Lad aldrig cpr-nummeret stå alene: Det er ikke en autentifikation - men blot et løbenummer

Selv om cpr-systemet får kritik, så er det rigtigt nyttigt. Problemet er, at mange misforstår cpr-nummeret og ser det som en autentifikation. Men vi skal altid huske, at cpr-nummeret i sig selv blot er et løbenummer og ikke et element, der kan stå alene.
Henrik Larsen, chef for DKCERT
Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

I Danmark har borgerne været registreret siden midten af 1600-tallet, så der er styr på befolkningen.

I de sidste 50 år har vi anvendt cpr-systemet, men vi må nok se i øjnene, at der er en tendens til at overfortolke cpr-nummerets muligheder. Det er alene det ’stelnummer’, som adskiller borgerne fra hinanden. Altså en identifikation. Jeg møder ofte – tro det eller lad være – andre, der hedder det samme som mig. Men cpr-nummeret er unikt.

Vi skal blive skarpere til at skelne mellem autentifikation og identifikation, hvor autentifikationen af personen skal sikre, at der er tale om den rigtige person og ikke en, der misbruger en andens identitet.

Digitalisering i verdensklasse

Lad det være sagt med det samme: Vi kan ikke undvære cpr-nummeret.

Cpr-systemet er forudsætningen for den digitale identitet, som den offentlige og finansielle sektor allerede har indført, og den private sektor også er godt på vej med.

Den digitale identitet bygger på både identifikation og autentifikation.

Det vil sige, at man kender borgeren via cpr-nummeret og kombinerer denne viden med endnu to faktorer, der autentificerer vedkommende: Borgeren logger ind med brugernavn og password, og når det er vigtigt også med NemID-app eller nøglekortet.

Dette er en forudsætning for den digitalisering i verdensklassen, som vi har i Danmark.

Startede i 1646

Selv om der i disse år er meget snak om registrering, så er det langt fra et fænomen, der er opstået sideløbende med digitaliseringen.

Den startede faktisk helt tilbage i midten af 1600-tallet hvor vores berømte konge, Christian den 4., udskrev en forordning om, at kirkerne skulle registrerer fødsler, dødsfald og flytninger i kirkebøgerne.

I slutningen 1700-tallet begyndte staten at afholde folketællinger og cpr-systemet, som vi også anvender i dag, blev indført for præcis 50 år siden.

Der har med andre ord været styr på borgerne i landet i flere hundrede år, hvilket er en forudsætning for, at man kan sammenkæde en person med en identitet. Samtidig har vi vænnet os til tanken om, at staten har styr på os, hvilket langt fra er tilfældet i alle lande.

Jeg har fornyelig været til International Identity Summit, og når jeg snakkede med briter, canadiere eller amerikanere, der gerne vil digitalisere offentlige tjenester, så er de meget imponerede af, hvor langt vi er kommet med at give stort set alle en digital identitet.

De har nemlig store problemer med den basale registrering, og mange borgere eller lande ønsker den slet ikke. Det er noget af en udfordring, hvis man gerne vil digitalisere sikkert.

Ingen roser uden torne

Ulempen ved den lange historie vi har i kongeriget er, at vi kan have en tendens til at blive lidt for ’slappe’, eksempelvis med cpr-systemer.

Problemet er, at mange misforstår cpr-nummeret og ser det som en autentifikation og eksempelvis lader en forbruger indgå en kontrakt, et køb eller lån, alene på basis af et cpr-nummer. Vi skal huske, at cpr-nummeret i sig selv er blot et løbenummer, ikke et element, der kan stå alene.

Ingeniørforeningen har tidligere på året kritiseret vores allesammens identifikationsnummer og kaldt modellen ” teknologisk forældet, og en sikkerhedsrisiko i en tid med globale cybertrusler.”

Så langt vil jeg ikke gå, men det meget vigtigt, at det ikke bliver misbrugt og misforstået. Cpr skal kombineres med noget du ved, noget du har og gerne med noget, du er.

Men vi kan godt klappe os selv på digitaliseringsskulderen og takke Christian den 4. for sit fremsyn, for vi er meget langt, og vi er på rette vej, men har selvfølgelig løbende behov for justeringer, så vi holder os på rette spor.

Oprindelig bragt på Computerworld Online den 28. september 2018.