Knap var det nye lovforslag om Center for Cybersikkerhed (CFCS) fremsat af forsvarsminister Claus Hjorth Frederiksen (V) torsdag, før debatten rasede på de sociale medier, bl.a. med beskyldninger fra topfolk i it-sikkerhedsverdenen om, at Danmark nærmer sig russiske og kinesiske tilstande, når det gælder overvågning fra borgere og virksomheder.
Læs også: Ny CFCS-lov er nu lagt frem: Virksomheder kan blive underkastet tvungen overvågning af netværksdata
Det er faldet kritikerne for brystet, at en gren af efterretningstjenesten – som CFCS er – får yderligere magtredskaber, herunder især til at tvinge virksomheder på centrets såkaldte netsikkerhedstjeneste, også kendt som sniffernetværket.
Blandt andre mener tidligere sikkerhedsofficer John Foley, at demokratiske spilleregler er sat ud af kraft og at CFCS opererer alt for meget bag lukkede døre.
Chef for Center for Cybersikkerhed, Thomas Lund-Sørensen uddyber her over for Version2, hvilke implikationer for virksomheder, det nye lovforslag vil have, når det gælder den omstridte mulighed for at give virksomheder påbud om tilslutning til sniffernetværket.
Thomas Lund-Sørensen understreger, at en tvangstilslutning til netsikkerhedstjenesten kun vil kunne ske for virksomheder af ‘særlig samfundsvigtig karakter’.
»Det er ikke reglen, det er undtagelsen,« siger Thomas Lund-Sørensen, og understreger at formålet med loven er at beskytte samfundet, og ikke at genere hverken virksomheder eller borgere
»Og hvis en virksomhed bliver påbudt at tilslutte sig til netsikkerhedstjenesten, må vi alene monitere netværkskommunikation, dvs. ind- og udgående trafik mellem en virksomheds-firewall og internettet. Det foregår altså på ydersiden af infrastrukturen i en virksomheder,« tilføjer han.
Ikke tvungen adgang til eks. harddisk
En anden begrænsning i en mulig tvangstilslutning er, at både forsvarsministeren og den pågældende ressortminister, f.eks. en energiminister, skal være enige i at give påbud, før det kan effektueres.
Et kernepunkt er, om CFCS kan få adgang til at kigge i data, der ligger stationært på virksomhedens netværk i fx pc’er og smartphones med tvang. Men det afviser Thomas Lund-Sørensen blankt:
»I netværkskommunikation er der pr. definition trafik- og pakkedata, som vi dermed må få adgang til - og dem må vi behandle efter de bestemmelser i loven, som omhandler dette. Det er data, der kommer udefra og ind og indefra og ud, og det kan også være data i denne datatrafik, der er sendt fra pc og mobilbrug til eller fra virksomhedens netværk,« siger Thomas Lund Sørensen og fortsætter:
»Man kan ikke få påbud om, at Center for Cybersikkerhed får adgang til stationære data, altså data som ligger inde i virksomheden fx på en pc eller en server, det vil forudsætte en frivillig aftale,« siger han.
Thomas Lund-Sørensen understreger også, at en påbudt tilslutning til netsikkerhedstjenesten skal revurderes mindst hvert halve år.
Frivillig tilslutning
Andre virksomheder og organisationer end de særligt samfundsvigtige – f.eks. de øverste statsorganer, regioner og kommuner – samt virksomheder af samfundsvigtig karakter kan ligeledes frivilligt blive en del af netsikkerhedstjenesten.
Og kun i det tilfælde, at en virksomhed frivilligt er gået med til det, kan CFCS installere sikkerhedssoftware, som også kan monitorere stationære data på servere, cloudtjenester, pc’ere, lagerenheder, netværksenheder, mobile enheder og tilsvarende.
»Hvis Version2 anmodede om at blive frivilligt omfattet af netsikkerhedstjenesten, ville vi formentlig sige nej. For vores monitering af jer er ikke betinget af trusselsbilledet og vil forudsætte at version2 er af samfundsvigtig karakter,« siger han
Thomas Lund Sørensen oplyser, at beslutningen om tilslutning eller ej vil blive truffet efter forvaltningslovens bestemmelser med mulighed for rekurs og domsprøvelse.
»Forudsætningen er, at tilslutningen kan bidrage til et højt informationssikkerhedsniveau i samfundet,« tilføjer han.