CFCS svarer på lov-bekymringer: Intet påbud om adgang til stationære data

CFCS beder om at få udvidet sine beføjelser, markant, med dette lovforslag. Hvilket alt sammen kræver undtagelser fra helt grundlæggende lovgivning i vores samfund.

Dette gælder bl.a. Grundlovens §72 (boligens ukrænkelighed, meddelelseshemmeligheden, privatlivets fred), GDPR, databeskyttelsesloven, retssikkerhedsloven og Den Europæiske Menneskerettighedskonvention. Man vil have adgang uden retskendelse. Man ønsker også slettefrister udvidet og arkivloven ændret, sådan at regler for overførsel af oplysninger, der skal bevares for eftertiden, i Rigsarkivet, kan ske via en bekendtgørelse. På den måde er det noget, ministeren er herre over på egen hånd. Ministeren kan dermed også bestemme hvor/hvordan oplysningerne skal opbevares indtil da. (Vi har set sagen om ”logisk sletning” hos anden myndighed).

Tag eksempelvis blot den del af loven, som gælder den nye ydelse, CFCS/FE vil til at tilbyde myndigheder og virksomheder, de såkaldt”forebyggende sikkerhedstekniske undersøgelser”, §6 a.

Disse er rettet mod almindelige borgere, i arbejdstiden, hvor din chef kan hyre CFCS/FE til at teste IT-sikkerheden på jeres arbejdsplads. Det kan være hos både private virksomheder som offentlige myndigheder. De kalder det ”forebyggelsesaktiviteter rettet mod udvalgte medarbejdere” hvor CFCS/FE kan ”uden retskendelse behandle trafikdata, pakkedata og stationære data hos myndigheden eller virksomheden” (§6 a stk. 2, 1, side 2). Dette inkluderer i praksis social engineering, profilering og spear fishing-forsøg.

I Forsøget på at få medarbejderen til at gå i en fælde indsamler efterretningstjenesten således oplysninger om medarbejderen samt fx ”navnet på medarbejderens ægtefælle, børn, husdyr eller fødeby”, således ”det bliver muligt at gætte medarbejdernes passwords.” CFCS må kun indsamle fra offentlige kilder, og ikke såkaldt følsomme oplysninger (etnicitet, religion, seksualitet, etc.) men alligevel.Kunne du tænke dig at blive kigget over skulderen af efterretningstjenesten? Kunne du tænke dig at stå anført i deres databaser?

Lovforslaget nævner intet om det, men det er ikke overvejende sandsynligt, at CFCS opererer med noter på papirlapper, hvorfor det må antages, at oplysningerne føres ind i en sagsmappe i et af CFCS/FE’s IT-systemer/databaser under planlægningen af disse fingerede hackerangreb. CFCS må opbevare oplysningerne i op til 3 år. Medarbejderne, der er objekt for dette her, får det først at vide bagefter.

For at kunne tilbyde denne nye service beder CFCS/FE om tilladelse til at undtages fra: Dele af Menneskerettighedskonventionen og Grundlovens §72 (om boligens ukrænkelighed), der omfatter brev- og meddelelseshemmeligheden, altså privatlivets fred. CFCS/FE vil også omgå GDPR og have udvidede slettefrister/arkivloven, ligesom de beder om undtagelse fra dele af retssikkerhedsloven, som beskytter borgernes retssikkerhed.Forsvarsministeriet og efterretningstjenesten mener åbenbart, at så længe din arbejdsgiver har samtykket til aftalen, omfatter og hjemler det også dine (medarbejderens) private oplysninger.https://www.ft.dk/ripdf/samling/20181/lovforslag/l215/20181_l215_som_fremsat.pdf(Side 2 + 12-14, 20-24, 35-37).

Ringer der ingen alarmklokker her?

Private udbydere tilbyder allerede nu tilsvarende forebyggende sikkerhedstjek. Sikkerhedsydelser, som ikke indebærer, at ganske almindelige danskere – der ikke har gjort noget ulovligt eller er mistænkt for noget som helst – skal granskes af en statslig efterretningstjeneste og bagefter registreres i deres databaser. På en tilfældig arbejdsdag, mens du har travlt med at passe dit job.

Der er ingen proportionalitet i det her. Forslaget hører ingen steder hjemme. Dette er ikke en ydelse, som CFCS/FE skal til at udbyde.Ganske almindelige, lovlydige danskere skal IKKE registreres hos efterretningstjenesten. Punktum.

(Det har, ærligt talt, taget mig flere dage at læse mig igennem lovforslaget, da jeg kommer til at glemme at trække vejret, og går i stå, fordi det er så horribelt).

Forslaget 1. behandles på tirsdag, 2. april.https://www.ft.dk/samling/20181/lovforslag/L215/tidsplan.htmDer er pt. ingen tidsplan ud over det.

Hvis der på "ydersiden"af en Firewall igangsætte en alarm i den installerede boks (som CFCS selv bestemmer følsomheden af), så kan CFCS uden dommerkendelse og på eget initiativ åbne for adgang til også at læse indholdet af filen, og få adgang til personfølsomme oplysninger og fx virksomhedens hemmelige forskningsresultater m.m.. Hvorvidt disse evt. bliver udvekslet med andre efterretningstjenester kan der kun gisne om. Kendsgerningen er at efterretningstjenster lever af at udveksle oplysninger af alle mulige slags. CFCS er en del af FE og understreger, næsten dagligt, hvornødvendigt og godt samt hensigtsæssigt samarbejdet er med den øvrige del af FE. Bemærk i øvrigt, at det er CFCS der efter eget skøn suverænt bestemmer hvilke virksomheder, der er kan betegnes som samfundsvigtige virksomheder, uden at CFCS på nogen måde har fastlagt kriterier eller fastsat regler herfor, og dermed kan blive pålagt at tislutte deres virksomhed til CFCS. CFCS har heller ikke i deres 6 års eksistens formået at gøre deres hjemmearbejde med at fastslå, hvad der forstås ved kritisk infrastruktur. Et arbejde som de fleste andre EU lande for længst har gennemført. I alle FE og CFCS' trusselsvurderinger står der hvor vigtigt det er at sikre den kritiske infrastruktur og at det er CFCS og FE's hovedopgave og højeste prioritet, Men CFCS har ikke formået at løse deres vigtigste opgave med at indkredse og definere hvad der forstås ved kritisk infrastruktur eller hvordan man identificerer en samfundsvigtig virksomhed. CFCS og FE har allerede fået milliader af skattekroner, men har ikke formået at løse denne vigtige del af deres opgave.

»Og hvis en virksomhed bliver påbudt at tilslutte sig til netsikkerhedstjenesten, må vi alene monitere netværkskommunikation, dvs. ind- og udgående trafik mellem en virksomheds-firewall og internettet. Det foregår altså på ydersiden af infrastrukturen i en virksomheder,« tilføjer han.

Igen så kan det godt være, at der står frivillighed i lovforslaget.. men, hvis nu forsvarsministeriet skruer op for bissen mod f.eks. Århus Kommune.. tror I så virkelig de kan stå imod og ikke gøre det frivilligt ?

Eller hvis du nu er leverandør til forsvarsministeriet ?

Hvis der var reel frivillighed, så havde man måske lyttet til DI og de mange IT-sikkerhedsprofessionelle der har tordnet mod forslaget.

Fra 2.3. Lovforslagets formål:

For det tredje monitorerer Center for Cybersikkerhed i dag kun datatrafik på de forbindelser, der går ind og ud af de tilsluttede myndigheder og virksomheder. Det giver i stigende grad udfordringer, dels fordi mere og mere datatrafik bliver utilgængeligt på grund af kryptering, hvor det kan passere alarmenhederne uden at udløse en alarm, og dels fordi det ikke er muligt at opdage uregelmæssigheder, som sker på pc'ere og servere hos de tilsluttede myndigheder og virksomheder. Den teknologiske udvikling udhuler således Center for Cybersikkerheds mulighed for effektivt at opdage trusler og hændelser. Lovforslaget indebærer derfor, at der skabes mulighed for at installere sikkerhedssoftware på f.eks. pc'ere og servere hos myndigheder og virksomheder, der er tilsluttet centerets netsikkerhedstjeneste. Det vil udvide centerets muligheder for tidligt at opdage cyberangreb hos de tilsluttede organisationer. Sikkerhedssoftwaren vil kunne opdage unormal aktivitet, såsom kommandoer om at sende store mængder data til en ukendt enhed på internettet. Installation af sikkerhedssoftwaren vil være frivillig, og myndigheder og virksomheder vil således ikke kunne få påbud om at installere sikkerhedssoftware.

Igen er der ikke nogen af os IT folk der er imod at beskytte Danmark, MEN lad os nu gøre det rigtigt. Og lad os bygge på erfaringer om hvad der faktisk virker.

// Jesper