CFCS: Vi kan kræve undersøgelser og kontrol med TDC-center i Rumænien

22. juli 2019 kl. 07:478
CFCS: Vi kan kræve undersøgelser og kontrol med TDC-center i Rumænien
Illustration: josefkubes, BigStock.
Sikkerheden ændrer sig ikke væsentligt, fastslår Thomas Lund-Sørensen om udflytningen af et centralt TDC-operationscenter til Rumænien.
person
/hm hm@version2.dk
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
/hm hm@version2.dk

Center for Cybersikkerhed bekræfter, at enheden ikke længere har ret til at komme på tilsynsbesøg i TDCs såkaldte Network Operations Center, NOC, når det - som omtalt i sidste uge - outsources til en lokation i Rumænien. Det skriver ITWatch på baggrund af Ritzau.

I sidste uge kom det frem at Ericsson overtager driften af TDC’s telenetværk og samtidig flytter selskabets NOC fra Frederiksberg til Rumænien. Det skabte frygt også blandt politikere for at Danmark var på vej til at miste kontrol med væsentlige infrastruktur.

Men ifølge Thomas Lund-Sørensen, der er chef for CFCS, kan man godt kræve, at TDC/Ericsson udstationerer en medarbejder med dansk sikkerhedsgodkendelse til at kontrollere arbejdet i driftscenteret.

Desuden kan CFCS stadig kræve undersøgelser af sikkerheden i driftscenteret.

Artiklen fortsætter efter annoncen

Og endelig har Center for Cybersikkerhed mulighed for at rejse på tilsynsbesøg, hvis der foreligger en invitation.

»Grundlæggende set ændrer sikkerheden sig ikke væsentligt. Den kommer ind under et svensk selskab, som vi har stor tiltro til,« siger Thomas Lund-Sørensen, til Ritzau ifølge ITWatch.

»Det kan have en positiv effekt, at driften kommer til at ligge i Rumænien. Det er et stort og mandskabstungt setup, og man driver netværk for 45 andre store televirksomheder. Driftssikkerheden bliver måske endnu højere,« siger han til nyhedsbureauet.

Fokus
Emner
8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
Louise Klint
23. juli 2019 kl. 17:00

Mange tak fordi du siger det, Ritsholm.

Men er det overhovedet i NOC, at sikkerhedsbrister først og fremmest kan findes?
Når man overhovedet kan etablere en outsourcet NOC i Rumænien er det fordi TDCs danske net kan overvåges og kontrolleres udefra.
Så den afgørende svaghed er nok andres mulige adgang til dette uden at gå gennem NOC, og ikke selve NOC.</p>
<p>Man kan sikre adgang fra nettet til management på mange måder.
Men enhver yderligere sikring vil altid gøre egen adgang mere besværlig og dermed fordyrende.
(…)
Det burde CFSE nok snarere føre tilsyn med (…)
For det er nok mere ved fjernkontrol ind i nettet at bekvemmelighed og besparelser kan gå ud over sikkerheden - og ikke i selve fjernkontrolcenteret.
Nævnte problemstilling er ikke behandlet i L215, da man overhovedet ikke ser på de særlige problemstillinger ved outsourcing.

Det virker lidt op ad bakke med CFCS/FE og ministeriet. Det virker til, at der er langt hjem, hvad angår problemets kerne. En løsning på det reelle sikkerhedsproblem.

  • more_vert
    • insert_linkKopier link
6
Mogens Ritsholm
23. juli 2019 kl. 14:49

Hvad indebærer et "hemmeligt netværk"? Er det noget, vi også - i teorien - kunne have herhjemme?

Det er vist journalisten på CW, der har misforstået det.

Det er Huaweis levering til Nordkorea, der mistænkes hemmeligholdt - og ikke nettet.

Grunden til det er hemmeligt er antageligt, at de derved har overtrådt handelssanktioner mod Nordkorea, herunder ved brug af komponenter fra USA.

Den oprindelige artikel:

https://www.washingtonpost.com/world/national-security/leaked-documents-reveal-huaweis-secret-operations-to-build-north-koreas-wireless-network/2019/07/22/583430fe-8d12-11e9-adf3-f70f78c156e8_story.html?utm_term=.352609680907

  • more_vert
    • insert_linkKopier link
5
Anne-Marie Krogsbøll
23. juli 2019 kl. 14:16

Vi slap af med Huawei i denne sammenhæng - bekræftes det rigtige i den beslutning af denne historie?https://www.computerworld.dk/art/248281/laekkede-dokumenter-afsloerer-huawei-hjalp-med-at-bygge-hemmeligt-netvaerk-i-nordkorea

Der er noget, jeg håber, nogen kan opklare for mig: I overskriften anføres:"Huawei hjalp med at bygge hemmeligt netværk i Nordkorea"

Men i brødteksten står:"Huawei har i al hemmelighed hjulpet den Nordkoreanske regering med at bygge og drive landets kommercielle trådløse netværk. "

Er Nordkoreas kommercielle trådløse netvæk hemmeligt? I givet fald: Hvad ligger der i det?

Hvad indebærer et "hemmeligt netværk"? Er det noget, vi også - i teorien - kunne have herhjemme?

  • more_vert
    • insert_linkKopier link
4
Mogens Ritsholm
23. juli 2019 kl. 13:51

CFCS/FE mente jeg selvfølgelig

  • more_vert
    • insert_linkKopier link
3
Mogens Ritsholm
23. juli 2019 kl. 11:41

CFSE mener tilsyneladende, at en sikkerhedsgodkendt medarbejder i Rumænien og nogle tilsynsbesøg er nødvendige for at imødegå sårbarheder.

Hvad skal tilsyn sikre?

Formentlig er de kun i stand til at kontrollere adgangskontrol og firewall mv. på eksterne linier.

Hvad sikrer en sikkerhedsgodkendt medarbejder?

Medarbejdere gør det, som deres arbejdsgiver beder dem om. Det er jo ikke sådan, at en sikkerhedsgodkendelse smitter af på de 1000 andre medarbejdere på stedet.

Men er det overhovedet i NOC, at sikkerhedsbrister først og fremmest kan findes?

Når man overhovedet kan etablere en outsourcet NOC i Rumænien er det fordi TDCs danske net kan overvåges og kontrolleres udefra.

Så den afgørende svaghed er nok andres mulige adgang til dette uden at gå gennem NOC, og ikke selve NOC.

Man kan sikre adgang fra nettet til management på mange måder. Men enhver yderligere sikring vil altid gøre egen adgang mere besværlig og dermed fordyrende.

Eksempel: Det er givetvis effektivt, at den særligt vidende medarbejder på ferie i Spanien kan løse et specielt problem fra det åbne internet. Men bagsiden er jo tydeligvis en sårbarhed.

Vi har allerede set det.

Da TDCs kabel-tv gik ned over hele landet til nytår 2017, var det transkodere over hele landet, der blev manipuleret udefra. Disse transkodere omkoder TV-signalerne, når de skal ud på kabel-TV efter transport via IP.

Adgang til management for hver enhed stod piv-åbent fra det åbne internet. I første omgang beskyldte TDC en intern medarbejder, men de måtte siden erkende, at det også kunne være gjort ganske let udefra. Mig bekendt er det aldrig opklaret.

Kan det samme ske for mobilnettet?

Det burde CFSE nok snarere føre tilsyn med frem for skaforklasse for låsene i Rumænien.

For det er nok mere ved fjernkontrol ind i nettet at bekvemmelighed og besparelser kan gå ud over sikkerheden - og ikke i selve fjernkontrolcenteret

Nævnte problemstilling er ikke behandlet i L215, da man overhovedet ikke ser på de særlige problemstillinger ved outsourcing.

  • more_vert
    • insert_linkKopier link
2
Louise Klint
22. juli 2019 kl. 13:22

Ja, der er i hvert fald noget, som ikke hænger sammen.

  1. L215 er alligevel ikke så vigtig.
  2. Behov for ny/anden lovgivning.

Når nu Chefen for CFCS, Thomas Lund-Sørensen, siger ^^, at cybersikkerheden ikke trues eller ændres væsentligt af, at TDC flytter sin NOC til Rumænien, så har jeg vanskeligt ved at se L215’s nødvendighed. Fordi det er ikke den, der sikrer cybersikkerheden, i praksis.https://www.ft.dk/samling/20181/lovforslag/L215/index.htmhttps://www.ft.dk/samling/20181/lovforslag/l215/20181_l215_som_vedtaget.htmhttps://politiken.dk/indland/art6955959/Staten-vil-overv%C3%A5ge-firmaers-data-med-tvanghttps://www.version2.dk/artikel/center-cybersikkerhed-vil-overvaage-virksomheders-datatrafik-uden-at-spoerge-lov-1087192

Dels er outsourcing af driftssystemer, som jeg forstår det, relativt almindeligt.

Så, hvad har man tænkt sig? At hver gang en dansk virksomhed med samfundskritisk infrastruktur (som nu TDC) påtænker at outsource driften, så skal ministeren kaldes i samråd for at stoppe det?https://itwatch.dk/ITNyt/Politik/article11509466.eceVil man regulere markedet, på den facon, fra Christiansborg? Mener man, at det er en gangbar løsning på langt sigt?

Jeg synes, som Mogens Ritsholm siger, at det tegner et billede af, at lovgivningen er utidssvarende.https://www.version2.dk/artikel/kontrolcenter-danmarks-centrale-telenetvaerk-flytter-frederiksberg-rumaenien-1088523#comment-398300

At praksis kræver helt andre løsninger. Anden lovgivning. Som det er sandsynliggjort via den aktuelle case.

At de vidtgående beføjelser, som CFCS/FE fik med L215, de vil ikke sikre den nationale cybersikkerhed.
Reelt set kunne man kalde dem falsk tryghed. Eller overflødige.Fordi cybersikkerheden – i praksis – vil blive varetaget af andre end CFCS/FE, i vidt omfang.Af mange forskellige aktører. Både virksomheder og myndigheder, også udenlandske. Som CFCS ikke vil have hjemmel til at overvåge (på trods af L215). Det giver den aktuelle case en stærk indikation af.

Praksis viser således, at der er behov for andre, decentrale løsninger. Sandsynligvis helt anden lovgivning.

Hvilket jeg også mener, at eksperter har påpeget, her i foråret. Men forsvarsministeriet var stålsat.

  • more_vert
    • insert_linkKopier link
1
Anne-Marie Krogsbøll
22. juli 2019 kl. 08:04

Men ifølge Thomas Lund-Sørensen, der er chef for CFCS, kan man godt kræve, at TDC/Ericsson udstationerer en medarbejder med dansk sikkerhedsgodkendelse til at kontrollere arbejdet i driftscenteret. Desuden kan CFCS stadig kræve undersøgelser af sikkerheden i driftscenteret. Og endelig har Center for Cybersikkerhed mulighed for at rejse på tilsynsbesøg, hvis der foreligger en invitation."

Det er altså ikke lige så godt, som have ret til at komme på uanmeldte besøg, uden invitation. Det er stadig TDC/Ericson, der efter den beskrevne model har fat i den lange ende ift. kontrol.

For mig lyder det lidt som bortforklaringer og panik..... Måske over Louise Klints gode spørgsmål i en kommentar i går?https://www.version2.dk/artikel/kontrolcenter-danmarks-centrale-telenetvaerk-flytter-frederiksberg-rumaenien-1088523#comment-398301

  • more_vert
    • insert_linkKopier link