Er dit CPR Nummer hemmeligt? Og hvor farligt er det egentlig hvis en hacker sletter CPR-Registeret?

Som bekendt blev CVR.DK hacket for et par uger siden, når vi snakker IT Sikkerhed er det oceaner af tid siden. Ikke desto mindre hørte jeg idag i radioen et indslag hvor en såkaldt “sikkerhedsekspert” fra et større dansk, også såkaldt “sikkerhedsfirma” fremsatte et par påstande der chokerede mig lidt, godt nok på en lidt anden måde end journalisten forventede.

De to udtallelser var (frit fra hukommelsen):

  1. Hvis en hacker får adgang til CPR Registret og sletter alting, går verden istå herhjemme, banken kan ikke udbetale din løn og lægen kan ikke give dig medicin.
  2. Hvis en hacker får adgang til dit, ellers fortrolige, CPR Nummer kan han ringe ned til banken og f.eks. optage et lån i dit navn.

Jeg er lidt ked af at jeg ikke kan finde citatet på skrift, det ville nemlig have være på sin plads at nævne virksomheden og personen ved navn. Men det må desværre blive ved tanken.

Er dit CPR Nummer hemmeligt? 
Nej dit CPR nummer er ikke mere hemmeligt end din adresse eller dit fulde navn, formålet med et CPR nummer er udelukkende at have en unik måde at identificere dig på. Lidt på samme måde som nummerpladen på din bil, så derfor kan du selvfølgelig ikke optage et lån i en andens navn blot ved at kende personens CPR Nummer.

Der findes fejlagtigt personer der tror dette, ligesom der findes eksempler på virksomheder der bruger kendskab til CPR Nummer til at autentificere personer … f.eks. dating sider. Det er i bedste fald en meget svag autentificering, i værste fald er det komplet ligegyldigt idet at et dating-site kan få adgang til CPR Registret så kan en hvilken som helst virksomhed med den rette økonomi også få adgang.

Jeg mener det er skadeligt at både det offentlige og samfundet generelt betragter CPR numre som noget hemmeligt, jeg har sågar hørt en receptionist på apoteket tysse på mig da jeg oplyste mit CPR nummer og jeg blev bedt om ikke at sige min pinkode højt, og i stedet vise mit sygesikringskort. Lige i situationen var jeg feberramt og havde ikke lige energi til en diskusion, så jeg stak hende mit kort og fik udleveret min penicillin.

Fun Fact. Kim Larsen udgav tibage i 1979 en plade hvor hans eget CPR Nummer udgør titlen på pladen.

Datatilsynet er hurtigt ude med riven ifht. registrering af CPR Numre, det virker som om at de også er af den opfattelse at CPR Numre kan og bør bruges som autentificerings-tokkens, og jo det ville da være rart med en sikker og officiel metode at autentificere danske statsborgere, men CPR Nummeret ér altså ikke metoden. Hvis vi for et øjeblik antager at det giver mening med et statisk tokken for at autentificere en person hvad er så problemet med at bruge CPR Nummeret til det?

  • 4 cifre det giver umiddelbart 9999 muligheder, hvoraf personnumre udstedt før 2007 endda kan indsnævres yderligere vha. bla.a. modulus 11 kontrol og hvis du kender personens alder (i år 2008 kan “07” både være en 1 år gammel baby eller en 101 år gammel pensionist) kan du ydermere helt eliminere første ciffer i løbenummeret, hvorefter vi er nede på 3 cifre. Alt i alt betyder det at for alle voksne mennesker idag er der reelt kun 540 gyldige cpr numre.
  • Dernæst skal cifferet selvfølgelig kunne skiftes i tilfælde af at kriminelle elementer får fingrene i det.
  • Dernæst skal det selvfølgelig være muligt at give autentificering til firma a uden at en personen der håndterer din autentificering får adgang til data om dig (dit cpr nummer)

Kort opsummering: Personer der tror at hele eller dele af et cpr nummer er hemmeligte, og kan bruges til autentificering er en omvandrende sikkerhedsrisiko og bør under ingen omstændigheder tituleres “sikkerhedsekspert”

Hvad sker der hvis en hacker sletter hele CPR Registeret?

Med chance for at skabe et antiklimaks i artiklen så sker der det simple at en operatør (evt. en ekstern konsulent såfremt de ikke har kompetencen inhouse) hos Det Centrale Personregisters datacenter bliver vækket, og sendt på arbejde. Han vil identificere fejlkilden, finde ud af hvordan hackeren kom ind og få lukket hackerens adgang. Derefter vil han med hjælp fra sine logfiler afgøre hvor længe hackeren har været i systemet og genskabe den seneste hacker-fri backup … og ja, så er man lige nødt til at gen-registrere de sidste par dages dødsfald og fødsler på ny.

Ovenstående er basseret på at dem som har designet systemet har gjort det med hovedet under armen, hvis det er bare nogenlunde ligevægtige systemdesignere der har bygget systemet, så logger de simpelthen bare ind på databasen og hiver transaktionsloggen ud og finder den kommando hackeren har udført for at slette alting, fjerner den og kører replay af loggen.

Med andre ord, det er langt fra katastrofalt at en hacker sletter hele CPR Registret, katastrofen indtræder først hvis han hacker det uden at blive opdaget, og efterfølgende vælger at misbruge data i systemet. F.eks. kan det blive meget svært for dig at overbevise din bank om at du ikke er død, hvis det i CPR Registret pludselig fremgår at du er afgået ved døden.

Enhver med bare en smule erfaring indenfor sikkerhedsbranchen ved at hvis du er blevet hacket og hackeren har gjort opmærksom på sig selv ved at slette alting, eller plante propaganda, eller gå i pressen med opdagelsen så har hackeren gjort dig en tjeneste, en stor tjeneste.

Folk der siger andet er en flok amatører som du er bedst tjent med at ignorere og på ingen måde involvere i beslutningsprocessen vedr. IT Sikkerheden i din organisation, og de har bestemt heller ikke fortjent at blive fremhævet i radioen som “Sikkerheds eksperter”.

IT Sikkerhed er noget der startes i designfasen og løbende vedligeholdes under hele den givne løsnings levetid, det inkluderer først og fremmest at regelsæt baseret på sund fornuft og generel mistro til alt indtil det explicit verificeres ikke at udgøre en trussel.