CFCS svarer på lov-bekymringer: Intet påbud om adgang til stationære data

Center for Cybersikkerhed afviser, at organisationen som følge af et nyt lovforslag vil kunne tiltvinge sig adgang til eksempelvis data på en server i en privat virksomhed.

Knap var det nye lovforslag om Center for Cybersikkerhed (CFCS) fremsat af forsvarsminister Claus Hjorth Frederiksen (V) torsdag, før debatten rasede på de sociale medier, bl.a. med beskyldninger fra topfolk i it-sikkerhedsverdenen om, at Danmark nærmer sig russiske og kinesiske tilstande, når det gælder overvågning fra borgere og virksomheder.

Læs også: Ny CFCS-lov er nu lagt frem: Virksomheder kan blive underkastet tvungen overvågning af netværksdata

Det er faldet kritikerne for brystet, at en gren af efterretningstjenesten – som CFCS er – får yderligere magtredskaber, herunder især til at tvinge virksomheder på centrets såkaldte netsikkerhedstjeneste, også kendt som sniffernetværket.

Blandt andre mener tidligere sikkerhedsofficer John Foley, at demokratiske spilleregler er sat ud af kraft og at CFCS opererer alt for meget bag lukkede døre.

Chef for Center for Cybersikkerhed, Thomas Lund-Sørensen uddyber her over for Version2, hvilke implikationer for virksomheder, det nye lovforslag vil have, når det gælder den omstridte mulighed for at give virksomheder påbud om tilslutning til sniffernetværket.

Thomas Lund-Sørensen understreger, at en tvangstilslutning til netsikkerhedstjenesten kun vil kunne ske for virksomheder af ‘særlig samfundsvigtig karakter’.

»Det er ikke reglen, det er undtagelsen,« siger Thomas Lund-Sørensen, og understreger at formålet med loven er at beskytte samfundet, og ikke at genere hverken virksomheder eller borgere

»Og hvis en virksomhed bliver påbudt at tilslutte sig til netsikkerhedstjenesten, må vi alene monitere netværkskommunikation, dvs. ind- og udgående trafik mellem en virksomheds-firewall og internettet. Det foregår altså på ydersiden af infrastrukturen i en virksomheder,« tilføjer han.

Ikke tvungen adgang til eks. harddisk

En anden begrænsning i en mulig tvangstilslutning er, at både forsvarsministeren og den pågældende ressortminister, f.eks. en energiminister, skal være enige i at give påbud, før det kan effektueres.

Et kernepunkt er, om CFCS kan få adgang til at kigge i data, der ligger stationært på virksomhedens netværk i fx pc’er og smartphones med tvang. Men det afviser Thomas Lund-Sørensen blankt:

»I netværkskommunikation er der pr. definition trafik- og pakkedata, som vi dermed må få adgang til - og dem må vi behandle efter de bestemmelser i loven, som omhandler dette. Det er data, der kommer udefra og ind og indefra og ud, og det kan også være data i denne datatrafik, der er sendt fra pc og mobilbrug til eller fra virksomhedens netværk,« siger Thomas Lund Sørensen og fortsætter:

»Man kan ikke få påbud om, at Center for Cybersikkerhed får adgang til stationære data, altså data som ligger inde i virksomheden fx på en pc eller en server, det vil forudsætte en frivillig aftale,« siger han.

Thomas Lund-Sørensen understreger også, at en påbudt tilslutning til netsikkerhedstjenesten skal revurderes mindst hvert halve år.

Frivillig tilslutning

Andre virksomheder og organisationer end de særligt samfundsvigtige – f.eks. de øverste statsorganer, regioner og kommuner – samt virksomheder af samfundsvigtig karakter kan ligeledes frivilligt blive en del af netsikkerhedstjenesten.

Og kun i det tilfælde, at en virksomhed frivilligt er gået med til det, kan CFCS installere sikkerhedssoftware, som også kan monitorere stationære data på servere, cloudtjenester, pc’ere, lagerenheder, netværksenheder, mobile enheder og tilsvarende.

»Hvis Version2 anmodede om at blive frivilligt omfattet af netsikkerhedstjenesten, ville vi formentlig sige nej. For vores monitering af jer er ikke betinget af trusselsbilledet og vil forudsætte at version2 er af samfundsvigtig karakter,« siger han

Thomas Lund Sørensen oplyser, at beslutningen om tilslutning eller ej vil blive truffet efter forvaltningslovens bestemmelser med mulighed for rekurs og domsprøvelse.

»Forudsætningen er, at tilslutningen kan bidrage til et højt informationssikkerhedsniveau i samfundet,« tilføjer han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Frimann

»Og hvis en virksomhed bliver påbudt at tilslutte sig til netsikkerhedstjenesten, må vi alene monitere netværkskommunikation, dvs. ind- og udgående trafik mellem en virksomheds-firewall og internettet. Det foregår altså på ydersiden af infrastrukturen i en virksomheder,« tilføjer han.

Igen så kan det godt være, at der står frivillighed i lovforslaget.. men, hvis nu forsvarsministeriet skruer op for bissen mod f.eks. Århus Kommune.. tror I så virkelig de kan stå imod og ikke gøre det frivilligt ?

Eller hvis du nu er leverandør til forsvarsministeriet ?

Hvis der var reel frivillighed, så havde man måske lyttet til DI og de mange IT-sikkerhedsprofessionelle der har tordnet mod forslaget.

Fra 2.3. Lovforslagets formål:

For det tredje monitorerer Center for Cybersikkerhed i dag kun datatrafik på de forbindelser, der går ind og ud af de tilsluttede myndigheder og virksomheder. Det giver i stigende grad udfordringer, dels fordi mere og mere datatrafik bliver utilgængeligt på grund af kryptering, hvor det kan passere alarmenhederne uden at udløse en alarm, og dels fordi det ikke er muligt at opdage uregelmæssigheder, som sker på pc'ere og servere hos de tilsluttede myndigheder og virksomheder. Den teknologiske udvikling udhuler således Center for Cybersikkerheds mulighed for effektivt at opdage trusler og hændelser. Lovforslaget indebærer derfor, at der skabes mulighed for at installere sikkerhedssoftware på f.eks. pc'ere og servere hos myndigheder og virksomheder, der er tilsluttet centerets netsikkerhedstjeneste. Det vil udvide centerets muligheder for tidligt at opdage cyberangreb hos de tilsluttede organisationer. Sikkerhedssoftwaren vil kunne opdage unormal aktivitet, såsom kommandoer om at sende store mængder data til en ukendt enhed på internettet. Installation af sikkerhedssoftwaren vil være frivillig, og myndigheder og virksomheder vil således ikke kunne få påbud om at installere sikkerhedssoftware.

Igen er der ikke nogen af os IT folk der er imod at beskytte Danmark, MEN lad os nu gøre det rigtigt. Og lad os bygge på erfaringer om hvad der faktisk virker.

// Jesper

  • 7
  • 0
John Foley

Hvis der på "ydersiden"af en Firewall igangsætte en alarm i den installerede boks (som CFCS selv bestemmer følsomheden af), så kan CFCS uden dommerkendelse og på eget initiativ åbne for adgang til også at læse indholdet af filen, og få adgang til personfølsomme oplysninger og fx virksomhedens hemmelige forskningsresultater m.m.. Hvorvidt disse evt. bliver udvekslet med andre efterretningstjenester kan der kun gisne om. Kendsgerningen er at efterretningstjenster lever af at udveksle oplysninger af alle mulige slags. CFCS er en del af FE og understreger, næsten dagligt, hvornødvendigt og godt samt hensigtsæssigt samarbejdet er med den øvrige del af FE.
Bemærk i øvrigt, at det er CFCS der efter eget skøn suverænt bestemmer hvilke virksomheder, der er kan betegnes som samfundsvigtige virksomheder, uden at CFCS på nogen måde har fastlagt kriterier eller fastsat regler herfor, og dermed kan blive pålagt at tislutte deres virksomhed til CFCS. CFCS har heller ikke i deres 6 års eksistens formået at gøre deres hjemmearbejde med at fastslå, hvad der forstås ved kritisk infrastruktur. Et arbejde som de fleste andre EU lande for længst har gennemført. I alle FE og CFCS' trusselsvurderinger står der hvor vigtigt det er at sikre den kritiske infrastruktur og at det er CFCS og FE's hovedopgave og højeste prioritet, Men CFCS har ikke formået at løse deres vigtigste opgave med at indkredse og definere hvad der forstås ved kritisk infrastruktur eller hvordan man identificerer en samfundsvigtig virksomhed. CFCS og FE har allerede fået milliader af skattekroner, men har ikke formået at løse denne vigtige del af deres opgave.

  • 10
  • 0
Louise Klint

CFCS beder om at få udvidet sine beføjelser, markant, med dette lovforslag.
Hvilket alt sammen kræver undtagelser fra helt grundlæggende lovgivning i vores samfund.

Dette gælder bl.a. Grundlovens §72 (boligens ukrænkelighed, meddelelseshemmeligheden, privatlivets fred), GDPR, databeskyttelsesloven, retssikkerhedsloven og Den Europæiske Menneskerettighedskonvention. Man vil have adgang uden retskendelse.
Man ønsker også slettefrister udvidet og arkivloven ændret, sådan at regler for overførsel af oplysninger, der skal bevares for eftertiden, i Rigsarkivet, kan ske via en bekendtgørelse. På den måde er det noget, ministeren er herre over på egen hånd. Ministeren kan dermed også bestemme hvor/hvordan oplysningerne skal opbevares indtil da. (Vi har set sagen om ”logisk sletning” hos anden myndighed).

Tag eksempelvis blot den del af loven, som gælder den nye ydelse,
CFCS/FE vil til at tilbyde myndigheder og virksomheder, de såkaldt
”forebyggende sikkerhedstekniske undersøgelser”, §6 a.

Disse er rettet mod almindelige borgere, i arbejdstiden, hvor din chef kan
hyre CFCS/FE til at teste IT-sikkerheden på jeres arbejdsplads.
Det kan være hos både private virksomheder som offentlige myndigheder.
De kalder det ”forebyggelsesaktiviteter rettet mod udvalgte medarbejdere” hvor CFCS/FE kan ”uden retskendelse behandle trafikdata, pakkedata og stationære data hos myndigheden eller virksomheden” (§6 a stk. 2, 1, side 2).
Dette inkluderer i praksis social engineering, profilering og spear fishing-forsøg.

I Forsøget på at få medarbejderen til at gå i en fælde indsamler efterretningstjenesten således oplysninger om medarbejderen samt fx ”navnet på medarbejderens ægtefælle, børn, husdyr eller fødeby”, således ”det bliver muligt at gætte medarbejdernes passwords.”
CFCS må kun indsamle fra offentlige kilder, og ikke såkaldt følsomme oplysninger (etnicitet, religion, seksualitet, etc.) men alligevel.
Kunne du tænke dig at blive kigget over skulderen af efterretningstjenesten?
Kunne du tænke dig at stå anført i deres databaser?

Lovforslaget nævner intet om det, men det er ikke overvejende sandsynligt, at CFCS opererer med noter på papirlapper, hvorfor det må antages, at oplysningerne føres ind i en sagsmappe i et af CFCS/FE’s IT-systemer/databaser under planlægningen af disse fingerede hackerangreb.
CFCS må opbevare oplysningerne i op til 3 år.
Medarbejderne, der er objekt for dette her, får det først at vide bagefter.

For at kunne tilbyde denne nye service beder CFCS/FE om tilladelse til at
undtages fra:
Dele af Menneskerettighedskonventionen og Grundlovens §72 (om boligens ukrænkelighed), der omfatter brev- og meddelelseshemmeligheden, altså privatlivets fred. CFCS/FE vil også omgå GDPR og have udvidede slettefrister/arkivloven, ligesom de beder om undtagelse fra dele af retssikkerhedsloven, som beskytter borgernes retssikkerhed.
Forsvarsministeriet og efterretningstjenesten mener åbenbart, at
så længe din arbejdsgiver har samtykket til aftalen, omfatter og hjemler det
også dine (medarbejderens) private oplysninger.

https://www.ft.dk/ripdf/samling/20181/lovforslag/l215/20181_l215_som_fre...
(Side 2 + 12-14, 20-24, 35-37).

Ringer der ingen alarmklokker her?

Private udbydere tilbyder allerede nu tilsvarende forebyggende sikkerhedstjek.
Sikkerhedsydelser, som ikke indebærer, at ganske almindelige danskere – der ikke har gjort noget ulovligt eller er mistænkt for noget som helst – skal granskes af en statslig efterretningstjeneste og bagefter registreres i deres databaser.
På en tilfældig arbejdsdag, mens du har travlt med at passe dit job.

Der er ingen proportionalitet i det her.
Forslaget hører ingen steder hjemme.
Dette er ikke en ydelse, som CFCS/FE skal til at udbyde.
Ganske almindelige, lovlydige danskere skal IKKE registreres hos efterretningstjenesten. Punktum.

(Det har, ærligt talt, taget mig flere dage at læse mig igennem lovforslaget, da jeg kommer til at glemme at trække vejret, og går i stå, fordi det er så horribelt).

Forslaget 1. behandles på tirsdag, 2. april.
https://www.ft.dk/samling/20181/lovforslag/L215/tidsplan.htm
Der er pt. ingen tidsplan ud over det.

  • 3
  • 0
Log ind eller Opret konto for at kommentere