Der skal et grundigt stykke politiarbejde til for at finde de hackere, der stjal og offentliggjorde 3.100 danske lægers cpr-numre. Politiet mangler ressourcer, og det internationale politisamarbejde er helt afgørende.
Ukendte cyber-kriminelle har offentliggjort navne og cpr-numre på 3.100 danske læger. Politiet efterforsker sagen, men it-eksperter er ikke optimistiske mht. til opklaringen.
Da Lægeforeningen i denne uge blev opmærksom på, at man på en amerikansk hjemmeside kunne læse navne og cpr-numre på 3.100 danske læger, blev sagen øjeblikkeligt meldt til politiet. Dansk politi fik hurtigt fjernet de stjålne oplysninger, og Københavns Politi arbejder nu med at opklare sagen.
Blandt dem, som Lægeforeningen straks orienterede, var også Apotekerforeningen – så i den kommende tid vil danske apoteker holde ekstra godt øje med mistænkelige telefonrecepter. Og det kan der være god grund til.
Ifølge politiets oplysninger har oplysningerne maksimalt ligget på hjemmesiden i fire uger, og i den periode er det ifølge politiets oplysninger højst 30 personer, der har været inde og kigge.
Læs også: 3.100 lægers cpr-numre lagt på amerikansk hjemmeside
Spørgsmålet er, om der blandt de 30 er nogen, der vil forsøge at misbruge oplysningerne, f.eks. til identitetstyveri eller til at snyde med f.eks. telefonrecepter. Og det kan der sagtens være, siger overlæge og it-ekspert Peder Klement Jensen:
”Hvis man ringer til apoteket og præsenterer sig som læge, og kan oplyse sit cpr-nummer, kan de slå én op og se, at man er læge. Og så kan man få en recept på alt, selv de stærkeste morfika”, siger Peder Klement Jensen, der også er medlem af Lægeforeningens Sundheds-it –udvalg.
- Hvor bekymret skal man være?
”Man skal være bekymret. Ikke kun for vores egen skyld, men hvis du vil have befolkningens tillid til, at vi kan passe ordentligt på deres sundhedsdata, duer det ikke, at der sløses – som man så det med de ukrypterede CD-er fra Sundhedsdatastyrelsen”.
Faktaboks
Hermed hentyder han til, at en medarbejder i styrelsen sidste år ved en fejl afleverede to ukrypterede CD’er med cpr-numre og helbredsoplysninger om 5,3 millioner danskere til et kinesisk firma med tilknytning til Kinas ambassade.
”I øvrigt”, tilføjer Peder Klement Jensen, ”er det meget muligt, at der ”kun” er 30, der har været inde og kigge. Men det betyder jo så, at de kan have distribueret dem videre”.
Ud over CD-fadæsen har der været andre lækager af cpr-numre. For et par år siden offentliggjorde hacker-aktivister en liste med 91 politikeres navne og personnumre, som ”straf” for, at de havde stemt for en lov om Center for Cybersikkerhed.
Rasmus Theede, der er formand for Rådet for Digital Sikkerhed, er heller ikke tryg ved sikkerheden omkring håndteringen af cpr-numre og andre personfølsomme data: ”Det gør ikke noget, hvis man tager de paranoide briller på”, siger han.
- Er der nogen et sted, der bør få røde ører?
”Der begås hele tiden mange og grove fejl i håndteringen af følsomme persondata. Derfor er vi nødt til at sige, at datatyverier ikke må kunne ske. Men det er svært at have røde ører, før vi ved, hvor lækket kommer fra”.
- Hvor gode er chancerne for at opklare det?
”Hvis det kun er navne og cpr-numre er det vanskeligt for politiet at spore, hvor de stammer fra. Det er nemmere, hvis der samtidig er andre data, der indikerer, hvilket register, de stjålne data stammer fra”, siger Rasmus Theede, der er formand for Rådet for Digital Sikkerhed.
”Det kommer også an på, hvor serveren står. Hvis den står i et EU-land, hvor politiet kan gå ind og se, hvem der har lagt oplysningerne op, er der en mulighed. Men står den i f.eks. et østland, er det stort set umuligt. Det kræver et godt politisamarbejde”, siger Rasmus Theede.
”Der er uendeligt mange steder, hvor de stjålne data kan stamme fra. Men fordi det lige præcis er læger, lyder det, som om man kan indsnævre mulighederne: Hvem har et register over specifikke læger?”
”Man kan også se efter, hvilke læger, der har været tale om: Er de f.eks. fra en specifik region? Er der andre mønstre i data? Det kræver et godt, gammeldags stykke opklaringsarbejde. Og det er ikke ligefrem et område, hvor politiet er overbemandet”, siger Rasmus Theede.
Dit cpr-nummer er en adgangskode, du får udleveret ved fødslen, som skal vare hele livet, og som du ikke bare kan ændre. Rasmus Theede, formand, Rådet for Digital Sikkerhed
Også Peder Klement Jensen mener, at det helt afgørende for at spore lækagen må være at finde et mønster i, hvilke læger, lækagen omfatter:
”Har de f.eks. alle været ansat i Region Hovedstaden eller Region Syddanmark? Ansættelsesstedet kan fortælle meget – og her kan Lægeforeningen måske også selv hjælpe med til en opklaring”
- Kan man sikre den slags data mod tyveri?
”Det kan man, og det bør man”, siger Rasmus Theede. ”Men som sagen med CD’erne viser, behøves der kun et enkelt menneske, der skal lave en fejl. De personfølsomme data ligger utroligt mange steder, også hos mindre, private firmaer, der håndterer dem på vegne af kommuner eller regioner. Men derfor et det ekstra vigtigt, at de sikres”.
”I yderste konsekvens kan cpr-nummeret bruges til identitetstyveri. Netop derfor har man efterhånden strammet op mange steder, så man ikke uden videre udleverer f.eks. kørekort, sygesikringsbevis og andet”, siger Rasmus Theede. Han vil dog gerne gå et skridt videre:
”Numrene er efterhånden en offentlig hemmelighed, og derfor mener vi faktisk, at cpr-numrene bør gøres mere betydningsløse”, siger han.
”Dit cpr-nummer fungerer som adgangskode til vitale tjenester – en funktion, det aldrig var tiltænkt. Men lige netop med cpr-numre er problemet, at det er en adgangskode, du får udleveret ved fødslen, som skal vare hele livet, og som du ikke bare kan ændre”.
Peder Klement Jensen indrømmer, at han fik gåsehud ved oplysningen om, at 3.100 lægers cpr-numre var offentliggjort. ”Er mit ét af dem”, var hans første modspørgsmål. Han har det selv ret stramt med brugen af cpr-nummeret:
”Danskerne har været meget godtroende – og i betragtning af, hvor dårligt, der mange steder passes på data, og hvad der foregår af identitetstyverier, er jeg selv blevet meget forsigtig med, hvor jeg udleverer mit cpr-nummer”, siger Peder Klement Jensen.
