(28.03.2009) Brønnøysundregistra ser alvorleg på at det er avdekka ei liste over fødselsnummer i Brønnøysundkatalogen. Det viser seg at fødselsnummera hadde ei alt for enkel kryptering. Katalogen var tilgjengeleg på CD-rom i perioden 2000-2006, og vart laga av ein forleggar som hadde avtale med Brønnøysundregistra.
Det er ingen grunn til å tru at fødselsnummer er tilgjengeleg for nokon via Brønnøysundregistra si noverande offentleggjering av elektroniske registeropplysningar. Vi set likevel i gang ein gjennomgang av distribusjonsløysingane våre for å stadfeste dette. Vi er i dialog med Datatilsynet og Nasjonal sikkerhetsmyndighet om saka.
Ein vanleg brukar av Brønnøysundkatalogen ville ikkje sjå fødselsnummer på CD-en. Vi reknar det slik at ein treng spesiell datakunnskap for å hente fram dei lett krypterte opplysningane. Likevel ser vi at Brønnøysundregistra burde ha gjort meir for å sikre at krypteringa som vart gjort av forleggaren var sikker nok. Fødselsnummera var brukt som identifikator i samband med bestilling av produkt utafor katalogen.
Det var ein privatperson som avdekka problemet. Han varsla media og Nasjonal sikkerhetsmyndighet. Sidan Brønnøysundregistra vart gjort merksame på problemet av media om ettermiddagen onsdag 25. mars, har det vorte jobba hardt for å avdekke omfanget. Katalogen vart selt i kring 1500-2000 eksemplar kvart år. 2007 var det siste året produktet eksisterte, men då var det ingen interesse for det. Det er sannsynleg at den same kundegruppa har kjøpt katalogen kvart år. Ein ekstern forleggar stod for produksjon, marknadsføring, sal og distribusjon etter avtale med Brønnøysundregistra. Brønnøysundregistra leverte data til katalogen.
|
