CFCS: Vi kan kræve undersøgelser og kontrol med TDC-center i Rumænien

Sikkerheden ændrer sig ikke væsentligt, fastslår Thomas Lund-Sørensen om udflytningen af et centralt TDC-operationscenter til Rumænien.

Center for Cybersikkerhed bekræfter, at enheden ikke længere har ret til at komme på tilsynsbesøg i TDCs såkaldte Network Operations Center, NOC, når det - som omtalt i sidste uge - outsources til en lokation i Rumænien. Det skriver ITWatch på baggrund af Ritzau.

I sidste uge kom det frem at Ericsson overtager driften af TDC’s telenetværk og samtidig flytter selskabets NOC fra Frederiksberg til Rumænien. Det skabte frygt også blandt politikere for at Danmark var på vej til at miste kontrol med væsentlige infrastruktur.

Men ifølge Thomas Lund-Sørensen, der er chef for CFCS, kan man godt kræve, at TDC/Ericsson udstationerer en medarbejder med dansk sikkerhedsgodkendelse til at kontrollere arbejdet i driftscenteret.

Desuden kan CFCS stadig kræve undersøgelser af sikkerheden i driftscenteret.

Og endelig har Center for Cybersikkerhed mulighed for at rejse på tilsynsbesøg, hvis der foreligger en invitation.

»Grundlæggende set ændrer sikkerheden sig ikke væsentligt. Den kommer ind under et svensk selskab, som vi har stor tiltro til,« siger Thomas Lund-Sørensen, til Ritzau ifølge ITWatch.

»Det kan have en positiv effekt, at driften kommer til at ligge i Rumænien. Det er et stort og mandskabstungt setup, og man driver netværk for 45 andre store televirksomheder. Driftssikkerheden bliver måske endnu højere,« siger han til nyhedsbureauet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Men ifølge Thomas Lund-Sørensen, der er chef for CFCS, kan man godt kræve, at TDC/Ericsson udstationerer en medarbejder med dansk sikkerhedsgodkendelse til at kontrollere arbejdet i driftscenteret.
Desuden kan CFCS stadig kræve undersøgelser af sikkerheden i driftscenteret.
Og endelig har Center for Cybersikkerhed mulighed for at rejse på tilsynsbesøg, hvis der foreligger en invitation."

Det er altså ikke lige så godt, som have ret til at komme på uanmeldte besøg, uden invitation. Det er stadig TDC/Ericson, der efter den beskrevne model har fat i den lange ende ift. kontrol.

For mig lyder det lidt som bortforklaringer og panik..... Måske over Louise Klints gode spørgsmål i en kommentar i går?
https://www.version2.dk/artikel/kontrolcenter-danmarks-centrale-telenetv...

  • 3
  • 2
Louise Klint

Ja, der er i hvert fald noget, som ikke hænger sammen.

1) L215 er alligevel ikke så vigtig.
2) Behov for ny/anden lovgivning.

Når nu Chefen for CFCS, Thomas Lund-Sørensen, siger ^^, at cybersikkerheden ikke trues eller ændres væsentligt af, at TDC flytter sin NOC til Rumænien, så har jeg vanskeligt ved at se L215’s nødvendighed.
Fordi det er ikke den, der sikrer cybersikkerheden, i praksis.
https://www.ft.dk/samling/20181/lovforslag/L215/index.htm
https://www.ft.dk/samling/20181/lovforslag/l215/20181_l215_som_vedtaget.htm
https://politiken.dk/indland/art6955959/Staten-vil-overv%C3%A5ge-firmaer...
https://www.version2.dk/artikel/center-cybersikkerhed-vil-overvaage-virk...

Dels er outsourcing af driftssystemer, som jeg forstår det, relativt almindeligt.

Så, hvad har man tænkt sig?
At hver gang en dansk virksomhed med samfundskritisk infrastruktur (som nu TDC) påtænker at outsource driften, så skal ministeren kaldes i samråd for at stoppe det?
https://itwatch.dk/ITNyt/Politik/article11509466.ece
Vil man regulere markedet, på den facon, fra Christiansborg?
Mener man, at det er en gangbar løsning på langt sigt?

Jeg synes, som Mogens Ritsholm siger, at det tegner et billede af,
at lovgivningen er utidssvarende.
https://www.version2.dk/artikel/kontrolcenter-danmarks-centrale-telenetv...

At praksis kræver helt andre løsninger.
Anden lovgivning.
Som det er sandsynliggjort via den aktuelle case.

At de vidtgående beføjelser, som CFCS/FE fik med L215, de vil ikke sikre den nationale cybersikkerhed.
Reelt set kunne man kalde dem falsk tryghed. Eller overflødige.
Fordi cybersikkerheden – i praksis – vil blive varetaget af andre end CFCS/FE,
i vidt omfang.

Af mange forskellige aktører.
Både virksomheder og myndigheder, også udenlandske.
Som CFCS ikke vil have hjemmel til at overvåge (på trods af L215).
Det giver den aktuelle case en stærk indikation af.

Praksis viser således, at der er behov for andre, decentrale løsninger.
Sandsynligvis helt anden lovgivning.

Hvilket jeg også mener, at eksperter har påpeget, her i foråret.
Men forsvarsministeriet var stålsat.

  • 2
  • 0
Mogens Ritsholm

CFSE mener tilsyneladende, at en sikkerhedsgodkendt medarbejder i Rumænien og nogle tilsynsbesøg er nødvendige for at imødegå sårbarheder.

Hvad skal tilsyn sikre?

Formentlig er de kun i stand til at kontrollere adgangskontrol og firewall mv. på eksterne linier.

Hvad sikrer en sikkerhedsgodkendt medarbejder?

Medarbejdere gør det, som deres arbejdsgiver beder dem om. Det er jo ikke sådan, at en sikkerhedsgodkendelse smitter af på de 1000 andre medarbejdere på stedet.

Men er det overhovedet i NOC, at sikkerhedsbrister først og fremmest kan findes?

Når man overhovedet kan etablere en outsourcet NOC i Rumænien er det fordi TDCs danske net kan overvåges og kontrolleres udefra.

Så den afgørende svaghed er nok andres mulige adgang til dette uden at gå gennem NOC, og ikke selve NOC.

Man kan sikre adgang fra nettet til management på mange måder. Men enhver yderligere sikring vil altid gøre egen adgang mere besværlig og dermed fordyrende.

Eksempel: Det er givetvis effektivt, at den særligt vidende medarbejder på ferie i Spanien kan løse et specielt problem fra det åbne internet. Men bagsiden er jo tydeligvis en sårbarhed.

Vi har allerede set det.

Da TDCs kabel-tv gik ned over hele landet til nytår 2017, var det transkodere over hele landet, der blev manipuleret udefra. Disse transkodere omkoder TV-signalerne, når de skal ud på kabel-TV efter transport via IP.

Adgang til management for hver enhed stod piv-åbent fra det åbne internet. I første omgang beskyldte TDC en intern medarbejder, men de måtte siden erkende, at det også kunne være gjort ganske let udefra. Mig bekendt er det aldrig opklaret.

Kan det samme ske for mobilnettet?

Det burde CFSE nok snarere føre tilsyn med frem for skaforklasse for låsene i Rumænien.

For det er nok mere ved fjernkontrol ind i nettet at bekvemmelighed og besparelser kan gå ud over sikkerheden - og ikke i selve fjernkontrolcenteret

Nævnte problemstilling er ikke behandlet i L215, da man overhovedet ikke ser på de særlige problemstillinger ved outsourcing.

  • 4
  • 0
Anne-Marie Krogsbøll

Vi slap af med Huawei i denne sammenhæng - bekræftes det rigtige i den beslutning af denne historie?
https://www.computerworld.dk/art/248281/laekkede-dokumenter-afsloerer-hu...

Der er noget, jeg håber, nogen kan opklare for mig:
I overskriften anføres:
"Huawei hjalp med at bygge hemmeligt netværk i Nordkorea"

Men i brødteksten står:
"Huawei har i al hemmelighed hjulpet den Nordkoreanske regering med at bygge og drive landets kommercielle trådløse netværk. "

Er Nordkoreas kommercielle trådløse netvæk hemmeligt? I givet fald: Hvad ligger der i det?

Hvad indebærer et "hemmeligt netværk"? Er det noget, vi også - i teorien - kunne have herhjemme?

  • 0
  • 0
Mogens Ritsholm

Hvad indebærer et "hemmeligt netværk"? Er det noget, vi også - i teorien - kunne have herhjemme?


Det er vist journalisten på CW, der har misforstået det.

Det er Huaweis levering til Nordkorea, der mistænkes hemmeligholdt - og ikke nettet.

Grunden til det er hemmeligt er antageligt, at de derved har overtrådt handelssanktioner mod Nordkorea, herunder ved brug af komponenter fra USA.

Den oprindelige artikel:

https://www.washingtonpost.com/world/national-security/leaked-documents-...

  • 2
  • 0
Louise Klint

Mange tak fordi du siger det, Ritsholm.

Men er det overhovedet i NOC, at sikkerhedsbrister først og fremmest kan findes?
Når man overhovedet kan etablere en outsourcet NOC i Rumænien er det fordi TDCs danske net kan overvåges og kontrolleres udefra.
Så den afgørende svaghed er nok andres mulige adgang til dette uden at gå gennem NOC, og ikke selve NOC.

Man kan sikre adgang fra nettet til management på mange måder.
Men enhver yderligere sikring vil altid gøre egen adgang mere besværlig og dermed fordyrende.
(…)
Det burde CFSE nok snarere føre tilsyn med (…)
For det er nok mere ved fjernkontrol ind i nettet at bekvemmelighed og besparelser kan gå ud over sikkerheden - og ikke i selve fjernkontrolcenteret.
Nævnte problemstilling er ikke behandlet i L215, da man overhovedet ikke ser på de særlige problemstillinger ved outsourcing.

Det virker lidt op ad bakke med CFCS/FE og ministeriet.
Det virker til, at der er langt hjem, hvad angår problemets kerne.
En løsning på det reelle sikkerhedsproblem.

  • 1
  • 0
Log ind eller Opret konto for at kommentere