Center for Cybersikkerhed vil overvåge virksomheders datatrafik uden at spørge om lov

Illustration: center for cybersikkerhed
Et nyt lovforslag vil give Center for Cybersikkerhed mulighed for at placere sikkerhedssoftware i samfundsvigtige virksomheders servere og interne netværk ved tvang.

Opdateret 10. januar kl. 10:49.

Hvis det står til regeringen, vil nogle virksomheder i fremtiden kunne blive tvunget til at få anbragt software til sikkerhed og overvågning i deres pc’er, servere og lokale netværk.

Det er en af temaerne i et nyt lovforslag, som regeringen fremsatte tirsdag. Lovændringerne skal give Center for Cybersikkerhed under Forsvarets Efterretningstjeneste bedre mulighed for at holde øje med avancerede cyberangreb rettet mod det danske samfund.

»Den hastige udvikling i trusselsbilledet betyder, at der er behov for at tilpasse lovgivningen, så Center for Cybersikkerheds muligheder for at imødegå cyberangreb mod den kritiske infrastruktur fremadrettet modsvarer truslerne og den teknologiske udvikling,« skriver Forsvarsministeriet i indledningen til lovforslagets bemærkninger.

Overvågning af trafik på lokale enheder

I dag kan regioner, kommuner og samfundsvigtige virksomheder frivilligt anmode om at komme med i Center for Cybersikkerheds netsikkerhedstjeneste, som er den enhed, der står for at opdage cyberangreb. Men kun 60 myndigheder og virksomheder er tilsluttet - herunder energiselskabet Ørsted og it-virksomheden Systematic.

Med lovforslaget skal det ikke længere være frivilligt. Center for Cybersikkerhed skal kunne påbyde samfundsvigtige virksomheder at tilslutte sig netsikkerhedstjenesten, også selvom de ikke selv ønsker at være med.

Før beslutningen tages, skal Center for Cybersikkerhed lægge vægt på, om det vil bidrage til at beskytte den kritiske infrastruktur, hvis netop den virksomhed bliver tilsluttet netsikkerhedstjenesten. Samtidigt skal centret vurdere, om tilslutningen bidrager til at give Center for Cybersikkerheds situationscenter et samlet overblik over den aktuelle angrebsaktivitet mod Danmark.

Når en virksomhed er tilsluttet, kan Center for Cybersikkerhed overvåge internettrafikken til og fra virksomheden.

Fremover skal det ifølge lovforslaget også være muligt for Center for Cybersikkerhed at monitorere aktiviteter på lokale enheder som pc’ere, servere, smartphones og tablets ved at installere sikkerhedssoftware.

»Ved hjælp af sikkerhedssoftwaren vil skadelig kode, der er indeholdt i krypteret trafik, og som ellers passerer igennem alarmenhederne uden at udløse en alarm, kunne opdages på den enkelte enhed, som modtager eller afsender trafikken, og hvor der er sket afkryptering, eller hvor krypteringen endnu ikke er sket. På samme vis vil angrebsaktørers eventuelle forsøg på at hente data fra den enkelte enhed kunne opdages, også selv om der anvendes en krypteret forbindelse. Endelig vil den lokale placering af softwaren give mulighed for at opdage potentielt skadelig aktivitet på den enkelte enhed, ligesom softwaren kan anvendes til beskyttelse af netværk, der ikke er forbundet til internettet,« står der i lovforslagets bemærkninger om sikkerhedssoftwaren.

Private smartphones og tablets, hvorpå der modtages arbejdsrelaterede mails, er specifikt undtaget i loven for muligheden for overvågning.

Overvågningen vil ifølge lovforslaget kunne ske uden retskendelse.

Artiklen er rettet i forhold til den oprindelige udgave, således at det fremgår, at private smartphones og tablets ikke er omfattet af muligheden for monitorering, selv om de anvendes til arbejdsrelaterede mails.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Morten Fordsmand

Men det er da helt ude i hampen, at de skal kunne tiltvinge sig adgang servere og arbejdsstationer uden en dommerkendelse.

Som analogi har jeg det da fint med at min el-installation skal være udstyret med HPFI-relæ og sikringer. Men jeg forbeholder mig ret til selv at bestemme hvornår det skal serviceres og hvem der skal installere og vedligeholde disse installationer.

Og man skal jo ikke være blind for at den sikkerhedssoftware som de taler om at installere kan påvirke driften af selvsamme servere. Lige som det formentlig ikke vil være en god ide, hvis de kan installere og opdatere uden om virksomhedens change management proces.

  • 21
  • 0
John Foley

Det er afgørende vigtigt at huske på at FE og CFCS ikke er underlagt normale forvaltningsregler eller underkastet demokratisk kontrol, som alle andre myndigheder. Tillige får de nu beføjelser til - uden dommerkendelse - at grave dybt i vores data. Husk endvidere på at FE er en militær efterretningstjeneste, der nu får endu flere og uindskrænkede beføjelser til at få indsigt i fx personfølsomme oplysninger, som de kan bruge som de vil, herunder videresende indhentede oplysninger til deres samarbejdspartnere i efterretningsverdenen, bl.a. NSA , CIA, Eurpopol og Interpol, uden at vi får noget at vide herom.

  • 26
  • 0
Knud Larsen

Argumentet om at fagkundskab skulle retfærdiggøre palceringen under FE holder ikke. FE tager sig af international sikkerhed og fremmede magters indblanding. Civil sikkerhed må høre under PET eller tilsvarende. At blande de to sammen er noget sludder. Se bare på Skat her har man splittet de top i styrelser, så borgenre nu skal bekæmpe 7 modstridende organer. Det samme er sket i Sundhedsstyrelsen. I Sundhedsstyrelsen er der netop gode argumenter for at behandle fejl og klager og indberetninger fra et system, alligevel har man valgt at dele det op, så der i praksis ikke vil ske noget som helst. FDA har styre på sagerne det har europæerne ikke.

  • 13
  • 0
Mikael Ibsen

fra Grundlovens patagraf 72 under opsejling.

Skulle vi ikke bare efterhånden sløjfe denne paragraf, som af respektable mennesker i sin tid er sat ind i Grundloven for at beskytte borgerne mod vilkårlig husundersøgelse og krænkelse af brevhemneligheden.
Vore lovgivere - og vogtere - blæser den jo et stykke ved enhver given lejlighed, og opfatter for bekvemmelighedens skyld efterhånden enhver situation som "særegen" - foreløbigt 500 - for ikke at skulle stå ret overfor en dommer med en plausibel forklaring på, hvad man egentlig har gang i.
Hvor svært kan det være at vise sit lands forfatning, Danmarks Riges Grundlov, den smule respekt det ville være, at følge dens generelle anvisninger, og lade undtagelser være undtagelser i stedet for en omskrivning af almindeligheder.
Hvad bliver monstro det næste i Grundloven, som man heller ikke gider respektere ?

  • 15
  • 0
Anne-Marie Krogsbøll

Hvor svært kan det være at vise sit lands forfatning, Danmarks Riges Grundlov, den smule respekt det ville være, at følge dens generelle anvisninger, og lade undtagelser være undtagelser i stedet for en omskrivning af almindeligheder.


Det er nok rigtigt svært, når man løbende får besøg af (gavmilde?) lobbyister, som gerne vil have store kontrakter og have fingre i data, og når ens ledende embedsfolk har udnævnt Singularity University til visdommens kilde, som frekventeres flere gang om året på spændende rejser.... Partistøtteloven er jo ikke opfundet for ingenting....

  • 9
  • 0
Anne-Marie Krogsbøll

Når man læser om dette nye og meget vidtgående lovforslag, så er der noget, der skurrer ift. dagens anden historie om forløbet i GoMentor-sagen. Hvordan kan de to historier eksistere side om side? Hvis cybertruslerne er så voldsomme, som det beskrives om begrundelse for ovenstående lovforslag, hvorfor tillader man så, at Datatilsynet og Politiet kan være mange måneder om at efterforske og gribe ind ift. anmeldte og dokumenterede huller - for klager sendte jo dokumentation med allerede første gang? Falder GoMentor-sagen ind under en anden kategori, som vurderes som ikke så alvorlig? I så fald - hvor går grænsen?

Hvis man anmeldte et læk i det offentlige system, ville Datatilsynet så have handlet hurtigere og mere effektivt? Hvad sker der helt konkret, hvis man f.eks. anmelder et hul i vælgerregistreringssystemet? Hvem tager sig af det? Ville man handle hurtigere og blæse på "efterforskningsmæssige hensyn"? Har man faktisk et "ekstra gear" til anmeldelser vedr. vital infrastruktur? I givet fald - betyder det så, at følsomme persondata udenfor de offentlige institutioner ikke betragtes som så vigtige at beskytte?

  • 8
  • 0
Claus Bobjerg Juul

Skal den "modtagende" virksomhed mon også betale for denne sensor.
Som det står i ovenstående artikel og alle andre jeg læser, så står der at virksomhederne skal kunne tvinges til at tilslutte sig sensornettet, det læser jeg som at der skal indgås en kontrakt med forsvaret unden mulighed for at sige nej. Det giver vel også mulighed for at afkræve virksomheden et vederlag for udført arbejde.

  • 4
  • 0
Anne-Marie Krogsbøll

"Før beslutningen tages, skal Center for Cybersikkerhed lægge vægt på, om det vil bidrage til at beskytte den kritiske infrastruktur, hvis netop den virksomhed bliver tilsluttet netsikkerhedstjenesten. Samtidigt skal centret vurdere, om tilslutningen bidrager til at give Center for Cybersikkerheds situationscenter et samlet overblik over den aktuelle angrebsaktivitet mod Danmark."

Skal begge betingelser være opfyldte? For ellers er den sidste sætning da en totaltilladelse til totalovervågning af alt og alle...

Det løber mig mere og mere koldt ned ad ryggen....

(Jeg håber, at nogle politikere borer grundigt i den sætning - men der er efterhånden meget langt imellem dem, som tør/orker at tage kampen, og som ikke prioriterer at være del af det "ansvarlige flertal" bag et eller andet forlig højere).

  • 8
  • 0
Denny Christensen

Må jeg i samme ånd foreslå følgende:

Alle der mistænkes for ikke-rimelig adfærd (bedømmes af en hvilken som helst tilfældig offentligt ansat) chippes for egen og andres sikkerhed. PET og FE får dermed uhindret adgang til at opfylde profetien fra Minority Report.

Alle biler, mc'ere etc får, på ejers regning, implementeret fartkontrol så hastigheden aldrig overstiger den på stedet gældende maksimale hastighed. Det er for alles sikkerhed og sparer politiet arbejde. At enheden samtidig overvåger trafikmønster øger bare mulighederne for optimal udnyttelse af investeringer i vejnettet. Informationen anvendes kun til det formål.

Der opsættes overvågningssoftware på al privat udstyr der kan gå på nettet. Udover at føde forbudsfiltret kan man også fange folk baseret på adfærd inden nogen begår noget ulovligt. Terrorisme og pædofili er hermed fortid (og Pape må finde noget andet at bavle om).

AI implementeres i alle borgere, dette skal erstatte den vaklende og alt for forskellige adfærd personer har når de udvikler deres egen intelligens. Besparelse i uddannelse, færre konflikter og høflig adfærd hos alle borgere må forventes. Samtidig sikres også JA til alle fremtidige folkeafstemninger, ikke mindst om EU og internationalt politi- og militær samarbejde.

Suppler gerne.

  • 12
  • 0
Louise Klint

Politiken skriver at det hidtidige ”frivillige overvågningstilbud” før har kostet
3-400.000 kroner årligt.

Lovændringerne er ifølge bemærkningerne nødvendige,
fordi industrien og de offentlige myndigheder ikke har været
interesserede i at bruge det nuværende
frivillige overvågningstilbud,
der koster 3-400.000 kroner om året.
Med blot 26 tilsluttede har Netsikkerhedstjenesten i den nuværende form slet ikke levet op til forventningerne.

08.01.19: https://politiken.dk/indland/art6955959/Staten-vil-overv%C3%A5ge-firmaer...

Men jeg har endnu ikke haft tid til at læse dokumenter og lovforslag igennem.
Jeg er meget oprørt over det.
Det er ekstremt og alt alt for vidtgående.

Lovforslag og høringsbrev kan findes her:
https://hoeringsportalen.dk/Hearing/Details/62650

Læg dertil:
Det lovforslag, som justitsministeren sendte i høring, fredag inden jul.
(Så æder juleferien bekvemt halvdelen af høringsperioden).

Hvordan politimyndighederne skal kunne overtage private virksomheders overvågningssystem/kameraer i særlige situationer. Også uden at give virksomhederne besked, så vidt jeg forstår.
23.12.18, abonnementsbeskyttet: https://politiken.dk/indland/art6935494/Politiet-skal-kunne-kapre-privat...
Lovforslag og høringsbrev her: https://hoeringsportalen.dk/Hearing/Details/62637

Nogen må sætte grænser for de to. For de evner det tilsyneladende ikke selv.

  • 10
  • 0
Denny Christensen

Hvis en instans får en ide og selv skal validere om den er god, vil man oftere komme frem til at det er den end at det er den ikke.

Så når Center for Cybersikkerhed (af sikkerhedsgrunde) skal validere sig selv, så vil der komme flere installationer end hvis en uafhængig (altså HELT uafhængig) instans havde indsigelses ret og mandat til at sige nej.

  • 12
  • 0
Anne-Marie Krogsbøll

Som forventet skal vi ikke regne med meget støtte fra Folketinget:
https://politiken.dk/indland/art6958331/En-alvorlig-trussel-kr%C3%A6ver-...
(kræver abonnement)

Der er ingen modstand, ser det ud til...
Også i Liberal Alliance er der forståelse for, at det kan være nødvendigt at overvåge data i private firmaer, hospitaler og myndigheder.
»Vi kommer ikke udenom, at når det er grundpillerne i demokratiet, der er på spil, så er vi også nødt til at sikre, at tjenesterne er effektive. Hvis det så kræver, at man kommer tættere på grænsen i forhold til den personlige frihed, så må vi som samfund acceptere, at de her grænser kan flyttes i en højere sags tjeneste«, siger forsvarsordfører Villum Christensen"

I SF vil forsvarsordfører Holger K. Nielsen heller ikke afvise regeringens lovforslag.
»Cyberangreb er et kæmpe, kæmpe problem, som vi er nødt til at tage alvorligt, og hvor det også kan være nødvendigt at træffe nogle ekstraordinære tiltag«, siger han."

Hvor langt kan man så flytte grænserne? Jeg vil gentage (til bevidstløshed): Der er intet demokrati uden frihed og ret til privatliv...

  • 3
  • 0
Jesper Frimann

Nogen må sætte grænser for de to. For de evner det tilsyneladende ikke selv.

Det her forslag er så meget over stregen, at ... ja.. det burde være et af hovedemnerne ved et kommende folketingsvalg.

Det er jo helt hen i vejret, og i en verden med cloud løsninger og mobile medarbejdere, vil det her slet ikke virke efter hensigten, med mindre man udøver vold på virksomheder og offentlige myndigheders IT-arkitektur.

Desuden vil det påtvinge en IT-sikkerheds software monokultur, der i sig selv vil være en sikkerhedsrisiko. En 0-dags sårbarhed, som vidunderboxen ikke ser/tager højde for og så er der jo åbent.

Det her er ikke bare 'one bridge to far' men snarere 2-3 stykker.

// Jesper

  • 5
  • 0
Kjeld Flarup Christensen

Ved hjælp af sikkerhedssoftwaren vil skadelig kode, der er indeholdt i krypteret trafik, og som ellers passerer igennem alarmenhederne uden at udløse en alarm, kunne opdages på den enkelte enhed, som modtager eller afsender trafikken, og hvor der er sket afkryptering, eller hvor krypteringen endnu ikke er sket. På samme vis vil angrebsaktørers eventuelle forsøg på at hente data fra den enkelte enhed kunne opdages, også selv om der anvendes en krypteret forbindelse. Endelig vil den lokale placering af softwaren give mulighed for at opdage potentielt skadelig aktivitet på den enkelte enhed, ligesom softwaren kan anvendes til beskyttelse af netværk, der ikke er forbundet til internettet,« står der i lovforslagets bemærkninger om sikkerhedssoftwaren.

Sådan er stykke software ville der være mange som godt kunne tænke sig.

Nå nej, det har vi jo allerede, det hedder anti virus.

Hvad kan Claus Hjort Frederiksens software, som andres ikke kan?
Når det er statsligt så må det jo være godt.

Eller er det bare sådan, at NSA har lagt noget kode ind, som kender til NSA's hemmeligholdte exploits?

  • 5
  • 0
Jesper Lund

Artiklen er rettet i forhold til den oprindelige udgave, således at det fremgår, at smartphones og tablets ikke er omfattet af muligheden for monitorering.

Artiklen var sådan set mere retvisende før rettelsen.

Det som er undtaget er private smartphones, tablets og computere, som bruges til at tilgå eksempelvis arbejdsrelaterede emails (side 56 i lovforslaget).

En smartphone som virksomheden ejer, er ikke undtaget, og kan altså udstyres med en CFCS-trojaner til monitorering (eller hvad vi nu skal kalde det).

Jesper Lund
Formand, IT-Politisk Forening

  • 6
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize