Kritik af Center for Cybersikkerheds nøglerolle i ny sikkerhedsstrategi

Illustration: leowolfert/Bigstock
Center for Cybersikkerhed under Forsvarsministeriet kommer til at spille en hovedrolle flere steder i regeringens strategi for it-sikkerhed i staten, men det er problematisk, lyder det fra en it-brancheorganisation.

Regeringens strategi for styrkelse af it-sikkerheden i staten får overordnet en positiv modtagelse hos it-brancheorganisationerne, men på ét punkt bliver der dog sat spørgsmålstegn ved planen, som blev præsenteret tirsdag.

Center for Cybersikkerhed kommer nemlig til at spille en større rolle end hidtil på flere områder i forhold til at sikre ministerier og myndigheder mod it-angreb. Dertil kommer, at tilsynet med televirksomheder i forhold til it-sikkerheden kommer til at høre ind under Forsvarsministeriet og Center for Cybersikkerhed.

Læs også: Her er regeringens plan for at forsvare Danmark mod it-angreb

»Vi skal sikre os, at tilsynsmyndigheder kun får adgang til oplysninger, de har et legitimt behov for at få adgang til for at kunne udøve tilsyn, og at der derved ikke sker et brud på retssikkerheden,« udtaler formand for interesseorganisationen IT-Branchens it-sikkerhedsudvalg Christian Wernberg-Tougaard ifølge en pressemeddelelse.

Det afspejler den kritik, som er blevet rejst af et kommende lovforslag, hvor der blandt andet lægges op til, at Center for Cybersikkerhed kan få adgang til oplysninger hos teleselskaberne uden en dommerkendelse.

Læs også: Efterretningstjeneste vil have adgang til teleselskaber uden dommerkendelse

Det forslag vækker også bekymring hos HK/Samdata, hvor formand Thomas Bisballe Jensen taler for, at vi i stedet for at stramme yderligere og bevæge os væk fra den ret til privatliv, der er udtrykt i Den Europæiske Menneskerettighedskonvention, bør nærme os den tilstand, som eksisterede før terrorangrebene den 11. september 2001.

»Vi må i stedet finde en passende proportionalitet, så vi ikke overvåger alle, men overvåger, når der er en grund, og en dommer har sagt god for, at det er fornuftigt,« udtaler Thomas Bisballe Jensen ifølge en pressemeddelelse.

Telebranchen reguleres hovedsageligt af Erhvervsstyrelsen, men i forhold til den nye it-sikkerhedsstrategi vil det være Forsvarsministeriet, som får opgaven med tilsynet vedrørende it-sikkerheden. Og det er problematisk, lyder det fra IT-Branchen.

»Spørgsmålet er, om tilsynet med informationssikkerheden på eksempelvis teleområdet hører naturligt - og for virksomhederne betryggende - hjemme under Forsvarsministeriet,« udtaler Christian Wernberg-Tougaard.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Sia Hellsten

Jeg synes det er rigtig fedt, at Regeringen vil sætte fokus på IT-sikkerhed i det offentlige - det er der uden tvivl brug for! Energi- og Teleudbyderne er, udover vores veje, den vigtigste samfundskritiske infrastruktur og selvfølgelig skal de sikres godt og grundigt mod angreb og nedbrud. Jeg synes dog, at man angriber punktet omkring tilsyn med teleudbyderne helt forkert.

1) I dag er det muligt for myndighederne at få indblik i specifik kommunikation fra en teleudbyder, hvis der fremvises en dommerkendelse. Er den proces for besværlig, kunne man så ikke kigge på, at øremærke penge til, at domstolene hastebehandler de henvendelser de får, i stedet for bare at give carte blanche til at indhente data uden? Jeg synes det er et udtryk for dovenskab hos Forsvarsministeriet. Beklager - retssikkerhed er ikke altid convienient.

2) Kunne man, i stedet for at gå så vidt, at kræve fysisk adgang til teleudbyderne uden dommerkendelse, ikke starte med at læse de revisionserklæringer, som udbyderne får udarbejdet på baggrund af en audit udført af et eksternt revisionsfirma, hvis de gerne vil kontrollere om eks. den fysiske sikkerhed er i orden. Jeg synes virkelig, at der er behov for en debat om proportioner i det fremlagte forslag - og ikke mindst en uddybning af, helt præcist, hvad de udvidede beføjelser skal bruges til!

  • 13
  • 0
Sia Hellsten

Jeg synes det er rigtig fedt, at Regeringen vil sætte fokus på IT-sikkerhed i det offentlige - det er der uden tvivl brug for! Energi- og Teleudbyderne er, udover vores veje, den vigtigste samfundskritiske infrastruktur og selvfølgelig skal de sikres godt og grundigt mod angreb og nedbrud. Jeg synes dog, at man angriber punktet omkring tilsyn med teleudbyderne helt forkert.

1) I dag er det muligt for myndighederne at få indblik i specifik kommunikation fra en teleudbyder, hvis der fremvises en dommerkendelse. Er den proces for besværlig, kunne man så ikke kigge på, at øremærke penge til, at domstolene hastebehandler de henvendelser de får, i stedet for bare at give carte blanche til at indhente data uden? Jeg synes det er et udtryk for dovenskab hos Forsvarsministeriet. Beklager - retssikkerhed er ikke altid convienient.

2) Kunne man, i stedet for at gå så vidt, at kræve fysisk adgang til teleudbyderne uden dommerkendelse, ikke starte med at læse de revisionserklæringer, som udbyderne får udarbejdet på baggrund af en audit udført af et eksternt revisionsfirma, hvis de gerne vil kontrollere om eks. den fysiske sikkerhed er i orden. Jeg synes virkelig, at der er behov for en debat om proportioner i det fremlagte forslag - og ikke mindst en uddybning af, helt præcist, hvad de udvidede beføjelser skal bruges til!

  • 2
  • 0
John Foley

Bemærk at strategien er udarbejdet i en hermetisk lukket kreds af embedsmænd, som ikke har involveret eller sendt den i høring ved relevante organisationer m.fl., som ellers er god forvaltningsskik. Strategien er beregnet på at give Center for Cybersikkerhed, der er under Forsvarets Efterretningstjenste, der igen er en del af Forsvarsministeriet, endnu flere beføjelser og med deres nye lovforslag, der er udarbejdet af Center for Cybersikkerhed selv, nu også vil have adgang til befolkningens personfølsomme informationer - uden dommerkendelse vel og mærke.

  • 7
  • 0
Erik Trolle

Jeg er ikke jurist, men jeg ved fra da jeg var inde ved militæret for mange år siden var militær retten helt adskilt fra civilsamfundet. Jeg går og tænker over om man ikke laver dette her netop for civil retten ikke er gældende. Er det ikke den samme model man laver verden over, som i USA med NSA og i andre lande, man fjerner sikkerhed og overvågning fra civil kontrol. Jeg håber der dukker en jurist op og klargøre det juridiske aspekt.

  • 2
  • 0
Benny Tordrup

Så vidt jeg har forstået er militærrettens opgave at håndtere kriminelle handlinger foretaget i forbindelse med krigshandlinger - og det er jo ikke tilfældet her.

IT-sikkerhed hører ikke hjemme under Forsvarsministeriet. Organer, som har med IT-sikkerhed at gøre skal være underlagt almindelig retspraksis - de skal ikke kunne indhente oplysninger uden dommerkendelse, og deres indsamlede data skal ikke videregives til andre uden en domstolsafgørelse. Sidstnævnte er der ikke garanti for med CFCS.

I min optik bør IT-sikkerhed (og statens øvrige digitaliseringsstrategi) underlægges et selvstændigt ministerium (for at vise, at det er et område med høj fokus). Resort-området skal være IT-sikkerhed og Digitalisering i hele den offentlige sektor - på tværs af diverse andre ministeriers resort-områder. Og der skal følge de nødvendige bevillinger med til at sikre, at ministeriet kan løse sine opgaver. Og de nødvendige beføjelser til at løse opgaverne.

  • 2
  • 0
John Foley

Jeg er meget enig i dine betragtninger og forslag Benny. Det hører ingen steder hjemme at IT- sikkerhed underlægges en efterretningstjeneste. Men det er desværre ikke den vej det går, tværtimod. Center for Cybersikkerhed, der hører under Forsvarets Efterretningstjeneste har fået og tiltager sig endnu flere og beføjelser af politikerne, der i forlængelse af strategien nu vil blive efterfulgt af en ny lov, der skal muliggøre at centeret får yderligere adgang til befolkningens personfølsomme oplysninger m.m. - uden dommerkendelse.

  • 1
  • 0
Christian Nobel

Jeg går og tænker over om man ikke laver dette her netop for civil retten ikke er gældende.

Det er faktisk meget alvorligt, for det man er ved at konstruere er et organ der beføjelsesmæssigt kan minde om CIA, som reelt er uden parlamentarisk kontrol.

Man er ved at skrive en blanco check, hvor CFCS kan agere som en stat-i-staten, uden aktsindsigt, uden kontrol, og uden klare retslige linier fsva. angår private - faktisk kan man sige at der er tale om en meget uheldig cocktail af CIA og FBI hvad angår hele dataområdet.

Det er stærkt bekymrende, og jeg vil anbefale at man læser Tim Wieners bog:

CIA - fra den kolde krig til krigen mod terror

som meget godt viser hvordan dette uhyre har fået lov til at udvikle sig på snyd, løgne, intimideringer, kriminelle handlinger og undvigelse af kontrol - noget tilsvarende vil man til at lave her i landet.

  • 4
  • 0
Peter Stricker

I min optik bør IT-sikkerhed (og statens øvrige digitaliseringsstrategi) underlægges et selvstændigt ministerium


Det er jeg meget enig med dig i. Men IT har en ret lav status på slotsholmen, så jeg frygter lidt, at man vil søge blandt embedsvældet efter en passende minister for digitalisering.

Jeg tør slet ikke tænke tanken til ende, for der er ét navn, der bliver ved med at dukke op.

  • 2
  • 0
Tom Paamand

Som jeg forstår juraen er det sådan, at militær straffelov meget generelt "kriminaliserer fjendtlige handlinger rettet mod forsvaret under væbnet konflikt", og altså i høj grad også er rettet mod civilbefolkningen.

Og om Danmark aktuelt befinder sig i krig, er som bekendt fortsat et ret kildent spørgsmål, men i givet fald er der åbnet for den lange række af krigstidsbestemmelser, som krydrer dansk lovgivning.

En række personer er gennem det sidste tiår allerede blevet dømt eller truet med de særlige krigstidsbestemmelser, og jeg savner en uafhængig gennemgang af den stigende mængde muligheder, som skiftende regeringer løbende har flyttet fra den civile verden til Forsvarsministeriet.

  • 2
  • 0
Niels Loft

Det her tiltag vil da være super lækkert for FE.
FE har jo samarbejde med andre landes efterretningstjenester.
Kan man være med i samarbejder og bare modtage uden selv at give noget igen?
Det tror jeg ikke. Når CFCS får disse beføjelser som der er lagt op til, får FE jo også noget at handle med.
Det må da være temmelig værdifuldt for dem bare at kunne hente de data de har behov for uden at skulle spørge om lov til det.
Dernæst kan data gives i bytte for anden data fra en anden efterretningstjeneste.
Vi bliver til et produkt der kan handles med.

  • 4
  • 0
Ulrik Suhr

Det lugter langt væk at udenlandske betingelser for forsat samarbejde.
Objektivt kan de ikke fremvise hvorledes den forbedrede tilgang til data vil øge vores sikkerhed.
Det er højest en teoretisk fremstilling om mulige scenarier de kan stille i udsigt (læs ingen reel nytte for danske FE).
Hvis man reelt ville benytte det til noget mht. overvågning uden kendelse ala NSA mangler der jo computer kraft.. Oh den ligger jo sjovt nok i USA... Så kunne man jo låne den der....
Det er i højre grad mulighed for at handle de danske data til udenlandsk information der muliggøres ved disse forslag.

Men Gab! Det bliver jo nok stemt igennem da vi reelt mangler politiske personer med en kompetence inden for IT og tanke virksomhed.

  • 0
  • 0
John Foley

Jeg er enig i dine betragtninger Ulrik om at loven nok (desværre) bliver stemt igennem ligesom CFCS loven (Lov nr. 713 af 25/6-2014) blev det. Politikerne ved desværre for lidt (eller er ligeglade) og stemmer partipolitisk uden at sætte sig ordentligt ind i tingene. Flere af de politikere, der stemte for loven før sommerferien har efterfølgende udtalt, at havde de vidst hvilke beføjelser man derved gav CFCS, så havde man ikke stemt for.
I forbindelse med Lov nr. 713 blev der gennemført en høring forinden for Retsudvalget, hvor samtlige eksperter og folk med forstand på tingene, på det kraftigeste advarede politkerne mod at sig ja til lovforslaget. Alle advarsler blev overhørt og loven blev som bekendt vedtaget. Jeg har sagt det mange gange nu og jeg er helt enige med alle i at Center for Cybersikkerhed ikke hører under Forsvarets Efterretningstjeneste. Det er en historisk fejl og fadæse, at den nuværende regering nedlagde IT- Telestyrelsen og overdrog opgaverne vedr. it- sikkerheden til Forsvarets Efterretningstjeneste.

  • 2
  • 0
Log ind eller Opret konto for at kommentere