Private virksomheder og offentlige myndigheder i Danmark sløser med it-sikkerheden. Det er det succesfulde hackerangreb på politiets it-leverandør CSC et godt eksempel på.

Det mener it-eksperten Poul-Henning Kamp, der er selvstændig systemprogrammør og manden bag bloggen It-skepsis på Ingeniørens it-hjemmeside Version2.

- It-sikkerheden i Danmark er noget hø. Det er sådan et ord, der indgår i direktørers skåltaler om principper, men sikkerheden bliver ikke taget seriøst. Der er ingen substans bag de fine ord, og det bliver ikke prioriteret, siger han til DR Nyheder.

Læs også : Politiets kørekortregister er blevet hacket

Inkompence bag i t-sikkerhed

Selv har it-eksperten under en rejse siddet ved siden af en ansat i et IC3-tog, der over en telefonsamtale ifølge Poul-Henning Kamp gav koder til en ftp-server, hvor dele af CPR-registret ligger, så alle i kupeen kunne høre det.

- Det viser en inkompetence uden grænser, og det er den form for inkompetence, der gennemsyrer it-sikkerheden eller mangel på samme i Danmark, siger Poul-Henning Kamp.

Han kritiserer de offentlige myndigheder for at holde fast i et system, hvor man kan komme ind i databaser med personfølsomme oplysninger blot med hjælp fra et password.

- Drop password-system

Problemet med passwordene er, at det er alt for nemt for hackere at få fingre i dem, fordi de ikke beskyttes godt nok.

Hans gæt er, at politiets kørekortregister netop er blevet hacket, fordi det er lykkes hackerne at få fat i et password.

Læs også : To personer mistænkt for CPR-hackerangreb

Ifølge Poul-Henning Kamp kunne både private virksomheder og offentlige myndigheder sikre sig langt bedre mod hacking, hvis de droppede systemerne med passwords.

- Der er forsket i kryptering i mange år, og myndighederne ville nemt kunne indføre et system, så man kan overføre data og få adgang til data uden password. Digital signatur er for eksempel bygget op på sådan et system, fortæller it-eksperten.

Risiko for identitets-tyveri

Poul-Henning Kamp forklarer, at det er et stort problem, når hackere får adgang til offentlige registre med CPR-numre, fordi mange myndigheder og virksomheder kun kræver at få oplyst et CPR-nummer, når danskere skal identificere sig selv.

Med et CPR-nummer ved hånden kan man nemt udgive sig for at være en anden hos kommunen eller hos skat, og man kan uden de store problemer købe på klods. Poul-Henning Kamp

- Det kan føre til et identitetstyveri, der kan have store konsekvenser for dem, det går ud over. Med et CPR-nummer ved hånden kan man nemt udgive sig for at være en anden hos kommunen eller hos skat, og man kan uden de store problemer købe på klods, siger Poul-Henning Kamp og tilføjer:

- Problemet er også, at når oplysningerne er hacket og ude, kommer de ikke tilbage. Låget er af kagedåsen. Hvis man skal råde bod på den slags datalæk, skal alle berørte identificere sig på ny, og man skal give dem nyt CPR-nummer. Det kan man jo ikke.

- Skru bissen på

En skrappere lovgivning på området er tiltrængt, fastslår it-eksperten:

Bissen skal skrues på, så folk, der arbejder med it-sikkerhed, opper sig. Jeg mener, at direktører skal kunne komme i fængsel, hvis de sløser med it-sikkerheden. I øjeblikket er der ingen konsekvens, der gør ondt. Poul-Henning Kamp

- Bissen skal skrues på, så folk, der arbejder med it-sikkerhed, opper sig. Jeg mener, at direktører skal kunne komme i fængsel, hvis de sløser med it-sikkerheden. I øjeblikket er der ingen konsekvens, der gør ondt.

Professor på IT-universitet og ekspert i identitets-tyveri, Joseph Kiniry, har også tidligere været ude og kritisere it-sikkerheden i Danmark.

I december sidste år udtalte han til BT, at de danske myndigheder bør handle i en fart.