– Det er utrolig lite som skal til for å hente ut den digitale informasjonen i passene, sier senioringeniør Atle Årnes i Datatilsynet.

Skremmende enkelt

Han har kjøpt en RFID-leser for noen hundrelapper på nettet. Her florerer det også av gratisprogrammer, og noen av disse er til og med spesiallaget for passavlesing.

Årnes åpner gratisprogrammet, legger passet på RFID-leseren, og i løpet av et par sekunder viser skjermen passinnehaverens fulle navn, personnummer, passnummer, nasjonalitet og kjønn – i tillegg til et klart og tydelig cirka 50 KB stort bilde av personen.

– Hvem som helst kan få et fantastisk godt bilde av deg, og hente ned all informasjon i passet ditt på denne måten. Dataene er også spesiallaget for databehandling, noe som gjør det lett å bruke informasjonen videre, sier Årnes, og illustrerer dette ved å kopiere teksten inn i et tekstdokument og åpne bildet i et bildebehandlingsprogram.

Verre med fingeravtrykk

Datatilsynet har ytret sin skepsis rundt sikkerheten i de elektroniske passene siden de ble innført i Norge for snart år siden. Men nå som det i tillegg er snakk om å legge inn fingeravtrykket i passene, øker Datatilsynets motstand ytterligere.

– Når fingeravtrykkene skal inn i passene blir det ikke snakk om bare noen punkter fra fingeravtrykket, men et fullt bilde som blir liggende som digital informasjon i RFID-brikken – akkurat som ansiktsbildet, sier Årnes.

– Det er vi kjemperedde for. Tenk alt det kan brukes til framover, nå som fingeravtrykk allerede blir et mer og mer vanlig identifikasjonsmiddel.

Kan tømmes i hemmelighet

I dag er det vanskelig å hente informasjon fra passene på lang avstand. RFID-leseren Årnes har kjøpt på internett krever at passet er minst fem centimeter fra avleseren før det registrerer informasjonen. I tillegg må deler av tallkoden som står i passet tastes inn før opplysningene kommer opp.

Årnes mener imidlertid ikke at det er en god nok grunn til å kunne si at passene er sikret mot ulovlig avlesning.

– Hoteller og bilutleiefirmaer ber ofte om kundenes pass som en sikkerhet. Da kan de lett tømme brikken i passet ditt for informasjon, og uten at du blir informert om det mister du kontrollen over dine personopplysninger. De får full pakke, med både bilde og personnummer, sier han.

I tillegg finnes det allerede avlesere som leser passene på flere centimeters avstand, noe som gjør at de for eksempel kan integreres i bordplatene i hotellresepsjonene: Så fort du legger passet ditt på skranken kan informasjonen bli hentet ut og lagret i en database.

For lang gyldighet

Et annet problem mener Årnes er passenes lange gyldighet.

– Passene har en gyldighet på ti år, og det er svimlende mye som skjer i teknologiens verden på ti år. Det setter sterke krav til at RFID-brikkene i passene må være sikre – ikke bare i dag, men også om ti år, sier han.

Allerede i dag er det lettere å fange data enn det var tidligere, og Årnes mener det ikke vil være lenge før noen klarer å lese av passet ditt skjult. Og det uten at du engang gir eller legger fra deg passet.

– Hvis denne teknologien blir populær, og brukes i mange ulike kort, vil det også gjøre det mye mer attraktivt å utvikle utstyr for å lese av på lange avstander, sier Årnes.

Og det er ikke bare pass som har RFID-brikker. De finnes i busskort, ID-kort fra høyskoler og universiteter – og en brikke helt identisk med den i passene vil være integrert i de nasjonale ID-kortene.