Bredt flertal vedtager udskældt lov om Center for Cybersikkerhed

Et bredt flertal i Folketinget har i dag stemt for at samle og styrke det danske cyberforsvar under Forsvarets Efterretningstjeneste. Forslaget møder hård kritik, men også ros fra flere sider.

Folketinget vedtog i dag lov om Center for Cybersikkerhed. Loven danner et samlet lovgrundlag for Center for Cybersikkerhed, herunder at styrke centerets muligheder for at undersøge og forebygge cyber­angreb mod Danmark samt at regulere centerets behandling af person­oplysninger. Center for Cybersikkerhed (CFCS) hører under Forsvarets Efterretningstjeneste (FE).

Lovforslaget har opbakning fra et bredt flertal af Folketingets partier bestående af SF, Socialdemokraterne, de Radikale, de Konservative, Venstre og DF. Men forslaget, der er fremsat af forsvarsminister Nicolai Wammen (S), har også mødt og møder stadig modstand.

Læs også: Dronningens Trojanske Cybergarde

Kritikken er særligt gået på, at CFCS, der ligger under FE i sikkerhedens navn, får til opgave at holde øje med kommunikationen til og fra myndigheder og virksomheder, der er beskæftiget med samfundsvigtige funktioner - såfremt myndighederne og virksomhederne altså ønsker at dele data med CFCS. Og netop fordi CFCS hører under FE, gælder persondataloven, som har til formål at beskytte borgernes persondata, i udgangspunktet ikke.

Det har fået flere organisationer i forbindelse med høringsprocessen til lovforslaget til at hejse det røde privacy-flag. Ikke alene i forhold til, at CFCS's virke i udgangspunktet ikke er omfattet af persondataloven, men også i forhold til, at data om danskere, der kommunikerer med myndighederne, vil kunne havne hos FE’s samarbejdspartnere - også uden for Danmark.

Læs også: Jens Rohde går imod Venstre-støttet lov om Center for Cybersikkerhed

Imødegåelse af kritik

Af kommentarerne fra Forsvarsministeriet til høringssvarene bliver flere af kritikpunkterne fra de høringsberettigede forsøgt imødegået - også i form af ændringer af lovforslaget.

I forhold til kritikpunktet af, at CFCS under FE ikke er omfattet af persondataloven, hedder det i kommentaren fra Forsvarsministeriet, 'at persondatalovens principper for, hvornår der må ske behandling af personoplysninger, i vidt omfang skal gælde for Center for Cybersikkerhed.'

Desuden bemærker Forsvarsministeriet, at ministeriet vil udstede kommende retningslinjer, som vil indebære, at pakkedata udelukkende kan videregives til politiet, og at trafikdata kun kan videregives til andre (herunder udenlandske) netsikkerhedstjenester, hvis det er nødvendigt for udførelsen af netsikkerhedstjenestens opgaver.

Pakkedata er populært sagt indholdet af datapakker, eksempelvis indholdet af en e-mail, mens trafikdata er data, der bruges til at sende pakkedata fra a til b. Eksempelvis oplysninger om IP-adresserne på de mailservere, som en e-mail er sendt via. Den konkrete sondring i lovteksten lyder:

Pakkedata: Indholdet af kommunikation, der transmitteres gennem digitale netværk eller tjenester.

Trafikdata: Data, som behandles med henblik på at transmittere pakkedata.

Ikke godt nok

Men ministeriets formaninger i forbindelse med høringen er langtfra nok, mener Birgitte Kofod Olsen. Hun er formand for Rådet for Digital Sikkerhed, der har været blandt de høringsberettigede.

Og hun hæfter sig blandt andet ved formuleringen ‘sikkerhedshændelse’, som bliver brugt som betegnelse for, hvad CFCS har til opgave at opdage og imødegå. En sikkerhedshændelse er i lovforslaget beskrevet som ‘en hændelse, der negativt påvirker eller vurderes at ville kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale tjenester.’

Den formulering kan bruges i for mange sammenhænge, mener Birgitte Kofod Olsen.

»De store problemer i lovforslaget er, at efterretningstjenesten nu kan gå ind og løse civile opgaver i Danmark, når det, der er på spil, er en sikkerhedshændelse. Og det er et meget bredere begreb end et cyberangreb. Og så dækker lovforslaget også langt bredere end samfundskritisk infrastruktur. Ordlyden er nu 'samfundsvigtige funktioner',« siger Birgitte Kofod Olsen.

Betegnelsen kritisk infrastruktur er tidligere blevet brugt om de organisationer, der skal kunne kobles op til den statslige varslingstjeneste GovCert, som så kan analysere organisationernes ind- og udgående kommunikation.

Forsvarsministeriet har begrundet udvidelsen af begrebet til at omfatte samfundsvigtige funktioner med, at det med den nuværende afgrænsning i vidt omfang ikke er muligt at tilslutte virksomheder, der f.eks. leverer livsvigtige medicinalprodukter, fremstiller vigtige komponenter til forsvaret eller varetager drift af offentlige myndigheders administrative it-systemer, eller som på grund af samfundsvigtige forskningsaktiviteter er særligt udsatte for cyberangreb.

Kritik: Strider mod demokratiske værdier

»Det er en stor civil opgave, der nu bliver lagt ind under Forsvarets Efterretningstjeneste. Og det strider simpelthen imod værdier og principper i et demokratisk samfund, at man lader en lukket tjeneste overtage disse funktioner. Det strider mod almindelige retssikkerhedsgarantier og borgerbeskyttelse,« siger Birgitte Kofod Olsen.

Der er jo lagt op til, at det kun er trafikdata, der kan videregives fra CFCS til den øvrige efterretningstjeneste, mens pakkedata kun videregives til politiet, så hvad er problemet?

»Ja, men alt kan jo videregives til Forsvarets Efterretningstjeneste. Når det er inden for samme myndighed, kan data flyde fra Center for Cybersikkerhed og til den bagvedliggende efterretningstjeneste. Det er der ikke nogen regulering af. De siger, der vil komme administrativ regulering af det dataflow. Men som det er i dag, så tilhører det samme myndighed, og så kan de gøre med de data, hvad de vil - så længe det ligger inden for formålet,« siger Birgitte Kofod Olsen og fortsætter:

»Det, de indfører med det her, er masseovervågning. Man er nødt til at se på det som masseovervågning i Danmark både på trafik og indhold. Og er det i orden, når man giver så vide magtbeføjelser til en lukket tjeneste? Det mener vi ikke. Det må ud at ligge i den åbne del af forvaltningen.«

Du mener ikke, I er blevet imødegået på nogen af jeres kritikpunkter i forbindelse med høringen?

»Jo, men det er småting. Det er noget med videregivelse af data til andre tjenester. Men de store anstødssten, der har været, som har radikal betydning for vores demokrati, er der ikke sket noget ved.«

Kritik: Demokratisk underskud

En anden kritiker af lovforslaget, som det ligger nu, er it-advokat Henrik Mansfeldt Witt, der i slutningen af maj gav udtryk for sin utilfredshed med forslaget i en kronik i Politiken. Kritik har han ikke lagt på hylden siden da. Over for Version2 karakteriserer han det nuværende lovarbejde på følgende måde:

»Jeg kalder det et demokratisk underskud og en manglende respekt for privatlivet.«

Henrik Mansfeldt Witt mener, hovedproblemet med lovforslaget er, at selve lovteksten er for upræcis. Som et af eksemplerne nævner han paragraf 3, hvoraf det fremgår, at virksomheder, der er beskæftiget med samfundsvigtige funktioner, efter anmodning kan blive tilsluttet CFCS’s netsikkerhedstjeneste, så ind- og udgående data fra virksomheden kan blive analyseret af CFCS i sikkerhedsøjemed.

»Hvis anmodning? Vi må forvente, når vi laver lovgivning i landet, at det er klart og tydeligt, så vi ikke skal læse noget andet. Derudover, hvad er samfundsvigtigt, og hvem bestemmer det?«

I bemærkningerne til lovforslaget fremgår det, at der er tale om en frivillig ordning for virksomhederne, men den slags skal kunne læses i selve lovteksten, mener Henrik Mansfeldt Witt.

»Hvorfor sjuske? Det vil koste så lidt at lave loven, så der står det, der skal gælde. Min pointe er: Så skriv det dog. Det kan da ikke koste særligt meget.«

Erhvervsorganisation: Positivt med fokus på sikkerhed, men …

Hos erhvervsorganisation Dansk Erhverv kalder chefkonsulent Janus Sandsgaard det for positivt, at der er et aktuelt fokus på it-sikkerhed i Danmark, og at CFCS nu bliver reguleret ved lov. Men han kunne godt have tænkt sig en mere principiel diskussion af, i hvilket regi CFCS skulle ligge - og altså ikke nødvendigvis under FE.

»Man lytter i sagens natur inden for rammerne af høringen, og her er præmissen, at opgaven for længst er flyttet til Forsvarets Efterretningstjeneste. Vi kunne godt have tænkt os en mere principiel debat om it-sikkerhed i Danmark, da man startede med at sætte stregerne på kortet.«

Han mener desuden, det er vigtigt, at der er en høj grad af tillid til den myndighed, der sidder med opgaven for en væsentlig del af cybersikkerheden i Danmark.

»Der ligger nogle indbyggede udfordringer i, at arbejdet med at sikre civil infrastruktur er placeret i regi af Forsvarets Efterretningstjeneste – som nok kommer til at arbejde en del mere med åbenhed og kommunikation,« siger Janus Sandsgaard og tilføjer:

»Nu må vi se, hvordan det i praksis kommer til at fungere, og så må der evalueres på det.«

DI: Vi er tilfredse nu

Der er dog også flere, der var kritiske i forhold til det oprindelige lovforslag for Center for Cybersikkerhed, men som nu er anderledes positivt stemte. En af dem er DI, hvor branchedirektør Adam Lebech i en e-mail til Version2 skriver:

»Vi har gennemgået indholdet af det nye forslag punkt for punkt og vurderet, at DI-anbefalinger fra vores høringssvar er blevet imødekommet på en række centrale områder. På den baggrund vil vi gerne kvittere for, at der er lyttet til kritikken, og vi kan ligesom flertallet bag den politiske aftale bakke op om forslaget.«

En anden, som var kritisk over for et tidligere lovforslag, men som bakker op om forslaget, som det ligger nu, er Venstres it-ordfører, Michael Aastrup Jensen.

»Vi er tilfredse med de indrømmelser, vi har fået. Vi havde jo flere krav, før vi kunne gå med. Det ene var, der skulle være en fasttømret datamur mellem centeret og FE. Samtidig skulle vi have en garanti for, at der ikke foregik en udveksling af informationer fra datacenteret til udenlandske efterretningstjenester. Den garanti er vi tilfredse med,« siger han og fortsætter:

»Sidst, men ikke mindst var der også forskellige evalueringsfrister og så videre, der skulle køres ind, således at vi løbende kan evaluere, hvis der er behov for at lave noget om i det.«

Michael Aastrup Jensen fortæller, at han i forbindelse med evalueringsfasen nøje vil holde øje med, at der som følge af loven ikke sker indgreb i den personlige frihed.

»Og jeg vil vædde med, der vil være 200 på Version2's debatforum, som synes, det allerede vil være et indgreb i den personlige frihed, men vi vil stadig følge det nøje,« siger han med noget, der over telefonforbindelsen godt kunne lyde som et grin.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Allan S. Hansen

»Og jeg vil vædde med, der vil være 200 på Version2's debatforum, som synes, det allerede vil være et indgreb i den personlige frihed, men vi vil stadig følge det nøje,« siger han med noget, der over telefonforbindelsen godt kunne lyde som grin.

Men så kunne det jo være man denne gang skulle prøve at lytte efter hvad der bliver sagt.

Jacob Pind

man kunne da håbe at de kigger på hvordan det er gået med Cyber forsvares center i tyskland, Bundesrechnungshof er kommet med en sønderlemende kritik og stemper hele projekted som værende ikke retfærdigjort at man fyre så mange penge af på.

http://www.sueddeutsche.de/digital/behoerde-in-bonn-rechnungspruefer-hal...

Taget IT danmarks tidliger bedrifter med i overvejelserne, ender vi nok med samme konklusion som tysker om 3 år.

Christian Schmidt

Michael Aastrup Jensen fortæller, at han i forbindelse med evalueringsfasen nøje vil holde øje med, at der som følge af loven ikke sker indgreb i den personlige frihed.

Hvordan vil det foregå? Vi har jo før set, hvordan ministrene generelt ikke vil give en dækkende udredning om, hvad efterretningstjenesterne går og laver, eller endda hvilket lovgrundlag de opererer under.

Når Helle Thorning-Schmidt siger, at "vi ikke har grund til at tro, at fremmede lande foretager ulovlig overvågning i Danmark", så er det måske ikke decideret løgn, men der er vel de færreste, der tror, at udtalelsen giver et tilnærmelsesvist fyldestgørende billede af omfanget af overvågning af danskerne.

Christian Bruun

"Desuden bemærker Forsvarsministeriet, at ministeriet vil udstede kommende retningslinjer, som vil indebære, at pakkedata udelukkende kan videregives til politiet, og at trafikdata kun kan videregives til andre (herunder udenlandske) netsikkerhedstjenester, hvis det er nødvendigt for udførelsen af netsikkerhedstjenestens opgaver."

Betyder det, at de ikke må videregive oplysninger til politiet selvom de opdager en forbrydelsen, men en forbrydelsen der ikke hører under netsikkerhedstjenestens område?

Martin Kofoed

Hvem har haft tid til at skælde ud? Hvor blev debatten af? Så vidt jeg har hørt, var høringsfasen det sædvanlige spil for galleriet, hvor nogle eksperter bliver hørt, og nogle ansigter lagt i de rette folder. Men loven var i det store hele vinklet af med embedsapparatet længe før høringen.

Jeg føler derimod trang til at skælde ud på hele embedsvældet. Folkestyret er under voldsomt pres i disse år og befinder sig i en spiral, som medfører længere og længere afstand mellem magthavere og folket. Det ender sikkert galt en dag.

Mette Nikander

Jeg deltog i et eksperthøringsmøde d. 8. maj i Folketinget, hvor Birgitte Kofod Olsen (Rådet for Digital Sikkerhed) også deltog. Jeg tilslutter mig Birgittes udsagn.

En del partier var ved mødet ikke repræsenteret overhovedet og andre havde ikke sendt deres ordfører på området, men andre repræsentanter. Det var jo som det også fremgår herinde et utroligt vigtigt møde, men de eneste der viste en åben interesse og lydhørhed, var faktisk LA og EL, som også idag var de eneste der stemte nej til lovforslaget.

Hele panelet (vi var 5 parter), kom med tungtvejende juridiske og tekniske bevæggrunde og beviser for, hvorfor der skulle stemmes nej til at Center for Cybersikkerhed, skal ligge under Forsvaret.Vi pegede på at det skulle under en separat forvaltningmyndighed. Holger K Nielsen gik så vidt som til at være kategorisk afvisende og tilbageviste endda indhold, som er skrevet i lovforslaget.

Man kriminaliserer med denne lov, hele den danske befolkning og virksomhederne i landet. En ting er, at der åbnes for masseovervågning af alt hvad man finder at være en "sikkerhedshændelse", men en anden ting er at man forbeholder sig retten til at tilsidesætte et tilsyn, hvilket principielt kan føre til embedsmisbrug og ureglementeret overvågning.

Jeg er medlem af DI/ITEK sikkerhedsudvalget, men kan på ingen måde tilslutte mig DI - Adam Lebech's opbakning til lovforslaget. Jeg må som IT sikkerhedsrådgiver, virksomhedsejer og dansk statsborger sige,at det vedtagede lovforslag på ingen måde er tilfredsstillende og danske virksomheder er overladt til selv, at anonymisere deres trafik,kryptere deres data og beskytte deres kilder, så godt de kan, for Danmark er også en del af 9 Eyes ,- et internationalt samarbejde mellem efterretningstjenester, hvor man kan "bytte informationer".
Jeg har posted et lignende opslag under artiklen http://www.version2.dk/blog/dronningens-trojanske-cybergarde-59037

Med venlig hilsen
Mette Nikander, Dir. C-cure.dk
http://www.version2.dk/blog/dronningens-trojanske-cybergarde-59037

Ulrik Moe

I 1870 diskuterede Venstre om de, som liberalt parti, overhovedet kunne være en del af den lovgivende magt, men dengang var Venstre på størrelse med LA. Det lader desværre til at man kun kan få politisk magt ved at være midtersøgende (socialdemokratisk), men det er vel i grunden os selv (borgere) vi skal bebrejde. Venstre har ikke været er liberalt parti i 30 år og jeg håber folk før eller siden indser det.

Venstres valgvideo 1960: https://www.youtube.com/watch?v=rE00z5X00_8

Log ind eller Opret konto for at kommentere