Dronningens Trojanske Cybergarde

Alt tyder på at Folketinget vedtager den Forsvarets nye ceremonielle cybergarde idag.

Lovforslag L.192 indeholder i bund og grund hjemmel til at stille en soldat på parade ved alle offentlige IT-systemers firewalls hvor han kan stå og se om nogen turister prøver at komme forbi.

Den absolut mest bemærkelsesværdige ting i lovforslaget er at der ikke er patroner i gøbben: Det er udelukkende ceremonielt.

Det nærmeste de kommer til nogen magtanvendelse er at de kan "bidrage til at imødegå sikkerhedshændelser".

Præcis hvorledes det skal foregå fremgår derimod ikke af lovforslaget, hvilket i teorien begrænser dem til at sende et surt brev med et imponerende brevhoved og lade være med at hilse på folk hvis de ikke lytter efter.

Derimod gør lovforslaget rigtig meget ud af hvorledes de får adgang til "pakkedata" og "personfølsomme oplysninger".

Afhængig af om man opfatter teleselskaber som "Virksomheder, der er beskæftiget med samfundsvigtige funktioner," eller ej, er loven den perfekte potemkin-kulisse for erstatningen for loggnings-bekendtgørelsen drøm om totalovervågning.

Det forudsætter dog at der er et hul hvor data kan "lække" ud fra Cybergarden og til andre myndigheder og specielt efterretningstjenesterne.

Omridset af dette hul findes i §10 og §11, hvor der pludselig dukker en masse ting op der ikke stod noget om højere oppe i loven:

§ 10. Behandling af personoplysninger må kun finde sted, hvis

[...]

3) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse,

4) behandlingen er nødvendig til beskyttelse af væsentlige hensyn til statens sikkerhed eller rigets forsvar,

5) behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som Center for Cybersikkerhed eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt,

6) behandlingen er nødvendig for, at Center for Cybersikkerhed eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den pågældende person ikke overstiger denne interesse, eller

[...]

Det kunne være ret interessant at få at vide præcis hvad omkredsen er på begrebet "en opgave i samfundets interesse"

Ligeledes er "en opgave, der henhører under offentlig myndighedsudøvelse [...] har fået pålagt" meget tæt på elastik i metermål for hele statsadministrationen.

Jeg ved ikke om det er Folketingets hensigt at indføre NSA/STASI-agtig totalovervågning, men loven giver helt klart råderummet til det.

Dem der stemmer for idag, får ikke min stemme efterfølgende.

phk

Poul-Henning Kamps billede
Poul-Henning er selvstændig systemprogrammør, kernekoder, Varnish-forfatter, data-arkæolog og brokkehoved uden særlig portefølje.

Kommentarer (42)

Thomas Peter Berntsen

Hej Poul-Henning

Jeg er enig i, at det er et problematisk lovforslag, som potentielt set åbner en ladeport af fortolkningsmuligheder indenfor et domæne, som i forvejen er præget af ganske lidt demokratisk tilsyn - hvilket, set i lyset af verdenshistoriens lærdom om de mulige følgevirkninger af magtapparaters magtfuldkommenhed, ikke klæder et demokrati at springe ud i.

Jeg hæfter mig i debatten især ved, hvad Institut for Menneskerettigheder offentligt har udtalt:

Hvis den nye lov om Center for Cybersikkerhed (CfCS) bliver vedtaget, vil det undtage centeret og dermed også den statslige varslingstjeneste GovCERT fra offentlighedsloven, forvaltningsloven, persondataloven samt Datatilsynets tilsynsvirksomhed. I et nyt høringsvar udtrykker Institut for Menneskerettigheder i den forbindelse kritik på en række områder.

Rikke Frank Jørgensen, der er forsker på Institut for Menneskerettigheder og ekspert i it-rettigheder siger:

»Man tager en meget vigtig tjeneste, som tidligere har ligget i det åbne civile rum, hvor der er adgang til at finde ud af, hvad der foregår, og hvor persondatalov, offentlighedslov og forvaltningslov gælder, og flytter den ind i det mørkeste sted i staten, hvor vi har allermindst kontrol med og indsigt i hvad der foregår«.

http://menneskeret.dk/nyheder/ny-lov-datasikkerhed-moeder-kritik

Kenn Nielsen

behandlingen er nødvendig for, at Center for Cybersikkerhed eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse,

Kan man mon så få CfC til at processe og aflevere rapporter/traces som gør det nemt at forfølge uforsigtige teenagere langt ind i næste liv ?

Her tænker jeg f.eks. rettighedsalliancen, etc.

K

Mikkel Andreasen

Ved anden behandlingen var det LA og EL der stemte imod med ialt 13 stemmer.
Samme antal som stemte imod den endelige behandling. Senere idag kommer der forhåbentlig også data fra denne afstemning på ft.dk søg efter L192

Klaus Elmquist Nielsen

Sigtet kan som sagtens være rent kommercielt. Mener: Hvorfor mon det fælleseuropæiske patentsystem ellers skulle tvinges igennem? Og hvordan skulle "man" ellers kunne tjene penge på alle de innovationer man kan snuse sig frem til og hvis opfindere alligevel er chanceløse i patentretssager? Man kunne som godt fristes til at tænkte at det er prisen for at være på NSAs side. Bemærk at jeg skrev på NSAs side og ikke USAs side.

At en så omfattende overvågning også har anvendelser inden for demokratikontrol er uden tvivl en rar bonus for folk med den slags ambitioner. Dem skal der som nok være nogle stykker af selv i det danske politiske spektrum. Meget apropos hvordan det foretrækkes at have styr på udfaldet af folketingsvalg (ref: elektroniske folkeafstemninger).

Hvad der rent faktisk foregår bag de lukkede døre er virkelig interessant. Befolkningen kan jo kun vente på næste modige lækage. Men oprigtigt talt er det en særdeles dyr og usund hobby så det er nok de færreste der har modet til dette (ref: Snowden).

Mette Nikander

Jeg havde selv fornøjelsen af at blive inviteret ind til et eksperthøringsmøde d. 8. maj i Folketinget.

En del partier var ikke repræsenteret overhovedet og andre havde ikke sendt deres ordfører på området men andre repræsentanter. Det var jo som det også fremgår herinde et utroligt vigtigt møde, men de eneste der viste en åben interesse og lydhørhed, var faktisk LA og EL. Måske det er for svært til at nogen gider at give sig i kast med emnet...?

Hele panelet (vi var 5 parter), kom med tungtvejende juridiske og tekniske bevæggrunde og beviser for, hvorfor der skulle stemmes nej til at Center for Cybersikkerhed, skal ligge under Forsvaret.Vi pegede på at det skulle under en separat forvaltningmyndighed. Holger K Nielsen gik så vidt som til at være kategorisk afvisende og tilbageviste endda indhold, som er skrevet i lovforslaget.

Man kriminaliserer med denne lov, hele den danske befolkning og virksomhederne i landet. En ting er, at der åbnes for masseovervågning af alt hvad man finder at være en "sikkerhedshændelse", men en anden ting er at man forbeholder sig retten til at tilsidesætte et tilsyn, hvilket principielt kan føre til embedsmisbrug og ureglementeret overvågning.

Der refereres på dette link (http://www.version2.dk/artikel/i-dag-vedtager-bredt-flertal-lov-om-cente...) til at der både har været eksperter der er for og imod,- men de eksperter der beskæftiger sig professionelt med IT sikkerhed og juraen på området bakker ikke op om dette.

Jeg er medlem af DI/ITEK sikkerhedsudvalget, men kan på ingen måde tilslutte mig DI - Adam Lebech's opbakning til lovforslaget. Jeg må som IT sikkerhedsrådgiver, virksomhedsejer og dansk statsborger sige,at lovforslaget på ingen måde er tilfredsstillende og danske virksomheder er overladt til selv at anonymisere deres trafik,kryptere deres data og beskytte deres kilder, så godt de kan, for Danmark er også en del af 9 Eyes ,- et internationalt samarbejde mellem efterretningstjenester, hvor man kan "bytte informationer".

Med venlig hilsen
Mette Nikander, Dir. C-cure.dk

Klaus Elmquist Nielsen

Det er lidt uhyggeligt, og må alt andet lige avle et modtryk på et tidspunkt.


Det var en meget neutral formulering af mulige manifestationer af befolkningens voksende utilfredshed! Tiltag som CfC passer desværre meget godt sammen med den pøbelforarming, eliteberigelse og demokratiafvikling som vi er vidne til i vores samtid.

nIcolai Madsen

Desværre er hr. og fru kakkelbord ligeglade med frihed og retten til privatliv– de er optaget af jobs, økonomisk vækst - præsis ligesom kineserne :-(

(Jeg er ikke helt vilde med LA, de lader til at lade fokusgrupper bestemme politikken. Imod euroen ect. Fra tidligere jubeleuropæere. Også det tavelige sammenrend af kandidater, senest sociologen henrik dahl. Just my opinion)

Michael Eriksen

Hvad er det for et samfund vi er degenereret ud i. Tænk at man har valget mellem LA eller EL for at finde nogen der kan tænke på andre end sig og "systemet".

Til de sidste to valghandlinger har jeg stemt blankt. Det kommer jeg nok til at fortsætte med.

Jacob Larsen

Tjae... så hvis du mener kommunisme er et problem, så skal du stemme på LA, hvis du mener videnskabsbenægtelse og klimaet er et problem, så skal du stemme på EL. Hvis du mener begge dele, så har du tabt.

Jeg nominerer hermed til guldkommentaren. Lidt glæder skal man vel have når man har tabt...

OT:
It's a two-party system. You have to vote for one of us. -- Kang and Konos

Martin Jensen

Ved at stemme blank bevarer du status quo. Er du tilfreds med det?

En pro-demokratisk læresætning der lires ukritisk af - den underbygger at demokrati er godt, og at man er dum hvis man ikke stemmer.

Jeg var enig med George Carlin før jeg hørte hans stance omkring demokrati/politik/stemme:

"Now, there's one thing you might have noticed I don't complain about: politicians. Everybody complains about politicians. Everybody says they suck. Well, where do people think these politicians come from? They don't fall out of the sky. They don't pass through a membrane from another reality. They come from American parents and American families, American homes, American schools, American churches, American businesses and American universities, and they are elected by American citizens. This is the best we can do folks. This is what we have to offer. It's what our system produces: Garbage in, garbage out. If you have selfish, ignorant citizens, you're going to get selfish, ignorant leaders. Term limits ain't going to do any good; you're just going to end up with a brand new bunch of selfish, ignorant Americans. So, maybe, maybe, maybe, it's not the politicians who suck. Maybe something else sucks around here... like, the public. Yeah, the public sucks. There's a nice campaign slogan for somebody: 'The Public Sucks. F*ck Hope.'"

"I have solved this political dilemma in a very direct way: I don't vote. On Election Day, I stay home. I firmly believe that if you vote, you have no right to complain. Now, some people like to twist that around. They say, 'If you don't vote, you have no right to complain,' but where's the logic in that? If you vote, and you elect dishonest, incompetent politicians, and they get into office and screw everything up, you are responsible for what they have done. You voted them in. You caused the problem. You have no right to complain. I, on the other hand, who did not vote -- who did not even leave the house on Election Day -- am in no way responsible for that these politicians have done and have every right to complain about the mess that you created."

Ah. Kan du argumentere for at det er bedre at stemme på én af to dårlige/forkerte ting, end ikke at stemme?

Morten Jensen

Ah. Kan du argumentere for at det er bedre at stemme på én af to dårlige/forkerte ting, end ikke at stemme?

Jeg er helt enig med dig. Ved ikke at stemme fjerner du lige knap 30 kr fra partistøtten og dermed pengekassen som politikerne kan sende deres ledere til Mallorca og Bilderberg-summits for.
Partistøtten er en væsentlig del af det problem vi debatterer her. DEN er nemlig med til at bevare status quo.

Der er kun én ting at gøre, når udvalget bliver for pauvert: Undlad at stemme - det andet er udemokratisk ;)

Lars Nielsen

Jeg har hørt at det for myndigheder har været svært at hjælpe firmaer der er blevet hacket hvis der ligger private mails på serveren, da der ikke er lov hjemmel til at danske myndigheder kan opbevare og kigge i folks post.

Det er så vidt jeg ved grunden til den kringlede formulering om at "i en større sags tjeneste.."
At myndigheder kan stille eksperter til rådighed for firmaer der er blevet hacket.

At det så er meget meget bredt formuleret og der er andre ting galt er så en anden historie.

Men det er en situation der er værd at tænke på:
Hvis staten ikke kan hjælpe på grund af brevhemmeligheden og en mail server på samme harddisk.
Krypteret mail ville også fjerne problemet, men det bliver hurtigt lidt kompliceret med Shamir's Secret Sharing hvis et firma også skal have adgang til de ansattes firma relaterede mails, sekretærer osv.
Kryptering er for det meste sat op som 1 til 1 kommunikation.

Mette Nikander

Nu bør det egentlig ikke være myndighedernes job at skulle hjælpe private virksomheder hvis de bliver hacket. Det er der en stor privat sektor der lever af. Myndighederne skal efter min mening kun beskytte forsyningsindustrien og andre kritiske apparater for at sikre drift og tilgængelighed.Og en masseovervågning som undskyldning for at kunne hjælpe hvis der sker noget, er i min optik ikke OK. Jeg ønsker jo heller ikke at blive overvåget hele dagen i den by jeg bor i, fordi der er lommetyve på Strøget i København i myldretiden.

En virksomhed i nød kan sagtens bede om hjælp til at få løst en opgave på trods af brevhemmeligheden. Der er blot nogle juridiske dokumenter der skal underskrives i den sammenhæng. Iøvrigt bør en virksomhed altid informere deres medarbejdere om at der kører filtrerings, logning og overvågningsudstyr, hvormed man forbeholder sig retten til at tage stikprøver og skaffe sig midlertidig adgang/indsigt i IT drift sammenhænge.Det vil også lette den efterforskning der pludselig kan vise sig at være nødvendig. Man må blot ikke metodisk og konstant overvågne sine medarbejdere.

Kryptering kan opsættes på mange måder og kan af virksomhedens topledelse kontrolleres og tilsikres at det ikke misbruges, hvis man kun tillader bestemte krypteringsværktøjer. Man kan både kryptere kommunikationskanalen, såvel som indholdet,- når det lagres eller er i transit. Man kan også anvende kryptering til at klassificere brugere eller indhold,- må de administrere servere uden at kunne læse, skal de kun kunne printe, læse, skrive...etc. Det der er problemet er at man påtænker at give lov til at bryde krypteringskoder og det betyder at krypteringsudbydere måske ved lov vil blive bedt om at programmere- og på forlangende- udlevere bagdøre/dekrypteringsnøgler, således at efterretningstjenesterne altid kan skaffe sig adgang. Derfor anvender de mest paranoide også open source kryptering og ikke brandede krypteringprodukter.... :-)

Med venlig hilsen
Mette Nikander - Dir. C-cure.dk

Peter Mogensen
Poul-Henning Kamp

Nu bør det egentlig ikke være myndighedernes job at skulle hjælpe private virksomheder hvis de bliver hacket.

Ligesom det heller ikke bør være myndighedernes (ie: politets) job at skulle hjælpe private virksomheder hvis de har haft indbrud ?

Samfundet har monopol på straffeloven og det er der rigtig gode grunde til (Se: USAs manglende regulering af håndvåben)

Men som loven er skrevet giver den udtryk af at det skal være en forebyggende indsats og her er vi helt enige: Det er ikke politiets opgave at checke om du har låst din cykel og din hoveddør.

Computerindbrud er straffelovsovertrædelser og derfor burde efterforskningen deraf være en ren politiopgave.

Proaktiv sikring af offentlige myndigheders IT systemer bør være en civil statslig funktion på linie med Slots og Ejendomsstyrelsen.

Kenn Nielsen

Nej, hvis man stemmer blankt viser man respekt for det demokratiske system men foragt for det der er at stemme på. Stemmeprocenten holder sig, men partierne får ikke en krone.

Og hér gik det lige op for mig hvorfor vi skal have gjort (e)valg mere 'sexede'.
Flere til at stemme giver større overførselsindkomst til partierne.

K
Edit:
Og så kan man jo undlade rubrikken "Jeg stemmer blank", og kræve at programmet vil have et ikke-blankt input.

Mette Nikander

Jeg er enig med dig Poul-Henning, men en virksomhed skal selv have lov til at bestemme, hvorvidt de ønsker selv at løse et problem med hacking eller vil anvende det etablerede statslige apparat. Vi må jo huske at hvor politiet typisk træder ind af hensyn til at man senere kan finde og straffe en forbryder, så er meget af "Cyber Forensics" arbejdet uforløsende og ligeså meget til for at dataindsamle og genkende mønstre,som det egentlig er tænkt til decideret at finde og straffe forbrydere. Det er jo en promille af kriminaliteten vi kommer til livs med cyberovervågning. Vores lovgivning og andre landes lovgivning er omkring strafferammer også helt til grin på det her område.
Overvågningen foregår primært af hensyn til terroropdæmning, men har jo på verdensplan kastet ret lidt af sig på den front. Jeg er ikke vild med at man kriminaliserer og mistænkeliggører alle, for at finde ganske få brådne kar.

Hellere bruge langt flere anstrengelser og midler på at informere borgerne og virksomheder om hvordan de anvender IT. Hvis børn allerede i de små klasser i Folkeskolen skal anvende IT, hvorfor er der så absolut ingen indlæring om truslerne på internettet undervejs i deres skoleforløb? Der optræder hellere ikke information og undervisning på videregående uddannelser.
Det er der det regulære trusselsbillede ligger efter min mening og det er også derfor at politikerne fik arbejdsro i går og ligeså stille kunne vedtage lovforslaget. Helt uden de statsstøttede TV kanalers interesse, der i stedet var rettet mod Prinsgemalens fødselsdag, sport og andre "hotte emner" ;-)

Med venlig hilsen
Mette Nikander,Dir. C-cure.dk

Poul-Henning Kamp

Jeg er enig med dig Poul-Henning, men en virksomhed skal selv have lov til at bestemme, hvorvidt de ønsker selv at løse et problem med hacking eller vil anvende det etablerede statslige apparat.

Er stat "hacking" med "indbrud" og hvor er vi så henne som samfund ?

Nej, vi har givet staten monopol på straffeloven og det skal ikk gradbøjes.

Hvordan firmaer eller personer vil forebygge hacking og indbrud er en privat sag (mellem dem og deres forsikringsselskab) men når forbrydelsen først er sket, er det en opgave for for politet og domstolene.

Vi skal ikke have "private laws for private corporations", vi er et civilizeret samfund.

Peter Mogensen

Er stat "hacking" med "indbrud" og hvor er vi så henne som samfund ?

Nej, vi har givet staten monopol på straffeloven og det skal ikk gradbøjes.

Taler I ikke forbi hinanden?
En ting er at diagnosticere hvad der er sket og forbygge at det sker igen.
En anden ting er at forfølge hændelsen via straffeloven. Det sidste er og skal der klart være monpol på.

Men hvis der begås indbrud hos mig, har jeg også lov til ikke at anmelde det, men blot konstatere at mit lås er blevet dirket op og erstatte den med en bedre. Præcis som jeg selv ville analysere hvis mit netværk var blevet kompromiteret, og forbedre sikkerheden så det ikke sker igen.

Jeg tvivler meget på at Mette mener virksomheder skal have lov til at forsætte efterforskningen uden for deres eget netværk, finde, dømme og straffe synderen.

I snakker så vidt jeg kan se om 2 forskellige ting.

Morten Jensen

@Michael Eriksen

Stemmeprocenten holder sig, men partierne får ikke en krone.

Jeg er lodret uenig. Jeg tolker Økonomi- og Indenrigsministeriets udmelding om partistøtten anderledes:
http://valg.oim.dk/valg/partistoette/folketingsvalg.aspx

Støttebeløb pr. stemme ved udbetaling af partistøtte for 2014 på grundlag af deltagelse i folketingsvalg udgør: 30,00 kr. (stigning fra 29,50 kr. i 2013).

Hvis du stemmer blankt deltager du i valget dvs. du giver penge til de etablerede partier og du er dermed med til at fastholde status quo.

.

Nej, hvis man stemmer blankt viser man respekt for det demokratiske system men foragt for det der er at stemme på.

Her er vi nok ideologisk uenige. Jeg mener det er et kraftigere statement SLET ikke at stemme - fred være med det :)

Jesper Lund

Jeg har hørt at det for myndigheder har været svært at hjælpe firmaer der er blevet hacket hvis der ligger private mails på serveren, da der ikke er lov hjemmel til at danske myndigheder kan opbevare og kigge i folks post.

Hvis det er et problem i dag, vil CfCS-loven ikke rigtigt ændre noget.

Der skabes ganske vist en hjemmel til at CfCS kan modtage logfiler og andre trafik- eller pakkedata fra private virksomheder, også på ad hoc basis uden permanent tilslutning til CfCS netsikkerhedstjenesten, men virksomheden skal selv sikre sig at udlevering af disse data til CfCS overholder gældende lovgivning, herunder persondataloven. Kun CfCS bliver undtaget fra persondataloven.

Det kan i princippet indebære at der skal indhentes samtykke fra alle personer, hvis persondata udleveres til CfCS. Næppe en realistisk opgave.

Man kunne også fortolke CfCS-loven derhen at private virksomheder opfordres til at blæse på persondataloven i sådanne situationer. Hvorfor skulle man ellers indsætte en bestemmelse om at CfCS kan modtage data fra private virksomheder, hvis anden lovgivning forhindrer de private virksomheder i at udlevere de relevante data?

Thomas Watts

Én god ting ved det russiske valgsystem - stemmesedlen har altid en sidste rubrik der hedder "Imod alle kandidater".

Man stemmer ikke blankt, man udtrykker aktivt sin misbilligelse af alle derinde :)

Anders Rosendal
Morten Jensen

Så brok du dig bare - SÅ bliver det HELT sikkert bedre.

Ah Anders det er jo som forsvar imod replikken "så stil dog selv op og gør noget ved det".
Må man så også kun brokke sig over brændt straffe til landskamp hvis man selv spiller old-boys? Ah hva...

Der er grænser for galskaben, også selvom man ikke er naiv nok til at bilde sig selv ind at man kan gøre en forskel som enkeltperson :)

Jeg ser dog din pointe - det er altid nemt bare at brokke sig ;)

Anders Rosendal

Ah Anders det er jo som forsvar imod replikken "så stil dog selv op og gør noget ved det".
Må man så også kun brokke sig over brændt straffe til landskamp hvis man selv spiller old-boys? Ah hva...

Nu stemmer man jo ikke om bolden skal gå ind :-)
Du KUNNE jo stemme på det mindst dårlige parti.
Eller hjælpe nogle med at skabe et nyt parti ved at give dem penge.

Der er grænser for galskaben, også selvom man ikke er naiv nok til at bilde sig selv ind at man kan gøre en forskel som enkeltperson :)

Jeg ser dog din pointe - det er altid nemt bare at brokke sig ;)


Tja, du gør mere end hvis du intet gør.
Et samfund hvor een person gør en mærkbar forskel kaldes et diktatur. Og det er kun godt hvis det er mig som er diktator :-P

Log ind eller opret en konto for at skrive kommentarer

IT Businesses