Ny politisk aftale om CFCS: Virksomheder og organisationer kan tvinges på sniffernetværk

Illustration: argus456/Bigstock
Nyt offentligt-privat cybersikkerhedsråd etableres med ny politisk aftale. Og centrale samfundskritiske organisationer risikerer få påbud om tilslutning til CFCS' sensor- eller sniffernetværk.

Opdateret kl. 19:32

Efter flere års kritik af, at statens tiltag på cybersikkerhedsområdet har favoriseret det offentlige og de store virksomheder, ser det nu ud til at indsatsen over for cyberkriminalitet rettet mod mindre og mellemstore virksomheder bliver styrket. I hvert fald til en vis grad.

Regeringen (Venstre, Liberal Alliance og Det Konservative Folkeparti), Socialdemokratiet, Dansk Folkeparti og Radikale Venstre har indgået en aftale om at ændre den gældende lov om Center for Cybersikkerhed.

Den indebærer også at der oprettes et offentligt-privat cybersikkerhedsråd.

»Formålet med rådet er at kvalificere myndighedernes og virksomhedernes arbejde og styrke det digitale demokrati, herunder udbredelse af viden om, og forståelse for, de trusler og muligheder, som digitaliseringen og den nye teknologi medfører,« lyder det i en meddelelse fra Forsvarsministeriet.

Rådet vil ifølge regeringen bestå af Digitaliseringsstyrelsen, Center for Cybersikkerhed samt repræsentanter med særlig it-sikkerhedsmæssig kompetence fra den private sektor, brancheorganisationer, forskningsverdenen og forbrugersiden.

Problemet hidtil har været, at FE og CFCS ifølge kritikerne kun har tager sig af alvorlige hændelser, der kan true statens sikkerhed, og i øvrigt arbejder bag lukkede døre.

Et nyt offentligt-privat cybersikkerhedsråd kan bidrage med behovet for nationalt at samordne og videresende de nødvendige oplysninger og varsler til virksomheder, forskningsverdenen, organisationer og befolkningen.

Forsvarsminister Claus Hjort Frederiksen ser frem til et styrket samarbejde:

»Alvorlige cybertrusler er blevet et grundvilkår for vores samfund, og vellykkede angreb mod den digitale infrastruktur kan få kolossale konsekvenser. Jeg er derfor glad for, at vi nu får oprettet et Cybersikkerhedsråd, der skal styrke samarbejdet mellem offentlige og private aktører,« siger han ifølge en meddelelse fra Finansministeriet.

Sikkerhedsekspert John Foley, der er tidligere sikkerhedsofficer og stifter af den uafhængige rådgivnings- og it-sikkerhedsvirksomhed Copits, er glad for at er taget beslutning om at etabelere en civil instans.

»Rådet er kun et lille skridt på vejen,« siger John Foley, der dog efterlyser flere løsninger og handlinger, der bedre kan sikre befolkning og virksomheder mod de cyberkriminelle og næsten daglige angreb i cyberspace.

Tvungen tilslutning til sniffernetværk

Udover det nye råd indebærer den politiske aftale om et lovforslag, at de myndigheder og virksomheder, der er en del af Danmarks kritiske infrastruktur, i helt særlige tilfælde kan få påbud om tilslutning til den såkaldte netsikkerhedstjeneste, også er kaldt Center for Cybersikkerheds sensor- eller sniffernetværk.

Systemet fungerer ved hjælp af sensorer og egenudviklede elektroniske alarmer hos bl.a. centrale it-leverandører og offentlige myndigheder, der tager en kopi af data og sender den til analyse i CFCS’ hovedsæde på Østerbro i København. Dermed overvåges datatrafikken.

Netværket har på det seneste lidt under at flere store institutioner som har været frivilligt med - bl.a. TDC og Region H - har forladt det.

Nu skal det være slut med i alle tilfælde at kunne sige nej:

»Der kan jo være virksomheder, som er så vigtige for samfundet, at man ikke kan tåle, at de bliver sat ud af funktion. Vi har en væsentlig samfundsinteresse i, at man kan påbyde disse virksomheder at blive tilsluttet,« siger forsvarsminister Claus Hjort Frederiksen (V) DR.

Til gengæld er man gået væk fra muligheden for at tvangsinstallere overvågningssoftware helt ned på pc-niveau.

CFCS har ellers længe udtrykt sit klare ønske om at kigge dybere ned i it-systemerne end på netværksniveau:

»Det [er] ikke er nok kun at kigge på netværk, for det er krypteret. Derfor vil vi også gerne se på det, som foregår inde i maskinerne,« sagde Mille Østerlund, der er chef for Rådgivning og Akkreditering i Center for Cybersikkerhed, CFCS, for et år siden på Dansk IT’s konference Offentlig Digitalisering for i Aarhus.

Det første lovudkast fra regeringen, der blev udsendt i starten af året, fulgte naturligt i forlængelse af den udtalelse - og ville give Center for Cybersikkerhed mulighed for at tvangsplacere denne såkaldte sikkerhedssoftware i samfundsvigtige virksomheders servere og interne netværk.

Udspillet fik dog bl.a. DI til at råbe skarpt op, for tiltaget ville ifølge den store magtfulde erhvervsorganisation betyde tapning af bl.a. dybt fortrolige forretningsaftaler, patenter og børsfølsomme til efterretningstjenesten – hvilket kunne skabe uklarhed for internationale virksomheder om beskyttelsen af data i Danmark, lød det fra DI:

Læs også: DI: Ny CFCS-overvågning kan betyde dansk statstapning af patentdata og børsdata fra udenlandske selskaber

»Vores virksomheder skal kunne forklare i andre lande, hvad det er for en type overvågning der foregår i Danmark. Det bliver ikke simpelt for virksomhederne, og det kan påvirke muligheden for at garantere en vis form for sikkerhed over for en kunde eller virksomhed i et andet land. Hvad sker der med deres data, når de kommer til Danmark?« lød kritikken fra Lars Frelle-Petersen, der er direktør med ansvar for digitalisering i DI.

Nu er ideen om tvangsanbringelse af overvågningssoftware på server- og pc-niveau skrinlagt.

»Muligheden for at give påbud om tilslutning ændres, således at der ikke kan gives påbud om installation af sikkerhedssoftware,« lyder det i den politiske aftale.

Men afskriver sig dog ikke helt at CFCS kan aftale sig frem til en installation af overvågningssoftware på enkelstående pc'er:

»En yderligere nyskabelse er, at Center for Cybersikkerheds nuværende monitorering af internetforbindelserne kan suppleres af sikkerhedssoftware, der installeres på f.eks. pc’er og servere. Dermed får centeret mulighed for at opdage cyberangreb langt tidligere, også selv om angrebsværktøjerne er krypterede.«

Sandsynligvis for også at imødegå kritikken af, at staten i form af Center for Cybersikkerhed har næsen for langt nede i private forhold bliver afrapportering efter sikkerhedstekniske undersøgelser anonymiserede, og oplysninger om identiteten på medarbejdere, der f.eks. har begået et sikkerhedsbrud, vil ikke kunne udleveres fra Center for Cybersikkerhed.

Løfte om ikke at gå it-branchen i bedene

Den sidste vigtige punkt i den nye politiske aftale er, at Center for Cybersikkerhed får mulighed for at gennemføre forebyggende sikkerhedstekniske undersøgelser, hvor centeret – efter aftale med den enkelte myndighed eller virksomhed – søger at identificere sårbarheder og vurdere robustheden af it-systemer, således at sårbarhederne ikke først opdages, når de udnyttes af en ondsindet hacker.

Aftaleparterne har samtidig forsøgt at imødegå kritik af, at CFCS kommmer til at spille en for stor rolle i it-sikkerhedsarbejdet også i erhvervslivet - som ellers er tiltænkt den privat it-sikkerhedsbranche - og 'hæfter sig ved, at tiltagene i lovforslaget – herunder den forventede forøgelse af antallet af virksomheder, der er tilsluttet Center for Cybersikkerheds netsikkerhedstjeneste – hverken kan eller skal erstatte de sikkerhedsløsninger, som udbydes på det private marked.'

Center for Cybersikkerheds ydelser giver et ekstra lag af sikkerhed, men myndigheder og virksomheder vil fortsat have behov for kommercielle sikkerhedsløsninger, lyder det.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Juul

Lige om lidt skal man som fremmed nation bare finde én sårbarhed i den anvendte sensor, så er alle der er tilsluttet sensornettet kompromitteret (ja der er også sårbarhed er i IDS'er)
lidt senere når CfCS udlicitere sensoropgaven, så er det også muligt at komme ind via denne leverandør.

Benny Lyne Amorsen

Det er skønt at der er regler for hvordan CFCS skal opføre sig. Men hvem tror på at der er vandtætte skotter mellem CFCS og resten af Forsvarets Efterretningstjeneste? Og hvem skulle kontrollere det?

Folketingets kontroludvalg kan kun kontrollere det som de får udleveret af oplysninger, og det er FE som står for at udlevere dem...

Det er min faste overbevisning at CFCS er en måde at gøre det lettere for samarbejdspartnerne i Five Eyes / Nine Eyes / 14 Eyes at fortsætte deres totalovervågning af datatrafik. Danmark skal bidrage med sin del for at få adgang til klubben.

Finn Christensen

Folketingets kontroludvalg kan kun kontrollere..

.. småting.

Forudsætningen er, at medlemerne (MF'erne) har tilstrækkelig dyb faglig indsigt. Lige det har jeg endnu ikke set praktiseret af folketingets itAnalfabeter.

Sålænge FM'er ikke har fornøden indsigt, så har det jo ingen særlig betydning hvad CFCS eller FE fortæller dem. Kontroludvalget.. man lader den blinde leder de tonedøve.

Jeg tror at DK for år tilbage opgav, og nu lader (X-eyes) trække læsset og håber, at deres paraply holder tæt.

Vi kan se at folketingets it-beslutninger igennem mange år stritter tilfældigt mod alle verdenshjørner, så rådgiverne må være alle dem, der efter tur får sugerøret i statskassen.. de tilfældige leverandører og virksomheder (Di med Frelle-Petersen), Digitaliseringsstyrelsen + Moderniseringsstyrelsen med deres eSovs(TM) + CFCS og FE.

HW + SW samt eksterne konsulentydelser i mia'klassen til dem, derude i den virkelige verden, som har den lange faglige uddannelse og ekspertice.

Louise Klint

Jeg vil gerne foreslå et obligatorisk ”IT og demokratiet”-kursus for alle folkevalgte MF’er. Fordi dette forsvarsforlig giver indtryk af, at man måske ikke til fulde er bevidst om, hvad man har været med til at beslutte, ærligt talt.

Flere punkter, i forliget, kunne fremhæves, men
vedr. de ”forebyggende sikkerhedstekniske undersøgelser”:
Kan nogen give mig et sagligt argument for, hvorfor det er relevant, at CfCS/Forsvarets Efterretningstjeneste skal udbyde en sådan service?
(Ud over at myndigheden åbenlyst er i besiddelse af et overskud af ressourcer, som muliggør dette. I en tid hvor stort set alle andre i den offentlige sektor må spænde livremmen ind).

Hvorfor skal CfCS udbyde en service, hvor en offentlig myndighed går ind og konkurrerer på det private marked (med skattekroner i ryggen)?
Men frem for alt:
Hvorfor er det i orden, at medarbejdere – lønmodtagere i hele Danmark – skal være i risiko for at havne i en database hos Efterretningstjenesten?

Ikke fordi den pågældende har begået lovbrud eller er under mistanke
for noget kriminelt, men ene og alene fordi du ikke bestod cybersikkerhedstesten,
som Efterretningstjenesten foretog, imens du havde travlt med at varetage
dit daglige arbejde!

Det kan jeg ikke se nogen rimelighed i.
Om du arbejder i en bank, på et hospital, er skoleleder, sælger, ingeniør eller børnehavepædagog kommer ud på et – alle arbejdende, voksne danskere er principielt i målgruppen.
Kan ende i en database hos Efterretningstjenesten, fordi det, med dette forlig,
bliver muligt for din chef at hyre CfCS til at udføre en cybersikkerhedstest
af dig og din arbejdsplads.
(De såkaldte ”forebyggende sikkerhedstekniske undersøgelser”).

For mig at se, er vi ude på et overdrev her,
som ikke har noget med demokrati at gøre.
Som ikke hører hjemme i Danmark.

Og jeg har svært ved at forestille mig, at samtlige forligsparter har samtykket til dette med overbevisning. Eller rettere, at de har gennemtænkt – og forstår – rækkevidden af deres beslutning.
For det er godt nok sygt.

(Man kunne godt spørge lidt ind til det, tænker jeg.
Tage fat i nogle politikere fra forligskredsen og bede dem reflektere lidt over konsekvenserne. Hvad de har sagt ja til, og sætter i værk, på deres vælgeres vegne).

Frithiof Jensen

Lige om lidt skal man som fremmed nation bare finde én sårbarhed i den anvendte sensor,


Jeg tror mere at tanken er man som mere eller mindre fjendlig fremmed nation, eller privat investor, tegner et abonnement.

De sidste 15-20 års misregime indikerer et solidt og urokkeligt "bredt politisk flertal" i folketinget bag en mange-facetteret og kompleks strategi som egentligt går ud på at alt hvad samfundet har bygget op, skal strip-mines for alle tilgängelige värdier og derefter köres i sänk eller også sälges til Udlandet.

Hvis man nu kan strippe vores ideer og opfindelser meget tidligere, för de bliver til noget som er dyrt for investorerne at köbe på markedet eller pinligt for de liberale blålys at sälge med enorm negativ gevinst, så kan man da absolut effektivisere processen!

Louise Klint

^^
Således:
Der er justeret lidt i forligskredsens aftale – i forhold til lovudkastet – således at det nu lyder:

Desuden vil forebyggelsen af cyberangreb blive styrket ved at give Center for Cybersikkerhed mulighed for at gennemføre
forebyggende sikkerhedstekniske undersøgelser, hvor centeret – efter aftale med den enkelte myndighed eller virksomhed – søger at identificere sårbarheder og vurdere robustheden af it-systemer,
således at sårbarhederne ikke først opdages, når de udnyttes af en ondsindet hacker.
[…]
Center for Cybersikkerheds afrapportering efter
sikkerhedstekniske undersøgelser vil endvidere være
anonymiserede, og oplysninger om identiteten på medarbejdere, der f.eks. har begået et sikkerhedsbrud, vil ikke kunne udleveres fra Center for Cybersikkerhed.

https://fmn.dk/nyheder/Pages/Politisk-aftale-om-lovforslag-for-Center-fo...

(Min fremhævning).
Forskellen er således, at du, som medarbejder, ikke er i risiko for at
miste dit arbejde, hvis du ikke ”består” CfCS’ spearfishingtest
(hvilket gjaldt i det oprindelige, 1. lovudkast).

Du havner i stedet i en database hos Efterretningstjenesten.
En myndighed, hvor der ikke er offentlighed i forvaltningen, og som kun i begrænset omfang kontrolleres af Tilsynet med Efterretningstjenester.
(Bliver du i det hele taget oplyst om, hvis dit navn fremover figurerer i en database hos CfCS/FE? Jeg ved det ikke).
Det er vel også et spørgsmål om retssikkerhed her?

Forstå mig ret: Jeg er udmærket klar over, at vores land står over for en reel
og alvorlig cybersikkerhedstrussel.
Men forsvarsforligets aftale er ikke den eneste måde, hvorpå truslen kunne imødegås. Der findes andre løsningsmodeller. Man kunne pålægge virksomheder og myndigheder cybersikkerhedskrav, som ikke er kontrolleret af en statslig efterretningstjeneste, f.eks. Det ser jeg flere muligheder for.

Ovennævnte intervention er, efter min mening, ikke en opgave, som en hemmelig efterretningstjeneste skal udføre over for civilbefolkningen i Danmark. Det hører ingen steder hjemme.

Frithiof Jensen

Man kunne pålægge virksomheder og myndigheder cybersikkerhedskrav, som ikke er kontrolleret af en statslig efterretningstjenest


Det kunne man bestemt og det ville väre en bedre strategi, men så ville der formodentligt väre agtindsigt, hvilket er noget af det allervärste for "Slotsholmerne".

PS:
Jeg tror at grunden til at FE får opgaverne er formodentligt den enkle at Onkel Donald siger at Danmark nu skal til lommen og köbe noget mere millitärt, så tänker man inde i minsterierne at hvis man nu bloater FE med en masse civile opgaver så kan man "bruge de samme penge på to budgetposter", hvilket er rigtigt smart, synes man (og man tror ikke at USA kan regne den ud).

René Nielsen

Jeg vil gerne foreslå et obligatorisk ”IT og demokratiet”-kursus for alle folkevalgte MF’er. Fordi dette forsvarsforlig giver indtryk af, at man måske ikke til fulde er bevidst om, hvad man har været med til at beslutte, ærligt talt.

Jeg er enig, men det kommer ikke til at ske, for folketingets medlemmer ser sig selv som ”bestyrelsen” og IT er operationelt. ”Det har man folk til!”

så tänker man inde i minsterierne at hvis man nu bloater FE med en masse civile opgaver så kan man "bruge de samme penge på to budgetposter", hvilket er rigtigt smart, synes man (og man tror ikke at USA kan regne den ud).

Det er helt rigtigt set, men når lande som USA roser som f.eks. Grækenland hvis BNP falder, således militærbudgettet stiger op over 2% fordi Grækenland medregner pensioner til pensionister, så kan Danmark vel også?

Hans Nielsen

Huawei og Kina - og Danmark udelukket fra det gode selskab ?

Vil vi ikke kunne risikkere, som land at ende samme sted som Huawei . Jeg tror da ikke den tyske stat,eller delstat vil tilade den Danske stat rodder i privat data om Tyske borger ?

Firma som MS, IBM må nok også tænke sig om i fremtiden,. Og vi har nok (heldigvis for det) set det sidste data center i Danmark.

OG vil man man som virksomhed ikke bare placere sine data i et land som Tyskland, hvor man tager borgerens retigheder alvorligt. Eller oprettet et skygge netværk, uden overvågning.

Vedtagelse af denne lov, kan være det som har betydet at, facebook har droppet data center i Esbjerg!

Hans Nielsen

Lige om lidt
Lige om lidt skal man som fremmed nation bare finde én sårbarhed i den anvendte sensor, så er alle der er tilsluttet sensornettet kompromitteret (ja der er også sårbarhed er i IDS'er)
lidt senere når CfCS udlicitere sensoropgaven, så er det også muligt at komme ind via denne leverandør.


Du har helt ret, man skal nu kun angribe et sted. Det nemmeste er nok at finde eller betale en medarbejder i FE/PE. Lokke med jobskifte til et meget velbetalt job, eller finde en som er fobi gået.
Det vil nok være langt det lettetes. Mange af de mennesker gradbøjere, eller overholder regler jo ikke reglerne nu. Så en del af den moralske bariere er brudt.

Flere jobopslag som itsikkerhed, administrator, programør - med meget god løn, meget ferie, mange goder, meget ansvar eller ingen, næsten ingen forudsætninger, annonym besvarelse. Med CV hvor man lige arbejder nu. Så er man jo godt i gang med at sotere kandidanterne

Louise Klint

Ja, en bananrepublik.
Og dette er bestemt ikke noget, jeg selv ellers har gjort mig overvejelser omkring i en dansk kontekst. Det ligger temmelig fjernt.

Jeg vil også mene, at de nye tiltag kræver en oplysningskampagne
fra Forsvarsministeriets side.
Alle erhvervsaktive danskere bør, i sagens natur, oplyses om
Efterretningstjenestens nye service.
Om muligheden for, at Center for Cybersikkerhed vil intervenere i
den enkeltes arbejdsliv, og den risiko, det kan indebære for medarbejderen.
At du kan blive testet i det skjulte, samt ende i Efterretningstjenestens hemmelige arkiver/databaser.

Hvad siger arbejdstagerorganisationerne til det? Fagforeningerne?

Jeg tror, jeg kender en del mennesker (inklusiv mig selv) som vil blive en anelse bekymret og oprørt over en sådan oplysning, samt denne nye virkelighed.
Overvej det selv engang:
Hvornår har almindelige borgere haft med Efterretningstjenesten at gøre?
Cirka aldrig.
Jeg tror, at mange (inklusiv mig selv) kunne blive forskrækket, føle sig forurettet og undre sig. Finde dette svært udansk. Udemokratisk.
Det berører jo mange forskellige mennesker, af forskellig alder og generationer, mænd som kvinder.
Det virker til, at man helt har glemt individet i dette forlig, befolkningen.

Der er en væsentlig distinktion her:
Om denne opgave udføres af en privat IT-sikkerhedsudbyder eller af
en hemmelig, statslig efterretningstjeneste.
Det udgør faktisk en forskel.
En forskel, man virker til at være blind for i forligskredsen.

Men man bliver nødt til at tænke sig om, og så tage at få det sagt.
Til borgerne, til medarbejderne, til sine vælgere.
Prøv at sige det højt. Prøv at forklare os jeres beslutning!
(”At nu må du forstå, Fru Lønmodtager, at dine arbejdsvilkår indebærer fremover en risiko for at blive testet i det skjulte af Efterretningstjenesten, samt ende i deres arkiver.” ”Undskyld, hvadbeha’r?!”)

Oplysning til borgerne er en myndighedsopgave, som følger med nye, væsentlige beslutninger og lovændringer. En pligt.
Det er et myndighedsansvar at give borgerne besked, også nu, i dette tilfælde.
Borgerne skal selvfølgelig have besked. Det forventer vi.

Log ind eller Opret konto for at kommentere