Leder: Militær tvangsovervågning hører ikke hjemme i DK

For få myndigheder og virksomheder er i dag tilsluttet det såkaldte sensornetværk hos Center for Cybersikkerhed (CFCS), og det er et problem i forhold til at opdage, analysere og imødegå avancerede cyberangreb på samfundskritiske institutioner.

Sådan lyder kerneargumentet i et lovforslag, som Folketinget er ved at behandle. Ifølge forslaget skal CFCS kunne tvinge særligt samfundsvigtige virksomheder og myndig­heder på sensornetværket, hvor ind- og udgående netværkstrafik overvåges. Dermed kan angreb bedre forebygges og afbødes, lyder det.

Der skal ikke herske tvivl om, at cyberkriminaliteten i disse år stiger voldsomt i både omfang og styrke. De kriminelle er ikke længere bumsede teenagere, der afprøver grænser og evner i forældrenes kældre, men dybt professionelle forbrydere, der benytter angrebsvåben baseret på både kunstig intelligens og automatik.

Når Forsvarsministeriet argumenterer med, at fremmede stater forsøger at tappe os for værdifulde industrielle ideer og oplysninger, og fremmede magter forsøger at påvirke meningsdannelsen i en retning, som i yderste konsekvens kan få indvirkning på folketingsvalg, er det selvfølgelig baseret på faglige geopolitiske vurderinger.

Men det er altså at gå alt for vidt at give Forsvarets Efterretningstjeneste, som CFCS hører under, mulighed for at tvinge sig adgang til virksomheders og myndigheders mail­systemer, som kan indeholde dybt personlige data fra ganske almindelige borgere om bl.a. vores sygdom og familieforhold, bankdata og webshopkøb.

Når virksomheder kan tvinges til at sende deres data forbi den militære efterretningstjeneste, løber de en åbenlys risiko for, at udenlandske kunder og myndigheder vender Danmark ryggen. Tænk bare på vores hjemlige debat om Huaweis adgang til data og den potentielle risiko for, at de kommer i den kinesiske stats hænder.

Et politisk flertal vil gå på kompromis med retssikkerhed, gennemsigtighed og kontrol for at imødegå en cyberkriminel udvikling. Forsvarets Efterretningstjeneste er blandt de allermest lukkede offentlige institutioner, som stort set ikke er omfattet af offentlig kontrol, kun et lille kontrollerende udvalg på fem medlemmer i Folke­tinget og et relativt begrænset tilsyn. Centeret er reelt undtaget fra lov om offentlighed i forvaltningen, en stor del af forvaltningsloven, databeskyttelsesloven og EU’s databeskyttelsesforordning.

Det grundlæggende problem er, at forslaget vil politisere it-kriminaliteten og gøre almen it-sikkerhed, der skal beskytte borgere og virksomheder, til et nationalt sikkerhedsspørgsmål.

Det bliver endnu mere grotesk, at CFCS tilsyneladende har fået plads i efterretnings­tjenesten, fordi udgifterne til de ca. 100 ansatte dermed tæller med i landets forsvars­budget, som man af hensyn til Nato og USA gerne vil have til at syne så stort som muligt. Det afslørede medlem af Forsvarsudvalget Martin Lidegaard (R) på en konference i Ingeniør­foreningen i sidste uge.

Med til billedet hører det faktum, at det er en meget lille del af de cyberkriminelle, som agerer ud fra et politisk formål eller vil destabilisere samfundet. Ni ud af ti vil berige sig selv økonomisk.

Der er dermed tale om kriminalitet, som myndigheder og virksomheder først og fremmest selv bør investere i at modstå. De ansatte skal uddannes bedre i it-sikker adfærd, der skal indføres bedre rutiner med passwords og patching, og den tekniske sikkerhed skal ajourføres i takt med risikoen.

Det skal selvfølgelig suppleres med en offentligt understøttet enhed, som bl.a. sikrer videndeling, varsling og gennemførelse af øvelser i et fortroligt miljø. Men opgaven med at understøtte virksomheder, borgere og myndigheder i at ruste sig mod it-­kriminalitet ligger helt åbenlyst bedre under en uafhængig enhed med fuld offentlig indsigt.

At placere den i en militær efterretningstjeneste hører ganske simpelt ingen steder hjemme i et liberalt demokrati.

/hm
Lederen udtrykker Ingeniørens holdning, der fastlægges af vores lederkollegium.

Illustration: MI Grafik
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Frimann

Det grundlæggende problem er, at forslaget vil politisere it-kriminaliteten og gøre almen it-sikkerhed, der skal beskytte borgere og virksomheder, til et nationalt sikkerhedsspørgsmål.

Spot on.. godt skrevet.

// Jesper

  • 22
  • 0
Hans Nielsen

Det gør det kun nemmere at indsamle informationer.
Man skal kun finde en enkelt i forsvaret, som kan købes, overbevise eller nares til at hjælpe med adgang.

Hvis det bliver er krav, så må man også til at håndtere 2 netværk. Det som PET/FET vil se. Og det hvor man har vigtige oplsyninger.

Men kan så undre sig over værdien i, at overvåge VPN og krypteret forbindelser.

  • 2
  • 0
René Nielsen

Antallet af cyberindbrud er ikke udtryk for alvoren og jeg tror du/i har ret i at det kvantitative flertal af Cyberkriminelle er på jagt efter ”lette penge”. Men vi har brug for at visse virksomheder ikke bliver hacket.

Vi ved fra Snowdens afsløringer at NSA’s budget på terrorbekæmpelse er under 5% af deres samlede budget, men også at klassisk industrispionage imod energivirksomheder tager over 40% af NSA’s samlede budget.

NSA er iflg. amerikansk lov forpligtiget til at understøtte amerikanske virksomheder i situationen med DONG (som jo er/var en energivirksomhed) med spionage ved det udbud hvor Goldman Sachs vandt DONG.

Jeg har ikke set dokumentation for at NSA skulle have brudt denne forpligtelse ved udbuddet af DONG og i det lys er det vel OK, at staten Danmark siger at ”vi er som samfund nødt til at forsvare os imod den form statssponseret tyveri”?

Jeg tror ikke at NSA eller USA for den sags skyld er anderledes end lande som Kina, Rusland, Frankrig og Storbritannien.

Jeg har i perioder arbejdet i "very large" globale virksomheder og de har altså en anden professionalisme når vi taler om praktisk IT sikkerhed. Der er ord som gæstenetværk, mobiltelefoner, BYOD og lignende noget som under sirener tilkalder vagten og adgang til faciliteterne kan først ske efter bestået sikkerhedskursus (og det er ikke i brandslukning eller førstehjælp vi taler om).

Jeg havde nok fortrukket at den praktiske del ikke lå under forsvaret men lå i privat regi. Man kunne jo forstille sig at CFCS udstede påbud om at bestemte virksomheder skulle benytte godkendte sikkerhedsfirmaer, som overfor CFCS (og offentligheden) skulle attestere at sikkerheden er af en passende kvalitet.

Måske kunne CFCS eventuelt reviderer sikkerhedsfirmaets arbejde med den virksomheden som blev pålagt øget sikkerhed.

Lidt på samme måde som når en statsautoriseret revisor godkender et regnskab. Fra hvidvasksagen i danske bank er det måske et naiv håb men jeg fortrækker dette fremfor alternativet.

Hvis "Office for Personel Management" i USA kan gennemhackes således at Kina har alle personlige detaljer og herunder fingeraftryk på alle CIA's agenter, så tror jeg ikke på at det skulle være bedre – blot fordi det er CFCS som står for sikkerheden.

  • 8
  • 0
Louise Klint

Måske Forsvaret skulle sørge for at få intern IT-sikkerhed på plads først?
https://politiken.dk/indland/art7142303/Udsendte-i-Forsvaret-p%C3%A5virk...

Der er en masse detaljer, som jeg ikke kan kommentere på
af sikkerhedsmæssige årsager,
siger Michael Hyldgaard, chef for Operationsstaben
i Forsvarskommandoen.

Dem bliver der nok ikke færre af, når civilsamfundet skal til at overvåges
af FE/CFCS.
De mange detaljer, som Forsvaret ikke kan kommentere på over for omverden.

Synes du stadig, det er en god idé, politiker?

  • 9
  • 0
John Foley

Så sandt som det er sagt Louise Klint. At give FE og CFCS tilladelse til yderligere at overvåge, som de snart får beføjelser til, er som at sætte "Ræven til at vogte gæs". Meget bekænkeligt, ikke mindst set i lyset af det seneste alvorlige læk, hvor mere end 3000 af Forsvarets egne tidligere udsendte er blevet komprimitteret. FE og CFCS kan jo ikke engang passe på deres egne, hvordan skal det så ikke gå, når de får adgang til civilsamfundets , virksomhedernes og befolningens personfølsomme oplysninger og data? De snorksover derinde på Borgen, og forstår slet ikke hvad de har gang i og vil tillade FE og CFCS at granske i ved det kommende lovforslag. Det må standses før det er for sent.

  • 7
  • 0
Bo Andersen

For mange år siden lærte jeg i skolen, at i et demokratisk samfund bliver:

  • Trusler og angreb mod Staten håndteret af Forsvaret.
  • Trusler og forbrydelser mod civile håndteret af Politiet.

At magthaverne i vore dage blander begreberne sammen og indsætter soldater til grænsekontrol og den militære efterretningstjeneste til at bedrive overvågning af civile, skyldes vel at de ønsker sig et EUSSR - for med de mange år de har haft på skolebænken, kan det vel ikke skyldes uvidenhed om hvordan et demokratisk samfund er indrettet ??

  • 5
  • 0
Morten Jensen

For mange år siden lærte jeg i skolen, at i et demokratisk samfund bliver:

Trusler og angreb mod Staten håndteret af Forsvaret.
Trusler og forbrydelser mod civile håndteret af Politiet.

Du har sikkert også lært om magtens tredeling, armslængdeprincipper og andre gode idéer vi, som samfund, har glemt siden årtusindeskiftet.

Der sker en militarisering af politiet overalt i verden, også i DK. Sidst jeg gik en tur i København, blev jeg mødt af politibetjente iklædt skudsikre veste og med trukne maskinpistoler (H&K MP5 tror jeg?). Bekendte fortæller mig, at det har været regulære soldater med automatrifler i en periode.

Det hele bliver blandet samme i én stor pærevælling, og vi er som nation 100% princip- og historieløse.

  • 1
  • 0
Log ind eller Opret konto for at kommentere