Tele 2 ble advart

I et brev datert 30. november 2006 ber Datatilsynet om at Tele 2 redegjør for sin bruk av fødselsnummer i rutinene for bestilling i teleselskapets nettbutikk. Bakgrunnen er kundeklager på praksisen.

Tele 2 blir advart om at "helt tilfeldige personer [...] kan etter det tilsynet erfarer fra legge inn helt tilfeldige fødselsnummer og dermed anskaffe seg informasjon om personer, samt verifisere fødselsnumre" .

Teleselskapet blir bedt om å forklare nødvendigheten av å bruke fødselsnummer i forhold til lovverket.

Avviser problemet

I sitt svar 4. januar 2007 bekrefter Tele 2 at kundene må taste inn sitt fødselsnummer ved bestilling, og at det da gjøres et oppslag mot folkeregisteret for å sjekke at riktig adresse blir brukt. Hvis ikke nummeret er riktig, blir ip-adressen utestengt i en time:

"Denne utestengelsen gjør at det ikke skal være mulig å lage et javaskript som genererer fødselsnummer og lagrer folkeregistrert informasjon i de tilfelle fødselsnummerert er gyldig" skriver teleselskapet, som mener de har god grunn til å bruke fødselsnummeret på denne måten, for å sikre fakturering til riktig navn og adresse.

Datatilsynets antydning om faren for id-tyveri avvises ganske tydelig.

"Tele 2 er videre usikker på hva Datatilsynet sikter til når det antydes at informasjon om personer blir lettere tilgjengelig for andre, ved bruk av fødselsnummer sett opp mot annen entydig registrering av sluttbrukere."

LES OGSÅ: Id-tyveriene kan gi strengere lov

Ikke fornøyd

Datatilsynets svarbrev kom først 21. mai (!). Tilsynet fastholder at sikkerheten i Tele 2s kundebestilling ikke er god nok, blant annet fordi fødselsnummeret brukes til både autentisering og identifisering.

"Mange internettbrukere har i dag dynamisk ip-adresse eller kjennskap til proxy-teknologi, eventuelt andre metoder for å omgå denne sikkerhetsmekanismen" står det i brevet fra tilsynet som nok en gang ber om at Tele2 "revurderer sin bruk av fødselsnummer, prosedyrer og sikkerhet implementert i sin nettbutikk".

På grunn av ferieavvikling blir partene til slutt enige om å møtes 16. august.

To uker før møtet blir Tele 2 utsatt for det mye omtalte id-tyveriet, der persondata fra 50 000 kunder blir tappet nettopp på den måten tilsyn har beskrevet i sine brev til Tele 2.

Tar selvkritikk

- Vi tok opp dette internt. Det kom ingen pålegg fra Datatilsynet, men det er klart vi tar selvkritikk på at ikke noe ble gjort tidligere, sier markedsdirektør Christian Sæterhaug i Tele 2 til Computerworld.

Det var ikke mulig å få til et møte med Datatilsynet før i midten av august, forklarer han. Da id-tyveriet ble oppdaget, gikk det likevel bare en dag før en sikkerhetsmekansime var på plass.

- Vi har lagt på en verifisering slik at det ikke lenger er mulig å bestille abonnement bare med fødselsnummeret. Dette er en problemstilling som rammer hele vår bransje. Men denne saken viser viktigheten av å diskutere dette videre, sier Sæterhaug.

- Mangler handlingsrom

I en artikkel offentliggjort 9. juli beskriver professor Kjell Jørgen Hole og doktorgradsstipendiat André Klingsheim ved Universitetet i Bergen hvordan identitetstyveri kan enkelt utføres i Norge av personer med enkle programmeringskunnskaper.

Programmet ble demonstrert for såvel Kredittilsynet som Datatilsynet, tidlig i år før det ble omtalt i Aftenposten i juli, forteller Hole.

Hole erkjenner at "Lars" som fortalte om sitt id-tyveri i Dagbladet, trolig har hentet "oppskriften" fra forskernes artikkel "Identity Theft: Much too Easy? A Study og Online Systems in Norway", som er publisert på nettet.

- Vi valgte å gå ut med vår artikkel fordi problemet med id-tyveri angår hele befolkningen, sier Hole til Computerworld.

Ville belyse svakheter

Forskernes formål har blant annet vært å belyse svakheten i systemene som benyttes av virksomheter for autentisering på nettet. Hole mener at historien med Tele 2 og Datatilsynet viser at de statlige tilsynene trenger sterkere virkemidler.

- Vi har demonstrert vårt program for Datatilsynet og Kredittilsynet. Datatilsynet skriver brev, men motparten ignorerer innholdet.

- Da progammet til"Lars" ble kjent, tok det en dag før feilen ble rettet. Det må smelle før det skjer noe. Det kan se ut til at de offentlige organene trenger mer effektive virkemidler, sier han.

Ingen hemmelighet

Problemet med bruken av fødselsnummer ligger i en misforståelse, mener Hole.

- I utgangspunktet er ikke fødselsnummeret noen hemmelighet, men fødselsnummeret blir desverre benyttet som en hemmelighet ved autentisering av personer. Fordi det er enkelt å få tak i fødselsnummeret til en vilkårlig person blir det lett for en id-tyv å utgi seg for personen. Videre er det slik at fødselsnummer benyttes i mange sammenhenger. Dermed er det ikke vanskelig å bygge en bred profil med mye informasjon om enkeltpersoner.

Risikoen er stor, mener Hole.

- Det er billig og enkelt å kjøre masse angrep og få tilgang til flere systemer. Over 1500 aktører har tilgang til Folkeregisteret og flere av dem lekker. Dette er egentlig et stort problem, sier informatikkprofessoren.