Mitt personnummer er stjålet. Hurra!

I går kunne Computerworld avsløre at også Combitel hadde benyttet en helt hårreisende dårlig kredittsjekkrutine på nett. Dermed hadde også de blitt tappet for fødselsnumre (dvs. fødselsdato+personnummer).

Om du er kunde av Combitel eller ei betyr ingenting. Alle nordmenn var potensielle ofre. I forrige måned skjedde akkurat det samme med Tele2.

Resultatet er at det finnes folk, muligens med uredelige hensikter, som har skaffet seg tilgang til lister med personnummer, navn og adresse til over hundre tusen nordmenn. Og slike lister er en salgsvare.

Til og med Georg Apenes, Datatilsynets direktør, er offer for tappingen av fødselsnummer. Id-tyven bestilte like godt et mobilabonnement i Apenes' navn, noe som gjorde at Apenes fikk nytt sim-kort og velkomstbrev i posten.

Personnummeret er en finurlig greie. For det er ikke slik som mange tror at det er et hemmelig nummer. Det er bare underlagt spesiell beskyttelse. Vi er vant til å gi fra oss nummeret støtt og stadig til alle bedrifter som spør om det. Enten det er banker, forsikringsselskaper, teleselskaper eller den lokale butikken, der vi kanskje ønsker å kjøpe noe på avbetaling.

Og dersom du har fødselsdatoen til noen, er det veldig lett å finne personnummeret, så lenge det kun er et par hundre potensielle personnumre som er gyldige for en gitt fødselsdato, og så lenge det finnes nettjenester som Tele2, Combitel og Posten, som lar deg teste ut alle disse kombinasjonene. Her kan du lese om hvor lett det egentlig er.

Likevel er det mange, både privatpersoner, bedrifter og offentlige virksomheter, som har fått en slags vrangforestilling om at fødselsnummeret er hemmelig, altså noe bare du vet. Og dermed så er det bare så altfor fristende å bruke det til autentisering i mangel av noe annet.

Det vil si når du er på internett og skal utføre en tjeneste, eller når du ringer til noen. Enten det er å bestille et kredittkort, et mobilabonnement, å omadressere posten din eller å overføre penger.

- Hei, jeg heter Bjørn Unnersaker og skulle gjerne overføre 20.000 kroner fra min bankkonto, jeg husker ikke nummeret, over til konas konto...

- Javel, hva er ditt fødselsnummer?

At over hundre tusen fødselsnnummer har kommet på avveie siden august, er egentlig ikke noe problem. Det er starten på en løsning.

For sannheten er at det er så enormt mange som har hatt tilgang til ditt fødselsnummer gjennom årene, at fødselsnummer/personnummer som autentiseringsmetode omtrent er like pålitelig som fødselsdato, mellomnavn eller farge på håret.

Er det så galt at Tele2 og Combitel har gitt ukjente tilgang til fødselsnummeret ditt? I Nordea og DNB NOR sitter tusenvis av bankansatte, sikkert med varierende etikk som i alle andre bransjer, og kan klikke seg inn på deg, kikke på kontiene dine og se alt du foretar deg. Hvor du befinner deg, hva du handler, hvor mye formue du har, hvor mye du betaler i husleie.

Enkelte av dem tjener ifølge forfatter Håvard Melnæs litt ekstra ved å tipse Se & Hør.

Bankene har visstnok ingen mulighet til å se hvilke ansatte som har vært inne på en konto til en gitt tid. – Systemet er bygd opp på tillit til våre ansatte, sa informasjonssjefen i DnB Nor, Morten Skauge, til DN.

Resultatet av personnummerskandalen i sommer må bli at bedriftter og offentlige virksomheter tar til vettet og slutter å godta personnummer for autentisering. Jeg forventer mange innstramminger fremover, og jeg er ikke fornøyd før absolutt ingen aksepterer personnummer alene for autentisering. Først da blir ID-tyveri vanskelig.

Hvordan skal vi få til det da?

Det finnes mange muligheter. For eksempel sms-autentisering og myndighetenes digital-signatur-prosjekt. Personnummerskandalen bør sette fart i arbeidet med nye autentiseringsmetoder.

De som er avhengig av autentiseringsløsninger må tvinges på banen, og da må Datailsynet slipe knivene. Det har kommet nok brev og pressemeldinger fra den kanten. Nå må det pålegg og anmeldelser til.