Telebranchen raser over lovforslag om flere - og diffuse - beføjelser til Center for Cybersikkerhed

Regeringen er bekymret for stats- og industrispionage. Derfor er der lagt op til, at teleudbyderne kan tvinges til at etablere 'konkrete foranstaltninger' for at 'sikre informationssikkerheden'. »Elastik i metermål,« raser telebranchen

Et netop fremsat lovforslag fra forsvarsminister Peter Christensen (V), der giver øgede beføjelser til Center for Cybersikkerhed, møder kritik fra teleoperatørernes brancheorganisation, Teleindustrien.

Lovforslaget Lov om net- og informationssikkerhed (PDF) er en genfremsættelse af et lovforslag fra maj 2015, der bortfaldt på grund af valgudskrivelsen.

Direktør i Teleindustrien Jakob Willer har tidligere forholdt stillet sig kritisk til et udkast til lovforslaget i april. Og den kritik består.

Læs også: Teleindustrien: CFCS-lovforslag åbner ladeport for uforudsigelige myndighedskrav

Da Version2 talte med Willer i april i år om det daværende lovudkast, var der særligt to elementer, han fandt problematisk.

Det ene var paragraf 3 stk 3.

Her står:

»Såfremt det er af væsentlig samfundsmæssig betydning, kan Center for Cybersikkerhed påbyde udbydere af offentligt tilgængelige net og tjenester at træffe konkrete foranstaltninger med henblik på at sikre informationssikkerheden i offentligt tilgængelige net og tjenester. Centeret fastsætter nærmere regler herom.«

Det er endnu ret upræcist beskrevet, hvad Center for Cybersikkerhed kan kræve, men det fremgår af bemærkningerne til lovforslaget, at indgrebet f.eks. kan ske, hvis en 'udbyder har valgt at benytte software, som konkret vurderes at udgøre en trussel mod informationssikkerheden.' I det tilfælde kan centeret stille krav om 'risikostyring'.

Forsvarsministeriet er ifølge bemærkningerne simpelt hen bekymrede for, at adgang til kommunikationssystemer kan udnyttes til 'industrispionage og spionage mod myndigheder og personer. Desuden kan der være en risiko for, at adgangen til telenettet f.eks. i en krisesituation kan udnyttes til at påvirke tilgængeligheden af den samfundsvigtige IKT-infrastruktur,' lyder det.

Ud over paragraf 3, stk. 3 er der stk. 2 under paragraf 4, hvor det fremgår, at der kan stilles krav om, at udbyderne skal indsende et endeligt aftaleudkast til Center for Cybersikkerhed umiddelbart forud for indgåelse af leverandøraftaler, og at aftalen først kan indgås op til 10 arbejdsdage efter centerets modtagelse af dette udkast.

Telebranche: Det er en blankocheck

Begge dele står der stadig, og det er no-go set med Teleindustriens øjne. I relation til formuleringen i paragraf 3 stk. 3 om, at CFCS skal fastsætte nærmere regler, siger Jakob Willer:

»Det er en blankocheck i forhold til, hvad de kan stille krav om. Det er det, vi frygter: Hvad kan de stille krav om? Og hvad kan vi vurdere har samfundsmæssig betydning? Det er jo elastik i metermål, der ligger i den formulering.«

I forhold til standstill-perioden på op til 10 arbejdsdage, hvor et selskab skal vente på en tilbagemelding fra CFCS, før en aftale kan indgås, siger Willer:

»Det er dybt problematisk for selskaber, der skal agere på et kommercielt marked.«

Jakob Willer mener, at de administrative byrder som følge af lovforslaget kan være enorme.

»Vi er meget kritiske over for det her forslag. Og sidste gang, det blev fremsat, nåede udvalget (forsvarsudvalget, red.) at stille en lang række spørgsmål til det. Og vi håber, de forslag vil blive rejst igen under behandlingen af dette lovforslag, så vi kan få belyst, hvad det her egentlig vil have af konsekvenser. For det mangler vi virkelig at få belyst.«

Oprindeligt udkast skabte bred bekymring

Et tidligt udkast til Lovforslaget blev i sin tid lækket af Version2-blogger Poul-Henning Kamp tilbage i december 2014. Og dengang vakte det en del furore blandt privacy-bekymrede.

Blandt andet fordi det af lovforslaget, i den ordlyd, Poul-Henning Kamp offentliggjorde, fremgik, at CFCS alene ved fremvisning af legitimation - og altså uden retskendelse - skulle have adgang til udbyderes lokaliteter med henblik på indsamling af oplysninger.

Læs også: Omstridt lovforslag om øgede beføjelser til Center for Cybersikkerhed i høring i ny udgave

Endvidere fremgik det af det lækkede udkast, at udbyderen skal sikre, at CFCS efter anmodning kan få adgang til teleinfrastrukturen.

Begge dele gav blandt andet næstformand for IT-Politisk Forening Jesper Lund anledning til bekymring for, at borgerne på den måde kunne overvåges uden retskendelse via teleoperatørernes infrastruktur.

Formuleringerne er siden blevet ændret. Også i relation til lovforslaget, der blev fremsat i maj.

Og i forhold til det nuværende lovforslag har Jesper Lund derfor ikke noget at udsætte i privacy-sammenhæng. Han forstår dog godt, hvis telebranchen er lorne over de tilbageværende formuleringer:

»Jeg har forståelse for deres bekymringer i forhold til, at det bliver meget bureaukratisk og potentielt begrænsende for den daglige drift af teleselskabet,« siger Jesper Lund og fortsætter:

»Med de præciseringer, der er lavet i lovforslaget, i forhold til, at der hverken er adgang til metadata om kommunikationen eller indholdet af kommunikationen, så er det ikke os, der er i klemme her.«

I relation til det aktuelle lovforslag oplyser Center for Cybersikkerhed via centrets hjemmeside, at 'Lovforslaget er et initiativ i den nationale strategi for cyber- og informationssikkerhed og har til formål at styrke informationssikkerheden i telesektoren og dermed beskytte danske borgeres, virksomheders og myndigheders oplysninger.'

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"sikre informationssikkerheden i offentligt tilgængelige net og tjenester"

Hvad betyder det?

Kan det f.eks. betyde, at CFCS skal sikres adgang til at læse med, således at det ikke er tilladt at kryptere (det kan jeg nu i forvejen ikke finde ud af :-( )?

Eller er det noget helt andet, der menes?

Fra http://www.fmn.dk/nyheder/Documents/National-strategi-for-cyber-og-infor... har jeg denne definition:
"Informationssikkerhed: Informationssikkerhed er en bred betegnelse for de samlede foranstaltninger til at sikre informationer i forhold til fortrolighed, integritet (ændring af data) og tilgængelighed. I arbejdet indgår blandt andet organisering af sikkerhedsarbejdet, påvirkning af adfærd, processer for behandling af data, styring af leverandører samt tekniske sikringsforanstaltninger."

Jeg synes bare ikke, jeg bliver spor klogere. Det lyder som et begreb, der er opfundet netop til at "tale sort" om, hvad det egentligt er, man har i sinde - hvad f..... betyder det?

Karsten Nyblad

Der er jo ikke megen tvivl om at politikkerne frygter udstyr leveret af Kina. Sådant udstyr kunne dels være udstyret med skjult software til overvågning, dels være udstyret med malware, således at vores telenet ophørte med at virke på et tidspunkt, der passer Kina. Kunne denne lov være vent mod Kina og være et slet skjult initiativ til at holde Kina ude af vores telemarked?

Cristian Ambæk

Flere instanser tilknyttet staten og eller kritisk infrastruktur bliver kritiseret op og ned.
http://www.version2.dk/artikel/energinetdk-om-skarp-kritik-af-it-sikkerh...
http://www.version2.dk/artikel/rigsrevisionen-statslige-politidata-og-su...
http://www.version2.dk/artikel/statens-it-efter-rigsrevisionskritik-der-...

Udover alt det vi i forvejen ved med kommuner der smider CPR numre ud på nettet og så videre......

Og så sidder CFCS i baggrunden og råber, VI SKAL KUNNE OVERVÅGE ALLE ANDRE!

Ville det ikke være relevant at få styr på statens infrastruktur, det vi kalder kritisk infrastruktur før man begynder at rejse sablen mod andre f.eks. Teleindustrien?

Der er jo ikke megen tvivl om at politikkerne frygter udstyr leveret af Kina. Sådant udstyr kunne dels være udstyret med skjult software til overvågning, dels være udstyret med malware, således at vores telenet ophørte med at virke på et tidspunkt

Du har større grund til at være bange for den danske stat her og nu, end et land som Kina eller USA. Der går nok ikke længe før nogle får en åbenbaring og tænker "krypteret data? ........ Lad os da for pokker sende alt den trafik igennem vores egne servere først, samt udlevering af alle private nøgler. Og hvis vi ikke får det så bål, brand, BOMB!, :lyden af jager fly:, :lyden af hunde der gøer:"

Hvorfor er det altid kina vi skal være så bange for, Der er allerede tons vis af amerikansk IT i omløb og de er gentagende gange blevet taget i at spioner, både politisk og økonomisk.

Styr masserne med frygt og dårlig information.

Karsten Nyblad

Hvorfor er det altid kina vi skal være så bange for, Der er allerede tons vis af amerikansk IT i omløb og de er gentagende gange blevet taget i at spioner, både politisk og økonomisk.


Så sandt så sandt. Problemet er bare, at vores politikere har opgivet at gøre noget ved overvågningen fra USA og lader vores efterretningstjenester samarbejde med dem. Derfor er lovforslaget næppe rette mod USA.

Kristian Sørensen

Hvis man gerne vil have sine servere og sine data i frem for statslige snushaner, hvilke lande er så bedst at flytte sin hosting til?

For umiddelbart virker udflytning af mest muligt til et andet land med en højere respekt for retssikkerhed og datasikkerhed, som den mest rationelle reaktion på alle disse se-og-snage tiltag fra den danske stats side.

Bent Jensen

Måske ikke Island, når man tænker på de tætte bånd til USA.

Hvis i ikke giver adgang til fiber og data (fisk), så lukker vi Luftbassen, eller var det omvendt :-)
Men når afhængeheden mellem partener er så store, også politisk ud af til, så arbejde de sikkert også sammen, som UK og andre slyngelstater.

Nicolai Larsen

Hvis man gerne vil have sine servere og sine data i frem for statslige snushaner, hvilke lande er så bedst at flytte sin hosting til?

Det eneste tidspunkt hvor dine data er interessante for "statslige snushaner", er vel hvis du foretager dig ulovlige handlinger? Hvis det er fordi du føler du er en VIP, eller på anden måde en "celebrity", med interessante private data, skal du jo nok nærmere frygte aktiviteter fra medarbejderne hos dit hosting selskab, din ISP, dine "venner", din bank osv osv. :)

For umiddelbart virker udflytning af mest muligt til et andet land med en højere respekt for retssikkerhed og datasikkerhed, som den mest rationelle reaktion på alle disse se-og-snage tiltag fra den danske stats side.

Så længe du ikke laver ulovlige ting, er den danske retssikkerhed og datasikkerhed (afhængig af din ISP og hosting udbyder) i top. Du kan dog finde steder i verden, hvor dine data er endnu mere "i fred", dog skyldes det ikke respekt for retssikkerheden, nok snarere tværtimod. I visse lande er de så ligeglade med retssikkerheden at dine data er helt i fred, uanset hvilke kriminelle aktiviteter du har gang i.

Omvendt kan det også være, at du bare stærkt overdriver i din kommentar, og i det tilfælde vil ulemperne ved at skifte til et "skummelt" land nok overstige fordelene. :)

Nicolai Larsen

Hvad betyder det?

Vel bare noget så "kedeligt" som CIA trekanten, ikke at forveksle med efterretningstjenesten i USA:

http://it.med.miami.edu/x904.xml

Der er i hvert fald ingen grund til at lede efter spøgelser.

Telebranchen "raser" jo kun fordi de frygter et fald i deres indtjening. Hvis samme tiltag havde øget deres indtjening, havde de rost forslaget. Det skal man ikke tage fejl af, - men det ser ud til at en del andre hoppede på limpinden.

Malcolm Xander

"Måske ikke Island, når man tænker på de tætte bånd til USA."
Måske ikke hvis serveren/siden har fokus på det amerikanske marked. Men Island har nogle veltænkte love til beskyttelse af persondata på kunder af diverse tjenester, blandt andet hosting. Desuden kræver flere af udbyderne ikke andet end en gyldig email-adresse og betaling via Bitcoins.
Derfor kan man selvfølgelig stadig spores, så man skal holde sig til islandske love, som dog har stor fokus på ytringsfrihed.

Danmark og USA har et bredt samarbejde, og man kunne forestille sig at Islands- og Danmarks myndigheder også har et betydeligt bånd.

Så må manden jo flytte sine servere til de mere lyssky udbydere i Rusland, Ukraine, Kina, Libanon, Rumænien e.l.
Det kan dog ikke være rigtigt at dette vil blive en nødvendighed, men med FE's ry for at have begrænset transparenthed, er jeg nervøs for at CFCS's reelle beføjelser og råderum vil være os ukendt i sidste ende.

Lars Bjerregaard

IT og tele er civile anliggender og har intet at gøre under forsvarsministeriet. Men det er vel hvad man får når man, som Danmark, er et "9-eyes" land. Yikes! Lav noget STØJ hvis du også er træt af overvågning, militariseringen af Internettet og samfundet som sådan.

Nicolai Larsen

Det kan dog ikke være rigtigt at dette vil blive en nødvendighed, men med FE's ry for at have begrænset transparenthed, er jeg nervøs for at CFCS's reelle beføjelser og råderum vil være os ukendt i sidste ende.

Har det nogensinde været anderledes? Vil det nogensinde blive anderledes? Og ville der reelt være en fordel i en transparent efterretningstjeneste? Og selvom FE var transparent, kunne man så nogensinde være sikker på at der ikke var noget ukendt? Har du eksempler på andre efterretningstjenester, og deres underliggende organer, som er transparente? Og kan du dokumentere at de, trods deres transparens, ikke skjuler noget?

Nej, vel. Ordet "efterretningstjeneste" - ligger det ikke ligesom implicit at der er begrænsninger for transparensen hvis det skal have en effekt?

Men hvis det er det eneste du er nervøs for, så ser dit liv faktisk ikke så slemt ud. Jeg tør godt æde en hat på, at FE's, herunder CFCS, eventuel manglende, transparens ikke vil give dig problemer, og at du i højere grad skal være nervøs for infektioner på sygehusene, multiresistente bakterier, diabetes 2, blodpropper, radikalisering, fødevaremangel, gadevold, indbrud, trafikulykker m.v.

Nicolai Larsen

IT og tele er civile anliggender og har intet at gøre under forsvarsministeriet. Men det er vel hvad man får når man, som Danmark, er et "9-eyes" land. Yikes! Lav noget STØJ hvis du også er træt af overvågning, militariseringen af Internettet og samfundet som sådan.

Er du én af de få personer der slet ikke er klar over, at der føres "krig" på internettet? Og at tele og IT er fremtidens "våben"? Ligesom civil infrastruktur indgår i militære planer og beredskab, går IT og tele det selvfølgelig også - så adskillelsen er ikke så klar som du giver udtryk for.

Den eneste grund til at du og jeg kan sidde trygt og sikkert i Danmark, og anvende internettet, skyldes bl.a. de foranstaltninger du brokker dig over.

Bent Jensen

Den eneste grund til at du og jeg kan sidde trygt og sikkert i Danmark, og anvende internettet, skyldes bl.a. de foranstaltninger du brokker dig over

Som vores indgriben i Irak, Libyen og Afghanistan , der startet den nuværende flygtninge krise ?

Man kan ikke bare bombe her og der og så tror at man er færdig, prisen og indsatten er meget højere.
Der står stadig Amerikanske soldater i Tyskland, og kender mange gamle Dansker der er godt tilfreds med det. Der fernis Tyskerene har fået, skal være meget tyk, og det har ind til nu taget 70 år.
Mindst den tid vi også skulle have været i de andre lande, med soldater, styring og økonomisk støtte, hvis vi menet noget med det.

Men hvis du mener det er krig på Internettet, så mener du uden at den er erklæret, at vi skal sætte vores basis menneskerettigheder, som brevhemmelighed og retten til privatliv over styr. Så har vi da allerede tabt den krig.

Hvis man gerne vil have sin data for sig selv, så brug stærk kryptering, VPN kanaler og kryptere alle dokumenter enkeltvis, og brug ikke service fra nogen ude i byen = Brug ikke nogen form for terminaler og Internet adgang, hvor du ikke er sikkert på at din data er krypteret inden du forlader huset. Send også kun mail krypteret, og .....

Og måske mest vigtigt, hvis du meget gerne vil skjule din personlige færden, som Whistleblower så er et gammeldags brev eller personlig kontakt uden nogen elektronisk dismser som skal være hjemme. Så må man komme frem til mødested uden kreditkort, bil og væk fra overvågningskamera.

Lars Bjerregaard

Er du én af de få personer der slet ikke er klar over, at der føres "krig" på internettet? Og at tele og IT er fremtidens "våben"?


Jeg er så udemærket klar over det, ligesom jeg er ganske klar over, at der er folk (militære og industri) der er helt våde i bukserne for, at vi da helt klart skal eskallere krig på nettet. Og det er defor jeg protesterer, for det ønsker jeg ikke. Det nytter at protestere, hvis der er en udvikling man ikke ønsker. F.eks. har vi hverken atomkraft eller atomvåben i Danmark. Det er muligt at du synes at det er en god ide, at det er "fremtidens våben", jeg gør ikke, og det er der heldigvis mange andre som ikke gør.

Ligesom civil infrastruktur indgår i militære planer og beredskab, går IT og tele det selvfølgelig også - så adskillelsen er ikke så klar som du giver udtryk for.


Stråmand. Veje og broer indgår også i beredskabet, det betyder ikke at de hører til under forsvarsministeriet. Jeg gentager: IT og tele hører til under civil kontrol og administration, ikke militær.

Den eneste grund til at du og jeg kan sidde trygt og sikkert i Danmark, og anvende internettet, skyldes bl.a. de foranstaltninger du brokker dig over.


Arbejder du i forsvarets PR-tjeneste? For jeg er sikker på, at det er præcis den historie de gerne vil sælge. Det er også en stor fed løgn. Jo mere militæret blander sig på nettet, jo mere usikkert bliver det. De giver ikke en fis for din og min sikkerhed på nettet eller foran computeren, tværtimod. De køber og udvikler f.eks. aktivt exploits som undergraver din og min sikkerhed. Læs nogen af dokumenterne som Snowden fik frigivet, det er højst oplysende.

Steen Larsen

Nu skal vi passe lidt på vores tin-foil hat!

Set i et andet lys er paragraf 3 stk 3 jo lige netop det mange herinde efterlyser for at øge datasikkerheden, beskyttelsen af borgernes private data og ultimativt Danmarks suverænitet.

Jeg synes det er en god ide at CFCS kan påbyde leverandører af den kritiske nationale infrastruktur at implementere nogle rimelige sikkerhedsforanstaltninger. Det er jo det der skal til for at gøre noget ved Danmarks mildt sagt meget mangelfulde sikkerhedsniveau! Det er iøvrigt helt normalt indenfor lovgivningen at f.eks. fødevaremyndigheder kan påbyde fødevarebranchen at implementere rimelige standarder, flymyndighederne, brændvæsnet vedr. brandsikring, etc. etc.

For at gøre alle glade kunne man måske tilføje en sætning til paragraffen om at kravet ikke kan tvinge nogle til at udlevere de kerne data som systemet behandler.

Men ja, giv myndighederne lov til at påbyde at visse minimale sikkerhedsstandarder skal implementeres! Bøder og fængsel til ledelsen hvis kravene ikke efterleves. Sikkerheden bliver ikke taget seriøst af ledelsen før dette sker.

Mvh
Steen

Christian Nobel

Set i et andet lys er paragraf 3 stk 3 jo lige netop det mange herinde efterlyser for at øge datasikkerheden, beskyttelsen af borgernes private data og ultimativt Danmarks suverænitet.

Og hvorfor skal sikring af borgenes private data være underlagt krigsministeriet?

Når man tager in mente at at FE (og dermed også CFCuS (u for uskikkerhed)) nu får tilført en halv milliard til aktiv krigsførelse:

http://www.version2.dk/artikel/danmark-ruster-sig-til-udfoere-cyberangre...

så er der altså noget der klinger hult.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder