I en undersøkelse gjennomført av TNS Gallup på oppdrag fra Norsk senter for informasjonssikring (NorSIS), svarte 3,1 prosent «ja» på spørsmål om de i løpet av de siste to årene hadde opplevd at andre har misbrukt deres identitet til å begå straffbare handlinger.
Ifølge NorSIS innebærer dette at 124 000 nordmenn har vært utsatt for ID-tyveri, definert som «uberettiget bruk av både stjålet og fiktiv identitet, med forsett om å oppnå en økonomisk vinning for seg eller andre, eller å påføre tap eller ulempe for andre».
Prosjektleder i NorSIS med ansvar for ID-tyveriprosjektet, Christian Meyer, mener dette er et varsel om at problemet må tas enda mer på alvor framover.
– Næringslivet, spesielt finansbransjen, har brukt mye ressurser på dette problemet og flere har sett en liten nedgang det siste halvåret. Dette betyr ikke at vi kan la problemet ligge. Tvert i mot, sier dette resultatet at vi må få på plass rutiner og løsninger som sikrer at vi handler med riktig person sier Meyer.
ID-tyveriprosjektet, som tidligere denne uken ble hedret med Rosing IT-sikkerhetsprisen, har nettopp publisert en Strategi og tiltaksplan (pdf, 28 sider). Her foreslås 15 konkrete tiltak, fordelt på tre områder: forebygging, assistanse til ofre og bedre håndheving av loven.
NorSIS mener at mye bruk av fødselsnummer i offentlig og privat sektor er unødvendig. Praksis må gjennomgås, og bruken må reduseres. Den spesielle norske bruken av fødselsnummer som bekreftelse på identitet kritiseres spesielt. En praksis som Datatilsynet har bedt om å få endret i mange år, bruken av fødselsnummer som brukernavn i nettbank, faller inne under denne kritikken, men NorSIS nevner den ikke spesielt.
Bruk av legitimasjon må skjerpes. Det må være personlig frammøte for å motta identitetsbevis, i motsetning til dagens praksis der bankkort og pass sendes i posten. Det skal alltid være mulig å sjekke om framvist ID-bevis er gyldig. Skal det stiftes gjeld, kreditt eller andre fordringer, skal framvist ID-bevis sjekkes, i motsetning til dagens praksis der man registrerer navn, personnummer og konto uten å sikre seg at opplysningene faktisk stemmer.
– Deler av næringslivet har lagt listen så lavt for etablering av nye kundeforhold, at hvem som helst som har tilgangen til fødselsnummer og adresse kan ta seg til rette, konstaterer NorSIS.
NorSIS kaster seg inn i debatten rundt generell offentlighet og skatteopplysninger, ved i sikkerhetens navn å foreslå følgende: «Innføre plikt til å fjerne navn eller andre direkte identifiserende elementer ved publisering av dokumenter etter offentlighetsloven. Innskjerpe eller begrense offentliggjøring av inntekts- og formuesopplysninger direkte på individnivå.»
Et viktig tiltak for ofre, er at kompensasjon ikke skal begrenses til den umiddelbare skaden man er påført. Offeret skal også kompenseres for den tiden man må bruke på å klare opp i det hele, og sikres at urettmessige fordringer slettes.
Det kreves et felles kredittsperreregister.
NorSIS krever at det etableres en enhetlig statistikk for ID-tyveri, støtte av skjerpet meldeplikt for finanssektoren og andre instanser. De ønsker målrettet opplæring av politi og IKT-personell, samt økt deling av informasjon rundt ID-tyveri mellom næringsliv, forvaltning og politi. Et eget organ i statsforvaltningen må tildeles ansvar for oppfølging av ID-tyveri. Justisdepartementet må utarbeide en tiltaksplan for å bidra til at ID-tyveri «stanses, avverges, etterforskes og dømmes».