Det norske firmaet Norkart har hatt datainnbrudd. Hele databasen deres er kopiert.
Dette høres ut som en ikke-sak. Et firma ingen har hørt om har levert ut data til noen som ikke skulle hatt tilgang. Dessverre er dette et alvorlig problem.
Databasen til Norkart inneholder blant annet navn, adresse og fødselsnummer på alle som eier eller har eid hus i Norge, dvs. over 60% av oss. Slik informasjon er gull verdt for kriminelle. Den gjør det nemlig mulig å få kjøpt varer på avbetaling, og sende regningen til noen andre.
Norkart hacka - data om 3,3 millioner nordmenn kan være stjålet
Sånn kan dataen misbrukes
Fremgangsmåten er veldig enkel:
K. Riminell går inn i en butikk og kjøper en dyr TV, fordelt på fire avdrag. For å forsikre seg om at herr Riminell har råd til dette, sjekker butikken kredittverdigheten med Bisnode. Kredittverdigheten er et tall som angir hvor sannsynlig det er at vi betaler regningene våre.
Men herr Riminell oppgir selvsagt ikke sitte eget navn. I stedet for brukes mitt navn og fødselsnummer, som Norkart har levert ut. Bisnode finner at alt er vel, K. Riminell betaler (kanskje) første avdrag og tar med seg TV-en. Butikken sender så en faktura til meg neste måned.
ID-tyveri er litt mer omfattende enn det som er beskrevet her. Men jo mer informasjon K. Riminell har om meg, jo enklere er det å overbevise TV-butikken om at det er meg de snakker med. Dataene fra Norkart er såpass omfattende at det utgjør en trussel fordi en del operasjoner nå kan automatiseres.
Norkart-hacking skyldtes trolig en åpen port: - Viktig å støtte utviklerne som har tabbet seg ut
Du må selv ta grep
For å forhindre at herr Riminell kan kjøpe TV for mine penger, må jeg fortelle Bisnode at TV-butikken ikke kan spørre om kredittverdigheten min. Hvis TV-butikken ikke kan sjekke det, vil de heller ikke selge meg TV på avbetaling.
Dermed får ikke K. Riminell med seg noen TV den dagen.
Men hvordan ble dette mitt ansvar? Bisnode er ikke et selskap jeg har noe forhold til, jeg vet knapt at det eksisterer. Hvordan kan jeg i det hele tatt vite at jeg skal fortelle dem noe som helst? Finnes flere slike selskaper? Selvsagt gjør det det. For privatpersoner er det for øyeblikket fire forskjellige firma som tilbyr kredittsjekk av privatpersoner!
Fordi Norkart, et firma jeg aldri har hørt om, har gjort en liten feil, må jeg kontakte fire andre firma, som jeg heller ikke har hørt om, for å forhindre personlig økonomisk tap.
Vi kan da ikke ha det sånn? Dette er da vitterlig mine data, mine private data, beskyttet av GDPR. Hvordan i all verden skal jeg holde kontroll når det øyensynlig dukker opp nye firma som har tilgang til dataene mine? Får jeg beskjed når det dukker opp et nytt slikt selskap så jeg kan reservere meg?
Nettsted krasja av sperre-boom etter Norkart-hack: - Rush vi aldri har opplevd
Ikke enkelt å hjelpe
Å holde seg trygg i denne situasjonen, er altså både vanskelig og tidkrevende, selv for oss med høy teknisk kompetanse. Men ikke alle har slik kunnskap. Mange av oss vokste opp i en tid der lønnen ble betalt ut i kontanter. Når Lysverket hadde skranker der man kunne gå og betale strømregningen sin.
Disse medmenneskene er dessverre også mest utsatt for svindelforsøk. De trenger med andre ord hjelp fra de rundt seg, for å beskytte seg selv.
Å gi denne hjelpen er ikke enkelt. De fire nevnte firmaene bruker BankID som pålogging. BankID er strengt privat. Kontrakten hver og en av oss har undertegnet, sier at vi ikke skal dele informasjon om pålogging med noen andre, ikke en gang egen, nære familie.
Samfunnet vårt er nemlig blitt så opptatt av individets rettigheter at det går ut over mulighetene til å samarbeide og hjelpe hverandre. Det er synd. Menneskets beste arbeid gjøres når vi samarbeider med andre. Dette individfokuset er rett og slett litt i konflikt med det å være menneske.
«Dagens situasjon der individets privatliv er så beskyttet at vi ikke en gang selv kan gi andre tillatelser og tilganger, er kanskje gått litt for langt?»
Har det gått for langt?
Denne utestengingen av enkelte grupper er dermed et alvorlig problem, mest for de som utestenges , men også for hele samfunnet. Vi må klare å lage løsninger og systemer som både trygger individet, men som også tillater og inviterer til samarbeid og å hjelpe hverandre.
Den gruppen som kanskje har det aller vanskeligst, er de med mentale helseproblemer. Disse sykdommene går ofte i bølger. Enkelte dager er gode dager med full kontroll på alle gjøremål. Andre dager er alt helt kaos. Det høye fokuset på individets rettigheter gjør det ekstra vanskelig å hjelpe dem. Når de trenger det mest, er de gjerne ikke i stand til å forstå at de trenger hjelp.
Hvor går denne grensen mellom å få lov til å gjøre egne feil og å ikke klare å ta vare på seg selv?
For mennesker med demens eller Alzheimers, kan en vergeløsning fungere ettersom tilstanden gradvis blir verre. Men for mennesker med for eksempel psykoser, er det gjerne ikke den beste løsningen. De gode periodene kan være lange. Da er det liten grunn til at de skal være fratatt økonomisk kontroll.
Hvordan lager vi et samfunn der disse behovene balanseres godt? Dagens situasjon der individets privatliv er så beskyttet at vi ikke en gang selv kan gi andre tillatelser og tilganger, er kanskje gått litt for langt?
FINN.no betaler folk for å finne feil: - Vi blir angrepet nesten hele tiden
Vi må få tilbake kontrollen
Når det gjelder lekkasjen hos Norkart, er det opplagt at å be 3,5 millioner mennesker om å logge inn på fire forskjellige nettsteder for å sperre for kredittsjekk er helt meningsløst. Det legger ansvaret på hver enkelt for noe som de ikke kan ha kontroll over.
Den opplagte løsningen er selvsagt at myndighetene pålegger de fire selskapene å stenge for all kredittsjekk for en avgrenset periode. Dette vil påvirke økonomien kraftig. Etter to år med pandemi er det ikke akkurat det vi trenger.
Men vi trenger at enkeltindividet får tilbake kontrollen med økonomidataene sine. Det betyr at jeg må kunne bestemme over hvem som kan se disse dataene. Det skal ikke være opp til TV-butikken og Bisnode.
Dette er mine data, og jeg bestemmer. Dermed må det være mulig for meg å slå av og på sperren når det passer meg. Det betyr enkel pålogging, enkel UX, sannsynligvis en app på mobilen.
Hos enkelte leverandører tar det opp mot en time før endringen trer i kraft. Det er selvfølgelig ubrukelig. For å sperre for kredittsjekk hos Experian, må vi opprette en bruker. Da krever Experian at vi oppgir epostadresse og telefonnummer.
Altså, for å beskytte egne data, må man oppgi mer data? Her har Experian gjort en alvorlig blunder.
750 nordmenn skal være rammet av Axie Infinity-hacking
Myndighetene må kreve endring
Nå må vi ikke glemme de som trenger hjelp. Det må være mulig å dele tilgangen til å styre dette med andre.
Kanskje det skal være litt andre regler. For eksempel, hvis jeg åpner for kredittsjekk av min mor, gjelder åpningen bare i 30 minutter. Hvis hun gjør det selv, kan hun velge så lang tid hun ønsker selv.
Disse endringene koster. Firmaene som tilbyr kredittsjekk, har lite eller ingen incentiver forå utvikle denne løsningen. Det er ikke jeg som velger at TV-butikken sjekker med Bisnode. Dette avhenger av avtalen mellom butikken og Bisnode. Denne gjelder altså mine data, men jeg har ingenting jeg skulle ha sagt om det.
Derfor må myndighetene på banen for å kreve at slike løsninger utvikles, som krever at det er vi som har kontrollen over når data skal returneres. Det er vi som skal velge hvordan slike forespørsler skal håndteres. Løsningen må også gjøre det svært enkelt å gi andre delvis og full kontroll. Ikke bare må det være lett å gjennomføre, det må også være enkelt å vite om at det er mulig.
Helt til slutt vil jeg berømme Norkart for oppførselen i denne krisen. De har være tydelige på hva som har skjedd, samtidig som de ikke skylder på de enkeltpersonene som gjorde feilen. Jeg har skrevet to lengre, (svært) tekniske artikkel om hvor lett det er å gjøre slike feil og hvor store konsekvenser det kan få. Derfor er det flott å se at selskapet stiller opp og tar støyten.
Likevel er det opplagt at dette må få konsekvenser for dem. De kan ikke miste så mye data uten straff, selv hvor riktig de har oppført seg etterpå.