Ny politisk aftale om CFCS: Virksomheder og organisationer kan tvinges på sniffernetværk
Opdateret kl. 19:32
Efter flere års kritik af, at statens tiltag på cybersikkerhedsområdet har favoriseret det offentlige og de store virksomheder, ser det nu ud til at indsatsen over for cyberkriminalitet rettet mod mindre og mellemstore virksomheder bliver styrket. I hvert fald til en vis grad.
Regeringen (Venstre, Liberal Alliance og Det Konservative Folkeparti), Socialdemokratiet, Dansk Folkeparti og Radikale Venstre har indgået en aftale om at ændre den gældende lov om Center for Cybersikkerhed.
Cybersikkerhedsrådet skal bl.a. rådgive regeringen om, hvordan den nationale cyber- og informationssikkerhedsstrategi skal udvikles. Samtidig skal rådet være med til at dele viden om cybersikkerhed og rådgive og vejlede på området. Og endelig skal rådet byde ind med udvikling af relevante cybersikkerhedskompetencer inden for uddannelse og forskning. Rådet vil træde i stedet for det advisory board for cyber- og informationssikkerhed, som blev nedsat af regeringen sidste år som led i den nationale strategi. Advisory boardet har bl.a. givet input til den tilstandsmåling af den nationale cyber- og informationssikkerhed, som forventes gennemført senere på året. Med det nye Cybersikkerhedsråd vil der blive flere medlemmer, og det får et bredere mandat end det hidtidige advisory board. Rådet vil få midler fra det indeværende forsvarsforlig til en sekretariatsfunktion. Digitaliseringsstyrelsen og Center for Cybersikkerhed vil på skift varetage formandsskabet for rådet som repræsentanter fra det offentlige. Cybersikkerhedsrådet kommer til at arbejde ud fra et kommissorium, hvor rådets opgaver med særligt fokus på rådgivning og dialog med relevante interessenter beskrives nærmere. Kilde: FinansministerietDet nye offentligt-private cybersikkerhedsråd
Den indebærer også at der oprettes et offentligt-privat cybersikkerhedsråd.
»Formålet med rådet er at kvalificere myndighedernes og virksomhedernes arbejde og styrke det digitale demokrati, herunder udbredelse af viden om, og forståelse for, de trusler og muligheder, som digitaliseringen og den nye teknologi medfører,« lyder det i en meddelelse fra Forsvarsministeriet.
Rådet vil ifølge regeringen bestå af Digitaliseringsstyrelsen, Center for Cybersikkerhed samt repræsentanter med særlig it-sikkerhedsmæssig kompetence fra den private sektor, brancheorganisationer, forskningsverdenen og forbrugersiden.
Problemet hidtil har været, at FE og CFCS ifølge kritikerne kun har tager sig af alvorlige hændelser, der kan true statens sikkerhed, og i øvrigt arbejder bag lukkede døre.
Et nyt offentligt-privat cybersikkerhedsråd kan bidrage med behovet for nationalt at samordne og videresende de nødvendige oplysninger og varsler til virksomheder, forskningsverdenen, organisationer og befolkningen.
Forsvarsminister Claus Hjort Frederiksen ser frem til et styrket samarbejde:
»Alvorlige cybertrusler er blevet et grundvilkår for vores samfund, og vellykkede angreb mod den digitale infrastruktur kan få kolossale konsekvenser. Jeg er derfor glad for, at vi nu får oprettet et Cybersikkerhedsråd, der skal styrke samarbejdet mellem offentlige og private aktører,« siger han ifølge en meddelelse fra Finansministeriet.
Sikkerhedsekspert John Foley, der er tidligere sikkerhedsofficer og stifter af den uafhængige rådgivnings- og it-sikkerhedsvirksomhed Copits, er glad for at er taget beslutning om at etabelere en civil instans.
»Rådet er kun et lille skridt på vejen,« siger John Foley, der dog efterlyser flere løsninger og handlinger, der bedre kan sikre befolkning og virksomheder mod de cyberkriminelle og næsten daglige angreb i cyberspace.
Tvungen tilslutning til sniffernetværk
Udover det nye råd indebærer den politiske aftale om et lovforslag, at de myndigheder og virksomheder, der er en del af Danmarks kritiske infrastruktur, i helt særlige tilfælde kan få påbud om tilslutning til den såkaldte netsikkerhedstjeneste, også er kaldt Center for Cybersikkerheds sensor- eller sniffernetværk.
Systemet fungerer ved hjælp af sensorer og egenudviklede elektroniske alarmer hos bl.a. centrale it-leverandører og offentlige myndigheder, der tager en kopi af data og sender den til analyse i CFCS’ hovedsæde på Østerbro i København. Dermed overvåges datatrafikken.
Netværket har på det seneste lidt under at flere store institutioner som har været frivilligt med - bl.a. TDC og Region H - har forladt det.
Nu skal det være slut med i alle tilfælde at kunne sige nej:
»Der kan jo være virksomheder, som er så vigtige for samfundet, at man ikke kan tåle, at de bliver sat ud af funktion. Vi har en væsentlig samfundsinteresse i, at man kan påbyde disse virksomheder at blive tilsluttet,« siger forsvarsminister Claus Hjort Frederiksen (V) DR.
Til gengæld er man gået væk fra muligheden for at tvangsinstallere overvågningssoftware helt ned på pc-niveau.
CFCS har ellers længe udtrykt sit klare ønske om at kigge dybere ned i it-systemerne end på netværksniveau:
»Det [er] ikke er nok kun at kigge på netværk, for det er krypteret. Derfor vil vi også gerne se på det, som foregår inde i maskinerne,« sagde Mille Østerlund, der er chef for Rådgivning og Akkreditering i Center for Cybersikkerhed, CFCS, for et år siden på Dansk IT’s konference Offentlig Digitalisering for i Aarhus.
Det første lovudkast fra regeringen, der blev udsendt i starten af året, fulgte naturligt i forlængelse af den udtalelse - og ville give Center for Cybersikkerhed mulighed for at tvangsplacere denne såkaldte sikkerhedssoftware i samfundsvigtige virksomheders servere og interne netværk.
Udspillet fik dog bl.a. DI til at råbe skarpt op, for tiltaget ville ifølge den store magtfulde erhvervsorganisation betyde tapning af bl.a. dybt fortrolige forretningsaftaler, patenter og børsfølsomme til efterretningstjenesten – hvilket kunne skabe uklarhed for internationale virksomheder om beskyttelsen af data i Danmark, lød det fra DI:
»Vores virksomheder skal kunne forklare i andre lande, hvad det er for en type overvågning der foregår i Danmark. Det bliver ikke simpelt for virksomhederne, og det kan påvirke muligheden for at garantere en vis form for sikkerhed over for en kunde eller virksomhed i et andet land. Hvad sker der med deres data, når de kommer til Danmark?« lød kritikken fra Lars Frelle-Petersen, der er direktør med ansvar for digitalisering i DI.
Nu er ideen om tvangsanbringelse af overvågningssoftware på server- og pc-niveau skrinlagt.
»Muligheden for at give påbud om tilslutning ændres, således at der ikke kan gives påbud om installation af sikkerhedssoftware,« lyder det i den politiske aftale.
Men afskriver sig dog ikke helt at CFCS kan aftale sig frem til en installation af overvågningssoftware på enkelstående pc'er:
»En yderligere nyskabelse er, at Center for Cybersikkerheds nuværende monitorering af internetforbindelserne kan suppleres af sikkerhedssoftware, der installeres på f.eks. pc’er og servere. Dermed får centeret mulighed for at opdage cyberangreb langt tidligere, også selv om angrebsværktøjerne er krypterede.«
Sandsynligvis for også at imødegå kritikken af, at staten i form af Center for Cybersikkerhed har næsen for langt nede i private forhold bliver afrapportering efter sikkerhedstekniske undersøgelser anonymiserede, og oplysninger om identiteten på medarbejdere, der f.eks. har begået et sikkerhedsbrud, vil ikke kunne udleveres fra Center for Cybersikkerhed.
Løfte om ikke at gå it-branchen i bedene
Den sidste vigtige punkt i den nye politiske aftale er, at Center for Cybersikkerhed får mulighed for at gennemføre forebyggende sikkerhedstekniske undersøgelser, hvor centeret – efter aftale med den enkelte myndighed eller virksomhed – søger at identificere sårbarheder og vurdere robustheden af it-systemer, således at sårbarhederne ikke først opdages, når de udnyttes af en ondsindet hacker.
Aftaleparterne har samtidig forsøgt at imødegå kritik af, at CFCS kommmer til at spille en for stor rolle i it-sikkerhedsarbejdet også i erhvervslivet - som ellers er tiltænkt den privat it-sikkerhedsbranche - og 'hæfter sig ved, at tiltagene i lovforslaget – herunder den forventede forøgelse af antallet af virksomheder, der er tilsluttet Center for Cybersikkerheds netsikkerhedstjeneste – hverken kan eller skal erstatte de sikkerhedsløsninger, som udbydes på det private marked.'
Center for Cybersikkerheds ydelser giver et ekstra lag af sikkerhed, men myndigheder og virksomheder vil fortsat have behov for kommercielle sikkerhedsløsninger, lyder det.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
