CFCS-loven vedtages i dag: Nu kan ansatte få tvangsovervåget data

Illustration: Bigstock
Med den udvidede CFCS-lov får staten mulighed for at sende falske e-mails til ansatte, for at teste om de kan lokkes til at klikke på links eller udlevere oplysninger.

I dag tredjebehandler Folketinget L215 - den nye lov, som giver Center for Cybersikkerhed yderligere beføjelser.

Blandt andet sikrer loven, at CFCS uden retskendelse kan tiltvinge sig adgang til trafikdata og pakkedata fra ind- og udgående netværkstrafik fra myndigheder og virksomheder, der er tilsluttet netsikkerhedstjenesten eller sniffernetværket.

Tilslutning til netsikkerhedstjenesten kan i enkelte tilfælde gennemføres ved tvang. CFCS forventer, at det drejer sig om op til 10 organisationer, der hvert år kan få påbud om tilslutning til sniffernetværket.

»Med loven får CFCS en række beføjelser, som giver efterretningstjenesten mulighed for at overvåge ganske almindelige ansatte danskeres data, i enkelte tilfælde endog med tvang. Det er meget vidtgående, og det er også tvivlsomt, om dette redskab overhovedet forbedrer CFCS' muligheder i kampen mod cyberkriminaliteten - for man leder efter en nål i en høstak, « siger Troels Ørting Jørgensen, der er Chairman of the Board of the Centre for Cybersecurity (C4C) ved World Economic Forum, til Version2.

Læs også: Ny CFCS-lov er nu lagt frem: Virksomheder kan blive underkastet tvungen overvågning af netværksdata

Loven giver også CFCS hjemmel til at gennemføre simulerede såkaldte forebyggende sikkerhedstekniske undersøgelser, hvor man afdækker sårbarheder i en virksomhed eller myndighed. Hvis ledelsen er med på det.

Det kan f.eks. handle om at sende falske emails til de ansatte for at teste, om de kan lokkes til at klikke på links eller udlevere oplysninger.

Sådanne white hat-hackerangreb kan også betyde, at CFCS får adgang til de ansattes private data.

»Spørg dig selv og dine kolleger, hvad de ville synes om, hvis de blev overvåget af den danske stat, der kigger med på Facebook og følger dine billeder på Instagram,« udtaler Bjarke Alling, der er formand for IT-Branchens cybersikkerhedsråd, til Berlingske.

Han kalder metoden for »dyneløfteri«.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (27)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl H. Pedersen

En overnational militær myndighed der kan gribe ind mod cyberkriminelle. Problemet er, at der ofte er stater der direkte eller indirekte støtter og står bag de cyberkriminelle, og hverken Kina eller rusland vil blive glad hvis man bomber deres uofficielle hackergrupper.

En kriminel der skaber uro, uorden m.m. i et ikke venligtsindet land er en ven af staten. Sådan ser det ud til at man tænker rundt omkring.

Jeg kan forestille mig at Rasmus Paludan får støtte på de sociale medier af Russiske hackere, da det provokerer kulturberigerne, deres støtter, balldaemagerne og de tidligere kommunister, hvilket igen destabiliserer samfundet, eller ihvertfald København.

Men lige her kan CFCS vel intet gøre ? Og så har loven vel begrænset værdi ?

John Foley

Denne lov understerger behovet for at befolkingen nu må vågne op og sørge for at FE og CFCS ikke fremoverog efter valget får lov til at gennemføre disse alt for vidtgående indgreb mod demokratiet og den enkelte borger.
FE har traditionelt taget sig af fjender uden for landets græser. Nu er opgaven udvidet så også Danmark befolkning inden for Rigets grænser kan granskes og anses for en potentielle fjender. Forsvaret og militæret er nu vendt mod dets egen befolkning. Det er et skred der vil noget og dette enddog med politikernes velsignelse! I sandhed en trist og sort dag for demokratiet og en undertrykkelse af en befolkning, der desværre ikke helt har forstået, hvad FE og CFCS har gang i.

Jens Madsen

Det er helt ok, hvis de ansatte ved hvad de går ind til.

Arbejder man med oplysninger, hvor en frigivelse kan medføre fare for personers sikkerhed, så syntes jeg det er en ok metode.

Arbejder man med personfølsomme oplysninger, skal de ansatte gøres opmærksom på, at metoden brugers overfor dem.

Det accepterer man, når man vælger at få jobbet, og så syntes jeg det er helt ok.

Naturligvis skal man ikke anvende metoden, hvis det ikke er personfølsomme oplysninger af nogen art, og hvor at en offentliggørelse er i orden, eller det måske er tilsigtet at skulle offentliggøres.

For de fleste er loven derfor ikke relevant, da de ikke arbejder med personfølsomme oplysninger, eller informationer hvor en frigørelse kan medføre fare for personers sikkerhed.

Jeg syntes, at det er væsentligt, at alle personer der overvåges i jobbet, er oplyst om dette foregår, og at de er inforstået med såvel årsagen, som forstår vigigheden af at blive overvåget.

Jens Madsen
Christian Nobel

Det er helt ok, hvis de ansatte ved hvad de går ind til.

Men ved de så også dette - og hvad hvis status ændres undervejs, bliver de så bekendtgjort med det?

Husk på at cfsUs i praksis overhovedet ikke er underlagt bare skyggen af demokratisk kontrol.

Det er på ingen måde "ok" at man sætter militæret ind mod landets borgere - faktisk er det det der normalt betegner en bananrepublik.

Officielt har Danmark taget første skridt mod et militærdiktatur.

Så er der jo nok nogen der vil sidde med den der lunkne frikadelleholdning og sige at jeg overdriver - muligvis, fordi vi har relativt ro her i landet nu, men vi ved ikke hvad fremtiden bringer, så der er ingen grund til at lave værktøjer der i den grad kan misbruges af kommende magthavere.

Uden der ellers skal gå Godwin i det, da jeg faktisk mener det er meget, meget relevant, så virker det som om man fuldstændig er ved at smide enhver historisk erfaring over bord - her tænker jeg især på hvad der skete i Tyskland i starten af 30'erne, da Hitler jo lige præcis brugte demokratiet (fordi man ikke havde været skarp nok til at værne om det) til at demontere det.

Og det at give et ukontrolleret organ under krigsminsteriet så store beføjelser er lige præcis noget der kan misbruges på det groveste - for hvem ved hvor mange firmaer det er om to år, når cfcUs efter salamimetoden har fået ændret tallet "det drejer sig om" fra 10 til måske hundrede eller mere?

Det er dybt, dybt bekymrende.

I forbindelse med det kommende valg er det så også bekymrende at de få (måske det eneste, nemlig EL) partier der tager dette rigtig alvorligt, så samtidige er arge modstandere af EU - for som jeg ser det, så er EU vores bedste værn mod de danske sognerådspolitikere går helt grassat.
Men det fordrer et stærkt Tyskland, da Tyskland om nogen i den grad har lært lektien.

Bjarne Nielsen

Naturligvis skal man ikke anvende metoden, hvis det ikke er personfølsomme oplysninger af nogen art ...

Nu er definitionen af, hvor loven kan finde anvendelse temmelig gummiagtig (og der kom kun mere gummi i paragrafferne af at man bad om en definition), men det kan f.eks. nok også gælde et vandværk. Altså ikke den del, som skriver regninger til kunderne, men den del, hvor de holder øje med vandet (1).

Der er næppe skyggen af personfølsomme oplysninger i spil der.

Ad (1): hvis man da kan skille de to dele ad, hvilket ellers vil være et godt sted at starte ... men det er jeg ikke sikker på at loven lægger op til.

Frithiof Jensen

Jeg kan forestille mig at Rasmus Paludan får støtte på de sociale medier af Russiske hackere,


... Samt naturligvis visse Amerikanske "Think Tanks" og Foundations der er sat i verden for fremme et bestemt verdenssyn og blöde modstanden imod det op!

  • Her kan CFCS nok heller ikke göre noget af sikkerhedspolitiske grunde.

Et "information attack" er ikke så dyrt eller vanskeligt at kun stater kan klare det. 'Barrieren' er sådan set ikke särligt höj: 'Den Korte Avis' har allerede 'kostet Danmark' deres budget ti-tusinder af gange - det er kun de seneste sager, de som vi ved om!

  • Her kan CFCS nok heller ikke göre noget af hensyn til den höjhellige ytringsfrihed og friheden til at väre idiot når man sidder i folketinget.

Der findes mange firmaer og en del private personer som har flere ressourcer og friheder end stater, om anvender en del af disse til at forme 'virkeligheden' til deres fordel. Disinformationskampagner vil väre en helt naturlig del af 'paletten' for ikke-statslige interesser.

  • Her kan CFCS nok heller ikke göre noget af hensyn til risikoen for 'Blue-on-Blue' ???

CFCS kommer nemt til at stå lidt som 'Kriminalassistent Jensen' i Olsen Banden når vi rammes af info-angreb der ikke er fra Rusland eller Iran.

Hans Nielsen

I forbindelse med det kommende valg er det så også bekymrende at de få (måske det eneste, nemlig EL) partier der tager dette rigtig alvorligt, så samtidige er arge modstandere af EU -


Du kan roligt stemme på EL, af flere grund. Men her er der 6.

Hvis man skal lægge kursen rigtigt om på en supertanker, så skal roret HELT over.

EL er ikke længere imod EU.

Hvis EL en gang fik så mange stemmer, at de kunne få gennemført hele deres politik. Så vil de fleste vælgeren løbe skriende væk.

På mange andre områder som offenlighedslov, og overholdelse af menneskeretigheder og personbeskyttelse. Er EL også det eneste ansvarlige parti.

Som med Jordskredsvalget I 1973, så skal der flytte meget rundt på taburetter. Inden folketinget forstår de er på gale veje. Og tager hensyn til befolkningen ønsker.

Og jeg synes også, selv som rigtigt gammeldags Liberal. At der er noget galt med samfundet og fordelingen i Danmark i dag. Hvor rigtigt mange snyder, bedrager eller unddrager at betale til fælesskabet.

Bjarne Nielsen

Claus Hjort Frederiksen i dag i P1 Orientering (parafraseret fra hukommelsen):

"Jeg vil gerne lige kommentere den udtalelse, som siger, at man sidder og indsamler personoplysninger; det gør man overhovedet ikke - den boks, som bliver sat uden på, den registrerer ved nuller og et-taller, om der kommer malware-angreb ..."

Jeg kan godt se, at de kan nogle ting der, som jeg ikke havde forstillet mig ville være muligt; nu er jeg meget mere rolig, specielt ved, at det er en kapacitet som CHF, som har opsyn med det hele.

Claus Waldersdorff Knudsen
Jens Madsen
Bjarne Nielsen

Jeg syntes det er ok - men kun, hvis de ansatte ved det, og har mulighed for at sige op, hvis de ikke accepterer.

Tror du, at det vil blive accepteret som lovlig undskyldning af vores kafkaske 'fire ansøgninger og fem minutters restarbejdsevne' arbejdsløsheds- og bistandssystem?

Så vi er måske nogle med vores på det tørre, som har den luksus at have mulighed for at sige op, hvis vi ikke kan acceptere, men det gælder langt fra alle.

Povl Hansen

Jeg kan forestille mig at Rasmus Paludan får støtte på de sociale medier af Russiske hackere, da det provokerer kulturberigerne, deres støtter, balldaemagerne og de tidligere kommunister, hvilket igen destabiliserer samfundet, eller ihvertfald København.

Men lige her kan CFCS vel intet gøre ? Og så har loven vel begrænset værdi ?

Men hvis nu de Voldsparate Muslimer, fandt ud af de boede i Danmark, og her må man gerne sætte ild til sine egne bøger, og lave satire tegninger, så vil Danmark have vundet en stor sejer, hvis det skyldes russiske hackerer, så skal vi da takke dem, ikke sende CFCS eller andre efter nogen der gør noget godt for landet

Louise Klint

@Jens Madsen:

Jeg syntes det er ok - men kun, hvis de ansatte ved det, og har mulighed for at sige op, hvis de ikke accepterer.
Sikres dette i lovgivningen, så tror jeg at vi omvendt er godt på vej tilbage til demokratiet.

Det er ikke nedfældet i loven, som er vedtaget i går.

Derudover:
Forsvarsministeren har – foreløbigt – udpeget 6 kritiske sektorer,
som loven omfatter, disse er:
Sundhed, tele, finans, transport, energi og søfart.

Alene i sundhedssektoren arbejder pt. omtrent 137.000 danskere,
så vidt jeg er orienteret.

Forestiller du dig, at alle disse mennesker skulle have mulighed for at sige op?
Og finde sig et nyt arbejde/fag, hvis de ikke bryder sig om de nye arbejdsvilkår??
(Hvordan skulle vi da få samfundet til at fungere?
Hvad tror du det koster? Omskoling?)

Men det er faktisk ikke afgrænset i loven, at det kun er disse 6 sektorer,
som må bede CFCS om at teste IT-sikkerheden, via deres såkaldt ”forebyggende sikkerhedstekniske undersøgelser”.

Det bliver således potentielt 100.000-vis af danskere, som må påregne risikoen for at blive (hemmeligt) overvåget, kontaktet og testet af Efterretningstjenesten, på en ganske almindelig arbejdsdag fremover.

Samt at hver enkelt medarbejder løber risikoen for at få sit navn og data – samt familiens oplysninger – registreret i en database hos CFCS/Forsvarets Efterretningstjeneste.
Oplysninger, som må gemmes i minimum 3 år.
I databaser, vi derudover ikke ved, hvordan er koblet op. Hvad sker der med danskernes oplysninger herfra? Vi ved det ikke.

(Læs evt. Berlingske-artiklen, linket ^^ i V2s artikel eller her:)
https://www.version2.dk/artikel/cfcs-svarer-paa-lov-bekymringer-intet-pa...

Forestil dig, at din søster er travl sygeplejerske på et hospital.
(En af de 6 kritiske sektorer + personfølsomme data).

Er det rimeligt, at hun kan blive overvåget af efterretningstjenesten,
når hun er på arbejde?

CFCS er nødt til at gøre sig nogle iagttagelser om de personer, de skal teste.
De indsamler således offentlige oplysninger om din søster, dvs. at hendes mand og deres børns oplysninger også kan optages og registreres hos efterretningstjenesten.
Når din søster så er blevet kigget tilstrækkeligt over skulderen til, at efterretningstjenesten selv synes, at de har nok oplysninger på hende, så prøver de at snyde (teste) hende. Så slår de til.
Er det et rimeligt arbejdsvilkår?
Denne uvished, konstante usikkerhed, for din søster, for danskere, på almindelige arbejdsdage, i Danmark?
At almindelige danskere skal overvåges og registreres af den hemmelige,
militære efterretningstjeneste, mens de passer deres arbejde? I fredstid?

(Din søster er ikke mistænkt for noget.
Hun er lige så lovlydig som alle os andre. Hun passer bare sit arbejde).

Er det en rimelig risiko, og et dansk arbejdsvilkår, man må leve med,
når man er sygeplejerske, læge, sosu-assistent, lægesekretær, etc.?
Eller arbejder inden for det brede felt af andre fag, som kan være i målgruppen for dette tiltag, i både den offentlige og private sektor?

Jeg synes, det er sygt.
Og et demokrati uværdigt.
Det hører ingen steder hjemme.
Ligesom denne her lov, og dette praktiske scenarie, umuligt kan være tilstrækkeligt gennemtænkt.

Povl Hansen

I forbindelse med det kommende valg er det så også bekymrende at de få (måske det eneste, nemlig EL) partier der tager dette rigtig alvorligt, så samtidige er arge modstandere af EU - for som jeg ser det, så er EU vores bedste værn mod de danske sognerådspolitikere går helt grassat.
Men det fordrer et stærkt Tyskland, da Tyskland om nogen i den grad har lært lektien.

Det er helt fint af have lidt EL i folketinget, så længe de store nok til af råbe op, men ikke store nok til man behøver af lytte til dem

lidt lige som hende der vil have Danmark ud af EU som sidder nede i EU, hun kommer med mange oplysninger om hvad EU gøre forkert, som flytteriet, og blyantspengene, og af hun slet ikke behøver af købe mad, på grund af alle de invitaioner hun modtager fra lobbyister

Hans Nielsen

Eller Enhedslisten og SF i deres kamp for totalitært styre.


Her er jeg langt mere bange for højerefløjen i Danmark og Europa.

Alle indgreb som frihedinskræninger i ord og ydringer, overvågning, militær på veje, ved grænser og i infraktstruktur i EU er stort set kommet fra højerfløjspartier.

Så jeg mener ind til andet er bevist, at du enten er en troll, ikke har sat dig ind i problemener, har dumme venner på facebook, eller er en af dem som jeg er bange for.

Louise Klint

Interview med ministeren i P1 Orientering i går.

Man kunne kalde det: ”Modig Mus udfordrer Elefanten”.
https://www.dr.dk/radio/p1/orientering/orientering-2019-05-02#!01:01:04

Lyt til ministeren, der, i rollen som den gamle hanelefant, tryner sig vej igennem junglen af utilfredse (IT-politisk Forening og Dansk Industri, bl.a.) med et skjold af arrogance.

Musen prøver behændigt, igen og igen, at tackle Elefanten, som konsekvent svarer udenom, tromler på rutinen og til sidst er så tosset, at ronkedoren må gribe efter lommeulden – ”konspirationsteorier!”, det er hvad, kritikerne er fuld af.

(Øv, bøv. Suk).

Jens Madsen

Vedr. sundhedssektoren.

Vi skal tænke på, at det ikke kun er de ansatte, som vi skal tænke på her, men også patienter og pårørende. Vi er måske ikke interesseret i, at vildt fremmede, måske religiøse grupper, får adgang til vores sygehus journaler.

Hvem skal beskyttes? De ansatte, der jo bare har at udføre deres jobs ordentligt, og i så fald intet har at frygte? Eller, patienter og pårørende, som risikerer at deres journaler og den medicin de får, bliver udleveret til andre?

Er ikke rimeligt, at der er en kontrol instans, som tjekker at det fungerer som det skal?

Jeg kan godt se problemet fra den modsatte side. Mange hackere, har jo som formål, at beskytte borgeren. Og hacker netop journaler, medicinark, osv. for at finde ud af, om der sker fejlbehandlinger i sygehusvæsenet. En sådan sag, er naturligvis væsentligt for sygehusene at skjule, og dette gøres bedst, ved at skræmme personalet til at ikke hjælpe hackere.

Vi kunne måske også bruge nogle regeringsbetalte "hackere", der f.eks. søger at fungere som sygehuspersonale, og medicinere patienterne. Er det muligt? Vil det blive opdaget? Hvor stor er sygehusenes sikkerhed, når det kommer til stykket?

Ole Frederiksen

"...det er helt ok, hvis de ansatte ved hvad de går ind til".

Dvs at jeg som arbejder med personfølsomme data skal finde mig et andet job, såfremt jeg ikke ønsker at staten skal have mulighed for at snage i mine private data?

Alternativt skal jeg sige til min virksomhed, at jeg aldrig, på noget tidspunkt overhovedet, kommer til at logge på hjemmefra (fra min private pc) for at fixe et problem?

Det tror jeg hverken jeg eller virksomheden jeg arbejer for, er interesserede i!

Bjarne Nielsen

Dvs at jeg som arbejder med personfølsomme data ...

Hvor kommer "personfølsom" ind? Der tales som "samfundsvigtigt" og om "kritisk infrastruktur". "Personfølsom" er ikke et ord, som har nogen praktisk betydning.

Eller som CHF selv siger "kun nuller og et-taller". Alle ved jo, at "nuller og et-taller" ikke er personoplysninger. Dem, som siger andet, udbreder konspirationsteorier (på linje med at metadata skulle kunne være problematiske).

(spor af både ironi sarkasme kan forkomme)

Louise Klint

Er det ikke rimeligt, at der er en kontrol instans, som tjekker at det fungerer som det skal?

Jo, selvfølgelig.
Og selvfølgelig skal IT- og cybersikkerheden testes og være i orden og sikker, det kan ingen være uenig i.
Men denne ”kontrolinstans”, som skal tjekke det, skal IKKE være forankret i en statslig, militær efterretningstjeneste.

Det er fuldkommen uhørt.

Det er fuldkommen uhørt, at ganske almindelige danskere skal overvåges, i det skjulte, af militæret, når de går på arbejde.
Det hører ikke hjemme i Danmark, i et demokrati.
Det hører ingen steder hjemme, at ganske almindelige danskere fremover kommer til at blive registreret hos efterretningstjenesten. Det skal vi ikke.
Vi, og vores oplysninger, har ikke noget at gøre i efterretningstjenestens databaser.
Det burde hele det samlede Folketing vide.

Og i takt med at man gennemfører flere og flere af disse ”forebyggende sikkerhedstekniske undersøgelser”, vil flere og flere almindelige danskere blive hemmeligt overvåget, samt blive opført i efterretningstjenestens protokoller.
Det hører ingen steder hjemme.

Jeg har svært ved at forestille mig, at denne § 6a er gennemtænkt,
eller at de partier og MF’er, som har stemt for loven, rent faktisk aner,
hvad de hermed tillader.
(Jeg vælger at være i god tro, men det er ingen undskyldning. Loven er en realitet).

Begge delelementer af loven er overflødige, så længe der findes alternativer til statslig overvågning og testning.
Og det gør der (allerede), som vi også har talt om flere gange her på V2.

Mht. forebyggende sikkerhedstjek har vi allerede et marked af private udbydere.
De kan også udmærket servicere offentlige myndigheder (uagtet lovens pseudoargumenter om andet). Der kan stilles krav til kontrol og dokumentation, ligesom man ville kunne lovgive om en certificeringsordning, således standarderne er i orden, no problem. Alle aspekter af sikkerhedstjekket vil man kunne lovgive omkring (målgruppe, hyppighed, interval, mv).
Sikkerhedstjekket ville således også komme til at foregå på rimelige vilkår; på en ordentlig og anstændig måde over for personalet. (Hvilket loven ikke medvirker til, uanset hvor meget Forsvaret ellers anpriser metoden).
Ingen medarbejdere skal krænkes af Forsvarets Efterretningstjeneste og frem for alt vil sikkerhedstjekket foregå decentralt, således der ikke ophobes store mængder af værdifulde data og indsigt hos en enkelt militær myndighed, som er underlagt ringe kontrol, og som ikke skal efterleve Grundloven.

Der er ingen undskyldning for, eller rationel årsag til, at gennemføre,
og gennemtvinge, denne lov, på denne måde.
Det er der ikke.
Og det uanset hvor mange gange man gentager, at trusselsbilledet er højt.

Log ind eller Opret konto for at kommentere