Leder: CFCS har underskrevet sin egen dødsdom som Danmarks it-sikkerhedsrådgiver

Illustration: TM Grafik

I sommer indtog Danmark igen førstepladsen som verdens bedste inden for offentlig digitalisering i FN’s årlige undersøgelse, E-Government Survey. Som Ingeniørens medier jævnligt fortæller om, så indfinder digitaliseringen sig langtfra alene i form af offentlige softwaresystemer, men også i den fysiske verden med installation af IoT-enheder som sensorer, kameraer og styringsenheder i el, vand- og spildevandsforsyningen, og transportsektoren.

Med opkobling af udstyret følger risikoen for, at ubudne gæster sniger sig med ind. Internet of Things-udstyr kan indeholde bagdøre, som giver fabrikanten mulighed for at tappe data fra enhederne uden om brugeren. Det er bl.a. blevet fundet i kinesisk udstyr til IP-telefoni fra DBlTek, og i december kom det frem, at millioner af IoT- og overvågningsenheder indeholder en HiSilicon-chip fra Huawei med en ikke-sikret bagdør. Også efterretningstjenesterne kan udnytte bagdøre til spionage.

Den stigende sårbarhed ved IoT-udbredelsen advarede Danmarks nationale it-sikkerhedsmyndighed, Center for Cybersikkerhed (CFCS), om i en rapport fra 2019, der konkluderede, at angreb på eller manipulation med data fra IoT-enheder i værste fald kan true vores fysiske sikkerhed. Det er ikke bare en trussel, som danske virksomheder skal være obs på. Også i kommuner og regioner er sikkerheden omkring den stigende brug af IoT til overvågning og styring af ofte samfundskritiske enheder blevet et påtrængende issue.

I lyset af CFCS’ advarsler på området er det grotesk, at Forsvaret – som CFCS hører under – og CFCS selv nu nægter at dele en undersøgelse af kinesiske overvågningskameraer med kommunerne i Danmark, som efterlyser hjælp til området, herunder om udvalgte kameraer skal sortlistes. Undersøgelsen er sat i værk, efter at amerikanske Homeland Security angiveligt har fundet en bagdør og efterfølgende forbudt kameraer fra kinesiske HikVision. Men Aarhus Kommune må altså ikke få adgang til CFCS-resultaterne. Og ikke nok med det: CFCS vil ikke engang be- eller afkræfte over for Aarhus Kommune, om der er problemer forbundet med HikVision-kameraerne.

Mistanken mod kinesisk it- og teleudstyr går år tilbage og har især centreret sig om den kinesiske gigant Huawei. National Security Agency i USA hævder at have beviser på installerede bagdøre, og USA har derfor forbudt amerikanske virksomheder at bruge teleudstyr, der kommer fra virksomheder, som kan udgøre en national sikkerhedsrisiko – de facto rammer det Huawei og ZTE. Beviserne er ikke lagt på bordet, men det står klart, at Huawei og andre kinesiske virksomheder deltager i Kinas stigende masseovervågning og krænkelse af basale menneskerettigheder. Når den danske stat bruger ressourcer på at afdække disse forhold, skal det derfor – helt selvklart – komme det danske samfund direkte til gode.

Med afvisningen af at offentliggøre den nye undersøgelse – eller i det mindste dele viden om resultaterne – har CFCS og Forsvaret underskrevet sin egen dødsdom som hele Danmarks primære rådgivnings- og informationsmyndighed inden for it-sikkerhed. Kritikken har lydt i årevis, også fra nærværende lederplads, at det forsvarsministerielle monopol på området for offentlig rådgivning risikerer at ende i stedmoderlig behandling af den decentrale offentlige sektor og den private sektor, når det gælder vidensdeling, varsling og øvelser. Fokus og kompetence er simpelthen ikke i tilstrækkelig grad til stede i organer, der har rødderne placeret langt fra det civile liv, men i stedet i det militære.

Et forsøg på at afhjælpe denne åbenlyse mangel kom med et nyt nationalt Cybersikkerhedsråd i 2019, der netop fik som primært formål at styrke samarbejde og vidensdeling mellem offentlige og private aktører om cyber- og informationssikkerhed. Rådet har både en offentlig og en privat formand for at tilgodese begge sektorer. Men en absurd ringslutning for danske kommuner, der er hensat til uvidenhedens mørke, når kafkaske dimensioner, når formanden for den offentlige sektor er Thomas Lund-Sørensen, der er chef for Center for Cybersikkerhed; altså det center, som har besluttet at forholde kommunerne den essentielle viden.

Ikke alene er det problematisk, at en undersøgelse af potentiel statsovervågning fra udlandet via udstyr, som implementeres i snart alle grene af det danske samfund, ikke bliver udgivet. Også selve beslutningen om at hemmeligstemple er overladt til Forsvaret selv. Det ville være urimeligt at gisne om, hvorvidt denne mørklægning skyldes en frygt i diplomatiet for at lægge sig ud med vores kinesiske handelspartnere, eller om rapporten slet og ret er noget uprofessionelt makværk, som ikke tåler dagens lys.

Folketinget må gribe ind og sikre, at staten lever op til de fine løfter om at vigtig viden om sikkerhed bliver delt mellem myndigheder, erhvervsliv og forskningsverdenen. Ellers er der bare endnu engang tale om substansløse politiske hensigter, hvor virksomheder og decentrale myndigheder – samt borgernes rettigheder – i værste fald bliver ofret af vores evige pandadiplomati og famlende tilgang over for et Kina, der uhæmmet infiltrerer og inficerer den vestlige verden. /hm

Lederen udtrykker Ingeniørens holdning, der fastlægges af vores lederkollegium.

Illustration: Lasse Gorm Jensen
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Bjarne Nielsen

Fra artikel:

Også selve beslutningen om at hemmeligstemple er overladt til Forsvaret selv. Det ville være urimeligt at gisne om, hvorvidt denne mørklægning skyldes en frygt i diplomatiet for at lægge sig ud med vores kinesiske handelspartnere, eller om rapporten slet og ret er noget uprofessionelt makværk, som ikke tåler dagens lys.

Det første man kan overveje er, om ikke det er fornuftigt at forsvaret og især FE får lov til at holde deres kort tæt til kroppen. Kompetente efterretningstjenester er meget bevidste om, hvad de fortæller om den viden de har, for hver gang man siger noget, kan man også nemt komme til at afsløre uvidenhed - en uvidenhed, som kan udnyttes.

Det er ej heller givet at trusselsbilledet er det samme for en fregat som for et folkebibliotek.

Men så vender vi tilbage til det spørgsmål, som har været rejst så mange gange: er CFCS fejlplaceret?

Der var megen snak om synergier og vidensdeling og udnyttelse af fælles kompetencer og placering i et gunstigt miljø. Men var placeringen, som onde tunger engang foreslog, reelt udtryk for simpel kassetænkning i Claus Hjorth Frederiksens og Trumps tid: at det ville være godt at få pustet budgetter i og omkring forsvaret godt op, og at det derfor ville være en "gratis omgang"?

Uanset, så er det svært at se hvor CFCS gør en reel forskel i praksis. Selv deres prober er vel i praksis en lunken omgang?

  • 14
  • 1
#3 Claus Bobjerg Juul

Start et andet sted.

Hvad findes der bevis for, der findes bevis for at Amerikanske myndigheder tidligere har "inficeret" Cisco udstyr med bagdøre.

Ergo skal ALT Amerikansk udstyr sortlistes indtil at det kan bevises at Amerikanske myndigheder ikke længere "inficere" udstyr.

Så kan det være at Amerikanske myndigheder vil fremlægge beviser for de påstande om kinesiske produkter.

Hvis der så kommer beviser for de kinesiske produkter, så kan vi udvide listen af sortlistet udstyr.

  • 9
  • 1
#7 John Michael Foley

Lederen i Ingeniøren er det endegyldige bevis og argumentation for at Center for Cybersikkerhed(CFCS) under Forsvarets Efterretningstjeneste(FE) er fejlplaceret og ikke varetager Danmarks og befolkningens interesserer. Forsvarsminister Trine Bramsen har ellers forsøgt og gjort alt for at stoppe enhver diskussion og debat om at CFCS ikke skal være en del af FE. Hendes bestræbelser er mislykkedes og vinder ikke genklang hos store dele af befolkningen, der kræver at CFCS ikke skal være en del af den militære organisation. Som argumentation for dets placering under FE blev der lovet synergier og vidensdeling samt udnyttelse af fælles kompetencer. De løfter er ikke blevet indfriet. CFCS er blevet en stat i staten, der mere og mere lukker sig hermetisk om sig selv og spytter den ene lov ud efter den anden, der giver sig selv uindskrænkede beføjleser og magt, der ikke gavner Danmark og dets befolkning.

  • 6
  • 0
#8 Aslak Stage

Fuldstændigt enig.

Jeg vil også argumentere for at det ikke engang er godt for Forsvarets Efterretningstjeneste(FE) at det hører under dem.

FE ville have højst sandsynligt have adgang til sådan et center på en eller anden måde uanset hvad og dets ressourcer, hvis det lå udenfor dets ressortområde og fordelen ved det ville i høj grad være at FE kan få lov til at arbejde der, hvor det er bedst for dem, i skyggen.

Nu er FE konstant i søgelyset, fordi CFCSs opgaver er så meget ude i det åbne område og har i mange tilfælde ikke noget med FEs opgaver at gøre og FE kan ikke rigtigt forsvare sig, fordi det er en politisk beslutning og ikke en FE operativ beslutning.

Få nu overført CFCS til indenrigsministeriet eller lignende, gør det til en åben styrelse og giv den en klar opgave og ikke det der mudder, som de bevæger sig i nu og som gør at de opfører sig mere i forhold til FEs opgaver og ikke i forhold til offentligheden, som den har faktisk til opgave at sikre mod cybertrusler.

Og kære politikere : Det er jeres ansvar, ikke CFCS og FEs. De gør hvad I beder dem om og/eller udfra det som I giver dem mulighed for!

  • 10
  • 0
Log ind eller Opret konto for at kommentere