I sommer indtog Danmark igen førstepladsen som verdens bedste inden for offentlig digitalisering i FN’s årlige undersøgelse, E-Government Survey. Som Ingeniørens medier jævnligt fortæller om, så indfinder digitaliseringen sig langtfra alene i form af offentlige softwaresystemer, men også i den fysiske verden med installation af IoT-enheder som sensorer, kameraer og styringsenheder i el, vand- og spildevandsforsyningen, og transportsektoren.
Med opkobling af udstyret følger risikoen for, at ubudne gæster sniger sig med ind. Internet of Things-udstyr kan indeholde bagdøre, som giver fabrikanten mulighed for at tappe data fra enhederne uden om brugeren. Det er bl.a. blevet fundet i kinesisk udstyr til IP-telefoni fra DBlTek, og i december kom det frem, at millioner af IoT- og overvågningsenheder indeholder en HiSilicon-chip fra Huawei med en ikke-sikret bagdør. Også efterretningstjenesterne kan udnytte bagdøre til spionage.
Den stigende sårbarhed ved IoT-udbredelsen advarede Danmarks nationale it-sikkerhedsmyndighed, Center for Cybersikkerhed (CFCS), om i en rapport fra 2019, der konkluderede, at angreb på eller manipulation med data fra IoT-enheder i værste fald kan true vores fysiske sikkerhed. Det er ikke bare en trussel, som danske virksomheder skal være obs på. Også i kommuner og regioner er sikkerheden omkring den stigende brug af IoT til overvågning og styring af ofte samfundskritiske enheder blevet et påtrængende issue.
I lyset af CFCS’ advarsler på området er det grotesk, at Forsvaret – som CFCS hører under – og CFCS selv nu nægter at dele en undersøgelse af kinesiske overvågningskameraer med kommunerne i Danmark, som efterlyser hjælp til området, herunder om udvalgte kameraer skal sortlistes. Undersøgelsen er sat i værk, efter at amerikanske Homeland Security angiveligt har fundet en bagdør og efterfølgende forbudt kameraer fra kinesiske HikVision. Men Aarhus Kommune må altså ikke få adgang til CFCS-resultaterne. Og ikke nok med det: CFCS vil ikke engang be- eller afkræfte over for Aarhus Kommune, om der er problemer forbundet med HikVision-kameraerne.
Mistanken mod kinesisk it- og teleudstyr går år tilbage og har især centreret sig om den kinesiske gigant Huawei. National Security Agency i USA hævder at have beviser på installerede bagdøre, og USA har derfor forbudt amerikanske virksomheder at bruge teleudstyr, der kommer fra virksomheder, som kan udgøre en national sikkerhedsrisiko – de facto rammer det Huawei og ZTE. Beviserne er ikke lagt på bordet, men det står klart, at Huawei og andre kinesiske virksomheder deltager i Kinas stigende masseovervågning og krænkelse af basale menneskerettigheder. Når den danske stat bruger ressourcer på at afdække disse forhold, skal det derfor – helt selvklart – komme det danske samfund direkte til gode.
Med afvisningen af at offentliggøre den nye undersøgelse – eller i det mindste dele viden om resultaterne – har CFCS og Forsvaret underskrevet sin egen dødsdom som hele Danmarks primære rådgivnings- og informationsmyndighed inden for it-sikkerhed. Kritikken har lydt i årevis, også fra nærværende lederplads, at det forsvarsministerielle monopol på området for offentlig rådgivning risikerer at ende i stedmoderlig behandling af den decentrale offentlige sektor og den private sektor, når det gælder vidensdeling, varsling og øvelser. Fokus og kompetence er simpelthen ikke i tilstrækkelig grad til stede i organer, der har rødderne placeret langt fra det civile liv, men i stedet i det militære.
Et forsøg på at afhjælpe denne åbenlyse mangel kom med et nyt nationalt Cybersikkerhedsråd i 2019, der netop fik som primært formål at styrke samarbejde og vidensdeling mellem offentlige og private aktører om cyber- og informationssikkerhed. Rådet har både en offentlig og en privat formand for at tilgodese begge sektorer. Men en absurd ringslutning for danske kommuner, der er hensat til uvidenhedens mørke, når kafkaske dimensioner, når formanden for den offentlige sektor er Thomas Lund-Sørensen, der er chef for Center for Cybersikkerhed; altså det center, som har besluttet at forholde kommunerne den essentielle viden.
Ikke alene er det problematisk, at en undersøgelse af potentiel statsovervågning fra udlandet via udstyr, som implementeres i snart alle grene af det danske samfund, ikke bliver udgivet. Også selve beslutningen om at hemmeligstemple er overladt til Forsvaret selv. Det ville være urimeligt at gisne om, hvorvidt denne mørklægning skyldes en frygt i diplomatiet for at lægge sig ud med vores kinesiske handelspartnere, eller om rapporten slet og ret er noget uprofessionelt makværk, som ikke tåler dagens lys.
Folketinget må gribe ind og sikre, at staten lever op til de fine løfter om at vigtig viden om sikkerhed bliver delt mellem myndigheder, erhvervsliv og forskningsverdenen. Ellers er der bare endnu engang tale om substansløse politiske hensigter, hvor virksomheder og decentrale myndigheder – samt borgernes rettigheder – i værste fald bliver ofret af vores evige pandadiplomati og famlende tilgang over for et Kina, der uhæmmet infiltrerer og inficerer den vestlige verden. /hm
Lederen udtrykker Ingeniørens holdning, der fastlægges af vores lederkollegium.
