DI: Ny CFCS-overvågning kan betyde dansk statstapning af patentdata og børsdata fra udenlandske selskaber

Illustration: DI
Hvad sker der med udenlandske selskabers data, når de kommer til Danmark, spørger DI efter nyt lovforslag, der giver CFCS mulighed for at tvangsinstallere overvågningssoftware i erhvervslivet.
9

DI frygter, at det nye lovforslag, der giver Center for Cybersikkerhed (CFCS) mulighed for at tvangsinstallere overvågningssoftware hos bl.a. virksomheder vil betyde, at erhvervslivet dermed uden begrænsninger kan få tappet bl.a. dybt fortrolige forretningsaftaler, patenter og børsfølsomme til efterretningstjenesten – og dermed skabe uklarhed for internationale virksomheder om beskyttelsen af data i Danmark.

Det skriver Politiken.

Læs også: Center for Cybersikkerhed vil overvåge virksomheders datatrafik uden at spørge om lov

DI frygter, at Danmarks konkurrenceevne og troværdighed i udlandet bliver undergravet af regeringens planer om tvungen overvågning af »samfundsvigtige« virksomheder.

»Vores virksomheder skal kunne forklare i andre lande, hvad det er for en type overvågning der foregår i Danmark. Det bliver ikke simpelt for virksomhederne, og det kan påvirke muligheden for at garantere en vis form for sikkerhed over for en kunde eller virksomhed i et andet land. Hvad sker der med deres data, når de kommer til Danmark?« siger Lars Frelle-Petersen, der er direktør med ansvar for digitalisering i DI.

DI og efterretningstjenesten samt Forsvarsministeriet holder i dag møde om sagen.

DI har tidligere været ude med, at en »vidtrækkende offentlig adgang til virksomhedernes data kan være en trussel mod virksomhedernes grundlovssikrede ret til beskyttelse af følsomme oplysninger som forretningshemmeligheder og private informationer«.

Læs også: DI: CFCS' nye vidtrækkende hjemmel til dataadgang kan true grundlovssikrede rettigheder

Ph.d. og forsker Tobias Liebetrau, Institut for Statskundskab, Københavns Universitet, har i et blogindlæg på Version2 også rejst spørgsmål ved, hvem der skal vurdere, hvornår CFCS kan og bør supplere de enkelte sektorers egen cybersikkerhed og hændelseshåndtering - det sektoransvar, som ellers netop er fastsat med de nye sektorstrategier på cybersikkerhedsområdet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Når selv Lars Frelle-Petersen begynder at blive bekymret, så må det være ved at være virkeligt meget, meget slemt:

"I er blevet overraskede over det. Har Forsvarsministeriets forberedelser været gode nok?
»Vi er overraskede over, hvor dybt og vidtgående det er«."
https://politiken.dk/indland/art6971619/%C2%BBVi-er-overraskede-over-hvo...
(kræver abonnement)

Nu er det så desværre kun virksomhederne, han af en eller anden grund er bekymret på vegne af. De står nok (af indlsyende grunde) hans hjerte nærmere end borgerne...

Hans Nielsen

Så forstår man Lars Frelle-Petersen bekymring.

https://www.version2.dk/artikel/ni-sigtet-hackersag-mod-usas-finanstilsy...

Men der skal IKKE være hverken bagdøre eller masse overvågning af borgere eller virksomheder, uden dommer kendelse.

Alle både borger, virksomheder, stater og efterretningstjenester har gang på gang vist at de ikke er i stand til at passe på data. Og det kan ikke lade sig gøre, lige meget hvor meget der så bliver påstået andet.

Louise Klint

Hvis DIs møde med ministeren ikke er tilstrækkeligt, vil jeg fæstne min lid til,
at flere andre af erhvervslivets tunge drenge siger fra.
At det vil blive udslagsgivende og få overvågningsforslaget til at falde.
Eller blive kraftigt modereret.

At Mærsk fx – via deres organisation Danske Rederier – sender et svar
her i lovforslagets høringsperiode.
På vanlig dannet, diskret og diplomatisk facon får givet ministeren et vink med en vognstang om, at it’s not gonna happen.
Der kommer ikke til at være statslig overvågning indplaceret i Mærsks IT-infrastruktur.
Noget med, at de jo lærte meget af NotPetya og i den forbindelse har udvist rettidig omhu. Har investeret proportionalt i cybersikkerhedsløsninger, der til fulde opfylder behovet.

Jeg ved det ikke, men jeg forestiller mig også, at det tab på 1,9 mia., som Mærsk led pga. NotPetya, må have givet ekko igennem hele det danske erhvervsliv. Givet stof til eftertanke og handling.

Eller at Novo Nordisk fx sender en replik til høringen via LIF, Lægemiddelindustriforeningen.
At ”sikring af vores forretning er af højeste prioritet, hvorfor vi har investeret solidt i en (privat) løsning, vi er meget tilfredse med…” Dertil ”forretningshemmeligheder, patenter, varemærker…”

Insulinen udgør broderparten, ca. 80%, af Novos samlede omsætning.
Produktionen er centraliseret herhjemme, i Kalundborg, med mindre produktionsanlæg regionalt på de internationale markeder.
I 2016 udgik ca. 50% af verdens insulin herfra.

Louise Klint

Lovforslaget inkluderer ikke kun erhvervslivet, men også den offentlige sektor og hospitalerne, hvor statens overvågningssensorer skal have adgang til IT-systemerne med vores personfølsomme data.

Forleden hørte jeg Systematic, der er leverandør på de vestdanske EPJ-systemer, i radioen udtale sig positivt om forslaget. Jeg ved ikke, hvad Epic siger (hvis de har noget at skulle have sagt?), men hvem varetager i grunden borgernes rettigheder i denne forbindelse?

Patientorganisationen Danske Patienter, der tæller over 800.000 medlemmer, er sjovt nok ikke inkluderet på høringslisten.
https://prodstoragehoeringspo.blob.core.windows.net/af8784fc-161f-471b-8...

Spørger man ministeren, skal vi blot have tillid til ham:

De her ting i dag kan krypteres i et røntgenbillede eller et fotografi og sendes rundt. Men jeg er ked af, at diskussionen altid drejes mod, at vi vil snage i sygejournaler og en slags. Det har ingen interesse, men vi skal vide, om et system er angrebet, så operationer for eksempel må aflyses, som vi har set i Storbritannien. Det er ikke for at snage, men for at finde ud af, hvor angrebet er vandret hen.

09.01.19: https://politiken.dk/indland/art6955985/%C2%BBDet-er-konspirationsteoret...

Benny Lyne Amorsen

I England kommer den slags lovforslag typisk når det bliver afsløret at myndighederne allerede laver overvågningen men har glemt at spørge om lov.

Det kunne være RIGTIGT spændende at høre om nogen danske virksomheder/medarbejdere har modtaget tilbud om overvågning som de ikke har kunnet sige nej til. Men det er også rigtigt meget at forlange af dem at være whistleblower.

Mette Nikander

Vi lever i et demokratur! Jeg er stærkt bekymret for at den høring der er ude, blot er endnu en ”skinhøring”. Hvilke politikere tør rejse sig og protestere, uden frygt for at miste en kludehandel?
De store organisationer som F.eks. DI og brancheforeninger bør rejse en meget bredere og langt mere kritisk debat på samfundets vegne, for der er fundamentalt noget galt med måden at love bliver til og gennemføres på. Man taler desværre meget ofte kun industriens sag og overser det underbyggende samfund. Det er reelt en lille lukket kreds, der kontrollerer magten.

Mistænkelige dispositioner
CFCS vil udbyde tjenester og sikkerhedssoftware til den offentlige sektor og visse private virksomheder. Man vil selv udvælge og have retten til at påkalde en part til at anvende CFCS tjenester. Det forklarer hvorfor der skulle allokeres 1,4 mia. til Forsvaret.

Forkert placering af CfCS
Vi tenderer til at glemme at det fortsat er en højst kritisabel placering af CfCS under Forsvaret, idet at tjenesten kan overvåges under andre betingelser, som f.eks. giver ret til tilsidesættelse af tilsyn og undladelse af underretning til justitsministeren. Dette giver kort sagt plads til ukontrolleret embedsmisbrug, hvilket blev kritiseret allerede i 2014. Dengang havde CfCS kørt siden 2012 uden lovgrundlag under Forsvaret, så man foretog en hurtig skinhøring. Alle kritiserede dengang placeringen, men alligevel vedtog man den loven, som man nu yderligere vil udvide.

Det er fint at CFCS har behov for samarbejde med Forsvar og Politi, men det kræver ikke en placering under Forsvaret, det kan aftalebestemmes. Man kommer i lovforslaget ikke ind på det faktum, at loven også kan anvendes til andet end efterforskning af malware.

Tilsidesættelse af Tilsyn
Meget bekymrende er muligheden for tilsidesættelse af Tilsynet hvis centeret undtagelsesvist beslutter ikke at følge en henstilling i en udtalelse fra Tilsynet, skal CFCS underrette Tilsynet herom og straks forelægge sagen for….. forsvarsministeren til afgørelse. Forsvarsministeren som råder over CFCS, skal altså således træffe en dom om sine egne. Med andre ord kan forsvarsministeren vælge at tilsidesætte klagen. Der er på mange måder gjort rig mulighed for flere parters embedsmisbrug.

Samarbejde mellem efterretningstjenesterne
Forsvarets Efterretningstjeneste har stærke samarbejder med andre efterretningstjenester, bl.a med de engelsktalende efterretningstjenester. Hvordan kan vi kontrollere at de fund CfCS har, ikke deles uhensigtsmæssigt med andre efterretningstjenester? At der ikke sælges ud af informationer til andre stater, nu når tilsyn kan tilsidesættes? Der findes samarbejder mellem efterretningstjenester, som undskylder sig med hensyn til den Nationale sikkerhed og derved kan omgå almindelig gældende lov. Der kan således ske udlevering af data til andre udenlandske efterretningstjenester, - også om virksomheder. Det er bevist i Snowden afsløringerne for længe siden, at der handles med erhvervsdata. Så ve den industri der tilsluttes disse tjenester, men ve også de mindre virksomheder og borgerne, som DI desværre ikke skeler synderligt til.

Ingen teknologiske tilsyn
Selvom lovforslaget indeholder en hel del teknologi, som ikke nævnes med specifikke indikatorer på navne, så er der ingen passende tekniske kompetencer i Tilsynet med Efterretningstjenesterne og skulle man tænke Rigsrevisonen ind så er deres plan at primært fokusere på økonomisk kriminalitet, skulle man tænke Datatilsynet ind, så har de hverken kompetencer eller ressourcer, - så hvilken en myndighed vil have de nødvendige tekniske kompetencer til at føre teknisk tilsyn med CFCS? Hvem skal tilse at de anvendte sikkerhedsteknologier er tilstrækkelige og vitterlig de bedste?

Væk med GDPR og anden relevant lov om privacy
Opsummeret tilsidesætter CfCS GDPR. I lovforslaget nævnes det ikke at der forefindes et direktiv (2016/680) og den tilhørende danske lov (”Lov om retshåndhævende myndigheders behandling af personoplysninger”) der netop knytter sig til myndigheders behandling af data.
Det er værd at bemærke at §9 og §10 i Lov om retshåndhævende myndigheders behandling af personoplysninger omhandler behandling af følsomme oplysninger (samme definition som GDPR artikel 9), og at denne behandling i udgangspunktet stadig er forbudt. Dog med en anden undtagelse end GDPR, nemlig når det er ”strengt nødvendigt” og øvrige betingelser i øvrigt er overholdt.

En pakke inspektion af internet trafik kan på ingen måde være friholdt fra at være potentielt følsomme oplysninger, og der synes ikke i lovforslaget at være ”strengt nødvendige” grunde til en systematisk overvågning som ændringsforslaget lægger op til. Hvis Danmark er under særligt alvorlige cybertrusler, træder andre regler i kraft og det er nok derfor at CfCS har opskaleret deres vurdering af risiko, for så kan man derved berettige disse tilsidesættelser af love. Andre sikkerhedskompetencer i Europa vurderer ikke samme høje risikoplacering for Danmark.

Hvad lovforslaget betyder for borgeren
GDPR tilsidesættes,- så ret til privacy fjernes mere eller mindre. De skal ikke overholde de væsentligste punkter i forvaltningsloven (ikke en ændring som følge af den foreslåede lovændring) og de skal så ifølge ændrings forslaget, heller ikke rette sig efter den lov der specifikt gælder for tvangsindgreb, i de dele der handler om at informere borgerne!

Om overvågning kan vi forestille os, at F.eks. Energinet vil blive indlemmet, som en udvalgt påtvunget part der skal implementere netværksovervågnings teknologierne fra CFCS. Da vil det betyde at kunderne hos Energinet automatisk overvåges. Vel at mærke uden at de informeres herom. Vi er med andre ord på vej mod George Orwells 1984….

Udelukkelse af private sikkerhedskompetencer

Intet sted i selve loven, anføres det specifikt (kun i Bemærkninger), at hvis en region, kommune, sektor eller virksomhed har etableret tilstrækkelig sikkerhed, så kan CFCS blot modtage rapporter herfra.

I lovforslagets Bemærkninger fremkommer uhyrlige påstande, der er lodret løgn, - påstande om at at der ikke på det private marked findes sammenlignelige sikkerhedsydelser og løsninger, som dem CFCS vil udbyde!! Der er til rigeligt med kompetencer og løsninger, der er istand til dette. For at skabe løsninger der kan anvendes militært, producerer sikkerhedsindustrien løsninger der trækker på fælles viden qua samarbejder mellem sikkerhedsproducenter og faktisk også med efterretningstjenesterne internationalt, ligesom de tilsammen har langt flere honeypots og sinkholes end CFCS nogensinde får råd til at etablere.

De metoder og hensigter man har med sinkholes og Honeypots er i øvrigt betænkelig, idet at man vil opfordre til ulovligheder for at se om nogen ”går i vandet”- det er i forvejen et omdiskutteret forhold der i dag ikke er en lovlig metode for f.eks. Politiet.

Der lægges desuden med dette oplæg an til stærk konkurrence og eliminering af samarbejdet med den private sikkerhedsindustri, samtidigt med at man nægter, at der er tale om egentlig konkurrence.

Professionelle sikkerhedsfolk med solid årelang erfaring og nogle med ekstraordinært lange uddannelser og certificeringer, - gøres til pariaer, således at vi kan få indført et komplet diktatorisk statsstyre uden de irriterende borgeres egenbestemmelsesret og private virksomheders indblanding.
Danmark Vågn OP

Christian Nobel

Der kommer ikke til at være statslig overvågning indplaceret i Mærsks IT-infrastruktur.
Noget med, at de jo lærte meget af NotPetya og i den forbindelse har udvist rettidig omhu.

Endvidere er det slet ikke sikkert at cfcUs' system overhovedet vil gøre nogen forskel, andet end gøre opmærksom på at der er sket en ulykke - efter den er sket!

I tilfældet Mærsk var der jo tale om et trojanerangreb, som ikke var målrettet Mærsk, men som fik så voldsomme konsekvenser, som følge af en dårlig sikkerhedskultur, og en ukritisk dyrkelse at en notorisk usikker amerikansk monokultur - ikke nødvendigvis noget cfsUs' snagesystem kan gøre ret meget ved.

Bjarne Nielsen

kke nødvendigvis noget cfsUs' snagesystem kan gøre ret meget ved

Nej, men måske kunne det have gjort noget ved den ubarberede svenske script-kiddie, som forlystede sig i bl.a. Politiets systemer over længere tid.

Det kræver selvfølgelig at Politiet vil tage henvendelser mere alvorligt end de advarsler som de fik fra sikkerhedsmyndigheder i Sverige.

Log ind eller Opret konto for at kommentere

Efter GDPR-overtrædelse: Datatilsynet udsteder forbud til TDC

34

Leder: Militær tvangsovervågning hører ikke hjemme i DK

9

Undersøgelse: Danskere vil ikke dele sundhedsdata med forsikringsselskaber

9
I samarbejde med jobfinder logo - Danmarks største job- og karrieresite for ingeniører og it-professionelle.
Mest debatteredeMest læste
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Lær hvordan din it-afdeling effektivt kan standardisere og automatisere processer i SMV'er
Whitepaper
Whitepaper
Sådan vælger du det bedste intranet
Webinar
Webinar
Ny software-defined storage løsning leverer over 1 million IOPS
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder
Brugerundersøgelse Version2
maximize minimize