(28.03.2009) Brønnøysundregistrene ser alvorlig på at det er avdekka ei liste over fødselsnummer i Brønnøysundkatalogen. Det viser seg at fødselsnumrene hadde ei alt for enkel kryptering. Katalogen var tilgjengelig på CD-rom i perioden 2000-2006, og ble laget av en forlegger som hadde avtale med Brønnøysundregistrene.
Det er ingen grunn til å tro at fødselsnummer er tilgjengelig for noen via Brønnøysundregistrene si nåværende offentliggjøring av elektroniske registeropplysninger. Vi setter likevel i gang en gjennomgang av distribusjonsløsningene våre for å bekrefte dette. Vi er i dialog med Datatilsynet og Nasjonal sikkerhetsmyndighet om saka.
En vanlig bruker av Brønnøysundkatalogen ville ikke se fødselsnummer på CD-en. Vi regner det slik at man trenger spesiell datakunnskap for å hente fram de lett krypterte opplysningene. Likevel ser vi at Brønnøysundregistrene burde ha gjort mer for å sikre at krypteringen som ble gjort av forleggeren var sikker nok. Fødselsnumrene var brukt som identifikator i forbindelse med bestilling av produkt utenfor katalogen.
Det var en privatperson som avdekka problemet. Han varsla media og Nasjonal sikkerhetsmyndighet. Siden Brønnøysundregistrene ble gjort oppmerksomme på problemet av media om ettermiddagen onsdag 25. mars, har det blitt jobba hardt for å avdekke omfanget. Katalogen ble solgt i rundt 1500-2000 eksemplarer hvert år. 2007 var det siste året produktet eksisterte, men da var det ingen interesse for det. Det er sannsynlig at den samme kundegruppa har kjøpt katalogen hvert år. En ekstern forlegger stod for produksjon, markedsføring, salg og distribusjon etter avtale med Brønnøysundregistrene. Brønnøysundregistrene leverte data til katalogen.
|
