Forsvarsminister garanterer: Ingen kan læse TDC over skulderen i Bukarest

Illustration: josefkubes, BigStock
Ministerens første ilddåbs-samråd handlede om cybersikkerhed.

Det var lodret forkert, da Politiken skrev, at man fra de kommende TDC-faciliteter i Rumæniens hovedstad, Bukarest, kan overvåge danskerne gennem deres mobilvaner. Det påstod forsvarsministeren på et samråd i Folketinget kl. 13 i dag.

»Det er kun driftscentret, som skal sikre stabiliteten, der bliver flyttet til Bukarest, og derfor vil der ikke være nogle i Rumænien der kan kigge med,« sagde forsvarsminister Trine Bramsen (S) under sit første samråd som forsvarsminister.

Læs også: Forsker: Spioner kan få adgang til dansk teledata i Rumænien

Men samtidig erkendte ministeren på samrådet, at ansatte på det kommende Networks Operation Center (NOC) i Rumænien godt kan få adgang til lokations- og opkaldsdata. De vil dog ikke kunne se, hvem de tilhører, forsikrede ministeren, der også understregede, at man fra regeringens side har stort fokus på sager som denne, idet der er tale om håndtering af kritisk infrastruktur.

Disse tilgange til data bliver logget af TDC, jævnfør NIS-loven, fortalte ministeren.

Kræver ingen sikkerhedsgodkendelse

Søren Espersen (DF) fremhævede under samrådet i den forbindelse også, at man ikke skal sikkerhedsgodkendes for at arbejde på NOC'en - på trods af, at der netop er tale om håndtering af kritisk infrastruktur.

»Rumænien har store problemer med korruption, og med flytningen går man fra at have meget højtlønnede, danske medarbejdere til meget lavtlønnede, rumænske medarbejdere i Rumænien, der har store problemer med korruption,« uddybede Søren Espersens partifælle, Morten Messerschmidt under samrådet.

I samme omgang stillede han sig undrende overfor, at man skal have dansk statsborgerskab for at arbejde i den nuværende, danske NOC, men ikke for at arbejde i den kommende rumænske.

Derfor kan en kineser eller russer få et eller andet EU-statsborgerskab og dermed behandle de danske data.

Forsvarsministeren manede dog til ro og fortalte, at Center for Cybersikkerhed (CFCS) er blevet inviteret til at komme med på TDC's kontrolbesøg af faciliteterne. Og at der derfor vil blive holdt opsyn med faciliteterne i Bukarest.

Må ikke kontrollere uanmeldt

Tilsynet er dog ikke tilfredsstillende, mener de to DF-politikere. De fremhævede, at dansk lov gør, at man skal melde ud, at man vil føre tilsyn, mindst syv dage før.

»I så fald er der jo ikke noget ved det kontrolbesøg, for så har man tid til at opstille nogle kulisser,« sagde Søren Espersen og opfordrede til, at denne lov ændres, så man kan føre mere pludseligt og reelt opsyn.

»Jeg forstår ikke at ministeren ikke er i stand til at sige: 'Vi kommer, vi kommer uanmeldt, og vi kommer under de og de betingelser',« sagde Morten Messerschmidt.

Ministeren udelukkede ikke at kigge på muligheden for at føre opsyn. Hun mindede de to DF-politikere om, at de selv har været med til, sammen med Socialdemokratiet, at lave den pågældende regel i sin tid.

Sætter først ind ved fejl

Forsvarsministeren fortæller, at det kun er, hvis der sker en fejl i Danmark, at NOC'en i Rumænien træder i funktion. Det sker på baggrund af en alarm fra Danmark, oplyste ministeren.

»Alarmen fra det danske telenet kommer til Rumænien, hvor NOC-centret sender oplysninger tilbage til Danmark, hvor fejlen så rettes. Det betyder, at NOC'en vil kunne optimere på driften ved for eksempel spidsbelastninger, og at det alene er alarmer og trafikdata, der overføres,« forklarede Trine Bramsen:

»Ikke brugerdata.«

Det er dog umiddelbart ikke helt i tråd med ministerens tidligere udtalelse under samrådet om, at ansatte ved den rumænske NOC godt kan få delvist indblik i blandt andet lokationsdata.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Fra artiklen:

... godt kan få adgang til lokations- og opkaldsdata. De vil dog ikke kunne se, hvem de tilhører, forsikrede ministeren ...

De ved, hvor jeg bor ... de ved, hvor jeg arbejder ... de hvilket tog jeg plejer at køre med, og hvornår ... de ved, hvor jeg handler ind ... de ved, hvilke institutioner jeg kommer forbi på vej ud og på vej hjem ... og de ved det samme, om dem, som jeg går i byen med, og hvor vi gik hen bagefter ...

... men de ved ikke hvem jeg er? Nu er jeg helt rolig. Trine got our backs!

  • 18
  • 0
Mikael Sørensen

Inden der går rundhyl i den:

FaceID er til Apple-devices. Det er ret usandsynligt, at det bliver brugt til login på systemer, der bruges til at holde øje med, om et telenetværk fungerer som det skal.

Og til brugen af FaceID med Mit Sundhedsplatform, så tænk lige en gang over truslen, inden du farer i blækhuset. Det vil sige: Hvor bliver det brugt, af hvem, hvornår - og hvem er den ondsindede person i ligningen?

FaceID er som sagt en Apple-ting. Det kan bruges i stedet for login med password i fx en app til iOS. Det er brugeren, der vælger at slå FaceID til for login i den pågældende app. Det betyder, at hvis man har en reel trussel (fx en voldelig partner), kan man lade være med at slå FaceID til for applikationen. Så skal der bruges password.

Samtidig er FaceID knyttet til din Apple-konto og din enhed. Det gør det vanskeligt at misbruge for stort set alle andre, end en person, der har fysisk adgang til din enhed - eller har dit Apple-login. Det er formentligt ret usandsynligt, at en efterretningstjeneste vil sende en fysisk agent efter dig for at få fat i din sundhedsjournal, medmindre du er statsleder.

Til gengæld kan FaceID gøre det langt lettere for en stor gruppe af personer, der har fysiske handikap i forskellig udstrækning at logge på uden at skulle indtaste et password. Denne gruppe har samtidig et stort behov for at kunne tilgå oplysningerne, så det giver god mening at ilbyde at understøtte FaceID og lignende til sådan en applikation - ligesom det for mange andre brugere kan give god mening at lade være med at slå det til.

(En hyppig trussel, hvor det kan være relevant er fx i et voldeligt parforhold, hvor kvinden har fået foretaget en abort, og ikke ønsker at manden får det at vide - der kan det være bedre med et password - selvom der er mange eksempler på, at personer i voldelige forhold trues til at dele deres passwords. Så som alt andet med it-sikkerhed, så afhænger det af din situation)

  • 3
  • 2
Anne-Marie Krogsbøll

Tak for svar, og god forklaring, Martin Sørensen. Som jeg forstår den, så har FaceId så ikke noget med SP som sådan at gøre, og supportmeddelelsen må vel så handle om, at SP af en eller anden grund i en periode ikke har fungeret med FaceID fra Apple-konti?

Det er beroligende at høre, så endnu engang tak.

  • 1
  • 1
Viggo Brøndegaard

Nu har jeg netop lyttet til samrådet sendt på TV. Der kan saktens være en masse, som vi borgere ikke får at vide om sikkerheden. Men det vi bliver fortalt bekymrer mig lidt.

Jeg forstod ministeren talte om, at telecentrene i Danmark kan sende fejlrapporter til centret i Rumænien, og at man fra Rumænien på den baggrund kan sende arbejdsopgaver til serviceteams i Danmark til at udbedre fejl.

Om nogen med ond vilje kan sende serviceteams i Danmark til at gøre indgreb på telenettet, så er jeg da lidt nervøs for hvilke konsekvenser det reelt ville kunne få. Hvilke trusler kan der ligge her?

Man kan også godt forestille sig krisesituationer, hvor netop dele af telenetværk er under angreb. Her er det afgørende, at disse serviceteams får de rigtige informationer og ikke sendes forkerte steder hen.

Hvor sikker er forbindelsen til eksperterne til at drive det danske net i Rumænien? Om den afbrydes, har vi så lokalt eksperter, der ved hvad der skal gøres?

  • 1
  • 0
Log ind eller Opret konto for at kommentere