Data leak Norkart

Leser at 3,3 mill. nordmenn har blitt utsatt for data lekkasje via Norkart og man nå rådes til å passe seg.
Holde øye med postkasse og e-post står det.

Hva er det helt nøyaktig de kriminelle kan bruke personnummer og adressen til?

Bestille pass og bank / kredittkort må gjøres via innlogging med bank id.

Trodde ikke lenger at personnummer var regnet som sensitiv informasjon?

En god del av problemene ligger jo i at systemene ikke håndteres fornuftig - at jeg kan "mitt eget" personnummer, skal ikke være god nok grunn til å anta at jeg er meg selv...
(Hvis du forstår hva jeg mener...)

Frivillig sperre det er 4 steder du bør gjøre dette.

At folk ikke allerede har gjort det er utrolig, gratis forsikring mot en vanlig form for ID-tyveri som de advarer mot her. Det hindrer folk i å bestille på kreditt i ditt navn, noe som dessverre er latterlig enkelt. Så en godt moden løk på en dokumentar som bare fortsatte å bli utsatt for netthandel gjennom id-tyveri uten å løse dette så latterlig enkelt. Trur han likte å leke detektiv med å spionere på de som brukte hans navn.

Dette var interessant. Er det noen ulemper av betydning ved å sperre for dette?

Du må inn å oppheve den når du skal handle på kreditt, det kan da være litt dritt å vite hvem av 4.
Uten å være helt sikker på alle 4 så mener jeg de alle er digitale med BankID login. Bisnode og Experian er de vanligste og har enkel tilgang til «min side» vet jeg. Så akkurat det kan være litt mig når noen du ikke kjenner fra før skal kredittsjekke deg så må du være i forkant å vite hvem av de 4 du skal oppheve. Ellers får du jo bare avslag når de ikke får kredittsjekk.

Det som _er_ utrolig er at myndighetene ikke legger inn krav til å benytte en fellestjeneste i sine konsesjonskrav. Det er jo sånne ting vi har myndigheter til. Så kan man si at det egentlig er like utrolig at defaulten ikke er sperret men åpen. Kvalmende fremvisning av lobbymakt.

Ja men nå var det ikke det dette gjaldt.

En grei påminnelse om å reservere seg mot kredittsjekk for oss som ikke tenker på slikt til daglig.
Akkurat nå ligger kredittsjekk-sperretjenesten hos Expedia nede. Gikk veldig greit å reservere seg hos de tre andre. Regner med at jeg ikke er den eneste som gjør dette i dag.

Men - hvorfor er ikke kredittsjekk sperret som default?
Så får man heller gi uttrykkelig tillatelse til dem som ønsker å sjekke oss i hvert enkelt tilfelle?

I hvert fall så lenge som myndighetene våre gir ID-tyvene mer eller mindre fritt spillerom og gir f... i å sette på tilstrekkelige ressurser til å etterforske/hjelpe ofrene for slikt?

Spent på hvilken reaksjon Norkart får. Det er åpenbart for meg at det er slurv fra deres siden som har skapt problemer for <3,3M mennesker. For signaleffektens skyldt håper jeg på foretaksstraff i størrelsesorden 1000,- per person. Det betyr selvfølgelig slutten for Norkart, men det betyr også at alle andre som forvalter slik informasjon øyeblikkelig tar grep. Det vil også bli slutt på at bedrifter selv melder fra om data på avveie, men det kan i noen grad kompenseres for med signaturdata i datasettene de får tilgang til.

Angående reservasjon mot kredittsjekk gjorde jeg dette for noe år siden. Gikk fint hos de norske, men den svenske brukte ikke BankID, og måtte ha kopi av passet mitt for å gjøre det. Med tanke på hvordan organisert kriminalitet har fått fotfeste i svenske institusjoner ble risiko for høy til at jeg gjorde det. Skal sjekke på nytt.
Ved bytte av telefonabonnement må jeg åpne opp, men ellers uproblematisk. Hvis en stor andel nordmenn reserverer seg vil firma som trenger kredittsjekk opplyse på nettsiden hvilke firma de bruker slik at det blir lettere å åpne kun den relevante.

Nei dette gjelder ikke kredittsjekk til å begynne med. Så hva er poenget ditt?

De to neste stegene må åpenbart bli:

1) Felles register for å reservere seg
2) Push på BankID for å bekrefte kredittsjekk. Hvis jeg nå prøver å betale noe i nettbanken, må jeg verifisere med BankID. Hvorfor ikke bare ha samme krav nå kredittsjekkprosessen snurrer i gang, selv om det er noen andre som initierer den?

Sperret alle 4 untatt Experian som er nede.

Etter personvernforordningen kan de få gebyr tilsvarende 20 mill euro eller 4% av omsetning.

Det der høres bra ut. Sikkert lurt å reservere seg, men handler såpass mye på nett og er blitt glad i Klarnas 30 dager. Så ønsker heller en løsning som du skisserer.

Klarna er Experian, eneste jeg også av og til bruker så da bare endrer jeg sperren. Det er helt tilfeldig at Experian er nede akkurat nå jeg har aldri opplevd det før. Jeg antar det har en sammenheng med saken i nyhetene.

ID-Tyveri kan være helt vanvittig kjipt å gi en sykt masse dritt å rydde opp i utover de direkte økonomiske konsekvensene.

I linken over til Datatilsynet og sperre står det at de jobber med en ny og forbedret løsning.

"Konsesjonar til kredittvurdering
Kommunal- og moderniseringsdepartementet arbeider med ny kredittopplysningslov. Inntil den nye lova er på plass må kredittopplysningsbyrå framleis søke om konsesjon. Konsesjonar som tidlegare er gitt i medhald av personopplysningsforskrifta gjeld framleis (sjå § 4 i overgangsreglane)."

Just presis - og dette ser vi jo så godt som hver eneste gang man åpner opp eller utvider "tjenestetilbudet" i offentlige tjenster mot private aktører. Det er litt for ofte at standardinnstillingene er til brukers ugunst.

På LindkedIn får sjefen i Norkart "ros for åpenhet". Av de kommentarene jeg så var det ingen som påpekte at 3.300.000 mennesker må bruke 10 min på å sperre. Dette blir 86 år / 305 årsverk. I tillegg kommer tiden som brukes på å åpne når det blir nødvendig.
Datasettet er også en gullgruve for cyberkriminelle som driver med social engneering.
Norkart presterer også å si noe som dumt som: «Norkart har ikke holdepunkter som tilsier at overnevnte opplysninger er forsøkt misbrukt.» Ja, for det vllle dere visst... (Vet ikke hva de mener med «overnevnte», men det får Helene Uri ta seg av)

Fint å drive butikk når du får gevinsten når det går bra og innbyggerne må ta belastningen når det går dårlig. Privatizing Profits and Socializing Losses.

Med tanke på at det FØR denne hendelsen har vært en statistikk på ca 3% av den myndige delen av befolkningen som årlig blir utsatt så synes jeg de 3.3 mill skal være veldig glad for at de nå kan bli mer oppmerksomme på dette som er langt mer utbrett enn hva folk flest tenker over.

https://nettvett.no/sporsmal-svar-id-tyveri/

Bra det blir kunnskap om hva som bør gjøres av risikoreduserende tiltak, men jeg vil ikke bruke ordet "glad".
En indirekte konsekvens av dette kan være at alle Rikshospitalets filer blir kryptert og pasienter dør. Vi får trolig aldri vite hvilken konsekvens dette faktisk får. Det som er sikkert er at cyberkriminelle har fått en lettere arbeidshverdag.

Spørsmålet er hva som kan gjøres for å avhjelpe. Å gi alle nye personnummer blir nok for omfattende, men kanskje løsningen er å gradvis pumpe en milliard falske identiteter inn i disse databasene. Disse brukes aldri, men det blir vanskeligere for kriminelle å skille ekte ID-er fra «kanarifugler». Håper det er noen skarpinger i Datatilsynet som tar tak i dette.

Det kommer nye personnummer "snart". Infoside på Norsk helsenetts hjemmeside

At filer ved et av helseforetakene skulle bli angrepet som følge av dette virker ikke sannsynlig. Du kommer nok ingen vei med de opplysningene som er lekket, for tilgang dit.

Uenig. Personinformasjon, gjerne så sensitiv som mulig, er en viktig komponent i social engineering. Vi kan alle la oss lure hvis narrativet er godt konstruert.

Personnummer er per definisjon ikke en sensitiv personopplysning.
Kanskje kan de bli misbrukt ja, men å gi folk nye personnummer for å dermed tilrettelegge for fortsatt misbruk av hva et personnummer er gir i alle fall ikke mening.

Det kan bli benyttet som del av en phishingkampanje, og det er alltid en risiko for at noen går på den. Men selv der er det veldig lav sannsynlighet for å treffe så godt at man klarer å kryptere alt.

Ikke undervurder mulighetene som ligger i et stort datasett. Kombinert med tekniske sårbarheter er skadepotensialet stort.
Påstanden om at det er "veldig lav sannsynlighet for å treffe så godt at man klarer å kryptere alt.", står seg kun fordi den avsluttes med "alt".

Neida. Jeg er likevel temmelig komfortabel med kompetansenivået på sikkerhetsmiljøet i f.eks. Sykehuspartner og Norsk helsenett, og det er veldig gode rutiner selv om alt skulle gå ned. (disclaimer: Jeg jobber i sektoren, men ikke akkurat med IT-sikkerhet)

Kompetansenivået er helt sikkert ikke halvgalt, men kapasiteten er jo et annet spørsmål. Det kan hvertfall antall datainnbrudd i helseforetak og helsesystemer tyde på.

Antallet systemer er jo et resultat av at sykehusene en gang var under fylkeskommunene, og så ble helseforetaksmodellen vedtatt og det som nå er Helse Sør-Øst var først Sør og Øst, og både Vestre Viken HF og Oslo universitetssykehus HF var også separate sykehus internt før sammenslåing. Da er det litt gitt at det har blitt mange systemer uten koordinering på tvers. Det jobbes det uansett med å standardisere og sanere mye av dette. Bare å lese styresakene til Sykehuspartner HF og Helse Sør-Øst RHF om man vil dykke ned i det.

Men tilbake til Norkart.

Jeg har sperret for kredittsjekk, fra de 4 selskapene som driver med dette.
Men som andelseier i borettslag (OBOS), gjør dette meg til en kandidat for datalekkasjen?

*Sigh*
Jeg ser Three Mile Island serien på Netflix nå. Forsvarstalen er til forveksling lik..... som den som oftest er når store selskaper dummer seg ut, men ikke vil innrømme mer enn de strengt tatt må.