til Computerworld.
Administrativt bøvl
Heller ikke partner og leder af momsafdelingen hos PricewaterhouseCoopers Jan Huusmann Christensen stikker tommelfingeren i vejret af begejstring.
"Det er uhensigtsmæssigt, at den digitale signatur ikke er hægtet på CVR-nummeret. Konsekvensen, ved at folk udefra kan ændre i stamoplysningerne, kan jo resultere i et administrativt bøvl, der koster tid og forsinkelser for virksomhederne," siger Jan Huusmann Christensen.
Han forklarer, at selvom et manglende CVR-nummer relativt hurtigt vil blive opdaget og rettet, kan der ved afmeldelse af import og eksport blive kastet grus i maskineriet, fordi et selskabs CVR-nummer i første omgang ikke figurerer i diverse EU-systemer.
Ved handel med lande uden for EU kan det være meget værre, fordi selskabet eksempelvis skal ud i lufthavnen og betale told i stedet for bare at få indført varerne automatisk via sit CVR-nummer eller opleve administrative forsinkelser i forbindelse med udførsel af vare til et ikke-EU-land land som Norge.
"Få dages forsinkelser kan jo blive ret kostbart, hvis man sælger sæsonfølsomme varer som jule-legetøj til lande uden for EU," afslutter Jan Huusmann Christensen.