Gæstebloggen

Jeg vil nu iføre mig sørgebind: L215 om Center for Cybersikkerhed, CFCS, blev vedtaget i denne uge

I denne artikel kommer jeg ind på bemærkninger til L 215 Forslag til lov om ændring af lov om Center for Cybersikkerhed (CFCS), hvad der er vedtaget, hvad der er ændret i forslaget der blev vedtaget, hvordan jeg ser det, hvad CFCS kan med den nye lov, uligheder og klagemuligheder.

Af Mette Nikander, ejer og adm. direktør i it-sikkerhedsvirksomheden, C-Cure Illustration: Privatfoto

Væsentligt som udgangspunkt er, at loven ikke definerer, hvad der er samfundsvigtigt.

Regeringen (Venstre, Liberal Alliance og Det Konservative Folkeparti), Socialdemokratiet, Dansk Folkeparti og Radikale Venstre indgik d. 27. februar 2019 en politisk aftale om lovforslaget, som er et led i udmøntningen af den nationale strategi for cyber- og informationssikkerhed.

Så allerede der var vi prisgivet. Forslaget blev vedtaget torsdag i denne uge. For stemte 82 (S, DF, V, LA, RV og KF), imod stemte 17 (EL, ALT og SF), der indstillede lovforslaget til forkastelse.

Følgende er at finde i bemærkninger til forslaget:

(https://www.ft.dk/ripdf/samling/20181/lovforslag/l215/20181_l215_som_fre... )

1) 3.1.1: ultimo 2018 er der 60 myndigheder og virksomheder tilsluttet (til CFCS netsikkerhedstjeneste eller sensornetværk, red.). Min kommentar: Ikke alle betaler for det.

2) 3.2.2: En udvidelse af Center for Cybersikkerheds kompetencer til også at omfatte et aktivt cyberforsvar, vurderes ikke at ville påvirke det private marked for it-sikkerhedsydelser negativt. Den sikkerhedsløsning, som centeret stiller til rådighed. Netsikkerhedstjenesten, er således efterretningsbaseret, og kommercielle udbydere på markedet kan ikke tilbyde en tilsvarende løsning. Min kommentar: Det er decideret ukorrekt. Netsikkerhedstjenesten markedsføres via brochurer og hjemmeside og er prissat…således i et marked hvor også den private sektor udbyder løsninger.

3) 3.2.3: Tilslutning til det aktive cyberforsvar vil altid være frivillig for myndigheder og virksomheder, der således på baggrund af information om systemets funktionalitet og risikoen for fejl vil kunne tage stilling til, om de ønsker at blive tilsluttet.

4) 3.3.3.1: Det foreslås, at det nuværende hjemmelsgrundlag for Center for Cybersikkerhed udvides til også at omfatte monitorering af lokale enheder. Min kommentar: det er ikke lykkedes at finde noget sted der direkte omtaler muligheden for at forhindre overvågning internt! 3.3.3.1 i bemærkningerne er et direkte citat!

Tilpasningen af lovforslaget fra inden høring og til endelig vedtagelse er således:

I ændringsforlagets paragraf 3 stk. 4 er der en tilføjelse, i det følgende markeret med kursiv:

Stk. 4. Center for Cybersikkerhed kan i særlige tilfælde påbyde virksomheder, der har særlig samfundsvigtig karakter, og regioner og kommuner at blive tilsluttet netsikkerhedstjenesten med henblik på monitorering af netværkskommunikation. Påbuddet kan kun omfatte de dele af virksomheden, regionen eller kommunen, der har en væsentlig betydning for Danmarks kritiske infrastruktur. Center for Cybersikkerhed skal mindst hvert halve år vurdere, om et meddelt påbud skal opretholdes.

Min kommentar: Det er fortsat ikke forklaret hvad der defineres som samfundsvigtig

Sådan ser jeg det

Der vil således nu blive opsat prober, samt i nogle tilfælde installation af sikkerhedssoftware for overvågning af stationære data. Der vil således både være sager med tvungen tilkobling til Netsikkerhedstjenesten og for de der måtte vælge det frivilligt, kan omkostningen være Kr. 3-400.000,- men nogle vil kunne få det gratis.

Læs også: CFCS svarer på lov-bekymringer: Intet påbud om adgang til stationære data

Hvis virksomheden påbydes tilslutning, vil overvågningen blive tilsluttet hemmeligt mellem parterne. Vi vil som borgere ikke kunne se eller blive informeret, om hvor der er etableret overvågning.

Det betyder at hvis Microsoft, TDC, Telia, Stofa, Nianet, Dansk KabelTV, Facebook m.fl. udvælges til at få opsat prober, så vil vi ikke få det at vide. Læs længere nede mere om hvad CFCS kan med loven i hånden.

Ved en fortsat placering af CFCS under Forsvaret kan GDPR, Databeskyttelsesloven og øvrige grundlæggende rettigheder for borgerne, tilsidesættes, for CFCS under Forsvaret for Forsvarets Efterretningstjeneste er ikke omfattet af persondataforordningen.

Loven sigter mod afskaffelse af meddelelseshemmeligheden og har forrang for Grundlovens paragraf 72. ”Boligen er ukrænkelig. Husundersøgelse, beslaglæggelse og undersøgelse af breve og andre papirer samt brud på post-, telegraf- og telefonhemmeligheden må, hvor ingen lov hjemler en særegen undtagelse, alene ske efter en retskendelse.”

CFCS-loven er dermed netop en undtagelse, og Grundloven er dermed sat ud af kraft! (Det er ellers netop med reference til Grundlovens ukrænkelighed, at forslaget er vedtaget. Det var en stor del af forklaringen til forslaget at Grundloven trådte i stedet for den almene meddelelses hemmelighed.

Vi er desværre som borgere vidner til at vores politikere er ført bag lyset af et meget ivrigt forsvar. Det lader sig gøre som følge af politikernes manglende vidensgrundlag og en manglende tillid til fagfolk udenfor Forsvaret.

Den manglende tillid undrer mig, for det er primært fra det professionelle erhvervsliv at cybersikkerhedsløsningerne er fostret i de sidste 30 år og det er der de stærkeste kompetencer sidder.

Der er en bemærkelsesværdig diskrepans mellem Forsvarets og sikkerhedsindustriens trusselsvurderinger. Sikkerhedsindustrien har prober opsat over hele verden i alle typer miljøer og alligevel kan sikkerhedsindustrien ikke samtykke til det i øvrigt udokumenterede trusselbillede, som Forsvaret forsøger at tegne.

Et trusselbillede der anvendes som forklaring på at man nu skal have en lov der giver alt for vide muligheder for overvågning. GDPR tilsidesættes og borgere, medarbejdere og samarbejdspartnere til virksomheder der får opsat prober, vil ikke blive informeret, ”for det er jo fortroligt”. Den Danske Stat bliver med denne lov at sammenligne med en militærstat.

Læs også: Leder: Militær tvangsovervågning hører ikke hjemme i DK

Lige nu er det en fordel for staten at borgerne ikke forstår, hvad der er ved at ske og det er vigtigt for staten at loven gennemføres før et valg, hvorfor ellers nogle politikere kan bruge netop lovforslaget i deres valgkamp.

Den generelle digitale uddannelse af borgerne og politikerne ignoreres til fordel for denne forfærdelige dagsorden.

Jeg undrer mig stærkt over, at man ikke placerer CFCS udenfor Forsvaret, men måske Danmark har solgt sig selv helt ud, ved sit medlemskab af NATO.

Et tværsektorialt og tværfagligt samarbejde,- hvor forskning, undervisning, sikkerhedsindustri, jurister og revisorer, Forsvaret, politiet m.fl. kan indgå vil langt være at foretrække og vil understøtte en stærk tjeneste udenfor CFCS.

Det vil skabe den nødvendige åbenhed og tryghed der skal være. Man kunne påbyde virksomheder at etablere prober og selv føre logs m.v. og jovist så vil der være få situationer, hvor der ikke skal meldes åbent ud, når det vitterligt handler om ”rigets sikkerhed” men i de få situationer, kunne man så etablere et kriseberedskab og en eskalationsmulighed til noget lignende ”undtagelsestilstand”.

Det kan CFCS under den nye lov

Måden man vil afgøre, hvem der skal tilsluttes, vil være efter om det er en ”samfundvigtige” virksomheder. Men hvad er udover f.eks. energi og sundhed samfundvigtigt? Vores login til offentlige tjenester? Internettjenester? Softwareplatforme? Hvad der er samfundsvigtigt afgøres helt af CFCS.

Ifølge lovforslaget § 4 fremgår det at CFCSs uden retskendelse vil kunne få adgang til trafikdata, pakkedata og stationære data der kommer fra myndigheder og virksomheder, der er tilsluttet netsikkerhedstjenesten.

CFCS kan med netsikkerhedstjenesten ved begrundet mistanke om en sikkerhedshændelse, men uden retskendelse, desuden blokere, omdanne eller omdirigere trafikdata og pakkedata hidrørende fra netværk hos myndigheden eller virksomheden, med henblik på at understøtte et højt informationssikkerhedsniveau i samfundet…

Det kan betyde en total massiv overvågning og kontrol med data.

Man har derved fundet et alternativ på telelogningen, som ikke tidligere kunne gennemføres.

Dette lader sig gøre fordi CFCS og FE ikke skal følge forvaltningsloven eller datalovgivningen, herunder GDPR, og samtlige virksomheder og offentlige myndigheder der fungerer som CFCS’ budbringere i netsikkerhedstjenesten er da også undtaget EU persondataforordningen, med henvisning til, at der ”udføres en opgave i samfundets interesse”, der er en af de 6 forskellige grundlæggende præmisser for om persondata lovligt kan behandles i EU.

CFCS får mulighed for at gennemføre såkaldte forbyggende sikkerhedstekniske undersøgelser, hvor man afdækker sårbarheder i en virksomhed eller myndighed.

Det kan F.eks. ske ved simulerede angreb. Disse white hat-hackerangreb vil kunne betyde, at CFCS får adgang til de ansattes private data.

CFCS må gennemføre disse undersøgelser, hvis de ikke er i strid med grundlovens bestemmelser om aflytning af F.eks. mails og teleoplysninger, såkaldte indgreb i meddelelseshemmeligheden. Det kan dog gennemføres, hvor det kan fastslås, at alle data i systemerne ligger inden for myndighedens eller virksomhedens råderet.

CFCS må desuden udføre Social Engineering som F.eks. ved at anvende sociale medier, hvis man vil lave målrettet et angreb mod bestemte medarbejdere.

Det vil i praksis kunne foregå ved, at CFCS indsamler offentligt tilgængelige oplysninger, F.eks. fra avisartikler eller åbne profiler på sociale medier, om medarbejdere.

CFCS har udtalt at de ikke vil opbevare følsomme oplysninger om medarbejderne, herunder oplysninger om politisk overbevisning, seksuelle forhold m.v. men muligheden for at opbevare den type data vil være der.

Ulighed og ingen steder at klage

Hvad gør det ved konkurrencedygtigheden for en virksomhed? Når en efterretningstjeneste der samarbejder med andre landes efterretningstjenester og som dokumenteret af Snowden og andre, handler indbyrdes med data, kan se og tilgå værdifulde og fortrolige informationer?

Måske udenlandske virksomheder og danske iværksættere, vil tænke sig om to gange inden de vælger at etablere sig i Danmark.

Og vil man som virksomhed eller borger klage, hvordan kan man så påvise at overvågning ikke er rimelig og relevant, når man ikke må få indsigt?

Vil man reelt kunne klage, når Tilsynet med Efterretningstjenesterne, som man skal klage til i sidste ende, arbejder under forsvarsministeren, som både er chef for Tilsynet med Efterretningstjenesterne og CFCS?

May the force be with us.....

Relateret indhold

Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Madsen

Det mest oplagte sted at få hackere ansat, er hos CFCS. De får adgang til stort set alt, og et job der, må være såvel enhver hackers, som enhver spions drøm. Pludseligt kan man - endog med lovens velsignelse - manipulere og ændre data. Og se hvad folk laver.

Jeg føler mig allerede hacket.

  • 12
  • 0
Nicolai Nyberg

Et lavpraktisk råd, kunne være at leje sine maskiner / workstations i udlandet og bruge ssh keys til at tilgå dem.

hetzner.de er halvfornuftige på det område.

Vera-crypt på diskene til det, du ikke kan tåle, at andre får fat i.

Kernel-event-logging ved usb-device-attachments.

Jeg har intet ulovligt at skjule - ej heller at vise frem :) Jeg vil gerne holde mine forretningshemmeligheder for mig selv.

  • 12
  • 0
Lasse Mølgaard

Hvor meget af denne overvågning kan man som virksomhed modarbejde ved fx. at bruge krypteret VPN overalt det er muligt internt?

Du kan bruge VPN alle steder du ønsker det.

I grove træk er VPN ikke andet end noget software der kryptere en forbindelse imellem to punkter.

Da jeg gik på Aarhus Universitet blev hele universitetets Wi-Fi netværk og alle tilgængelige Ethernet-stik i væggen betragtet som værende usikker netværk.

Man skulle bruge en Cisco VPN klient For at få adgang til internettet (og ens instituts servere).

Anyway: VPN beskytter kun trafikken imod aflytning imellem de to endpoints, så hvis du vil garantere at ingen kan lytte med når du udveksler filer med en bestemt server, så skal VPN serveren kører på samme server, som du vil udveksle filer med.

Men ville det ikke være lidt overkill?

Scp, ftp over TLS med flere har eksisteret i mange år til filoverførsel. Https til hjemmesider og IMAP/POP3 og SMTP over TLS til at midtage og sende emails. S/MIME hvis du ikke stoler på de involverede mailservere.

Er dette ikke nok?

Især når man kan bruge DANE og DNSSEC til at garantere at ingen har manipuleret med certifikaterne.

  • 1
  • 0
Bjarne Nielsen

Scp, ftp over TLS med flere har eksisteret i mange år til filoverførsel. Https til hjemmesider og IMAP/POP3 og SMTP over TLS til at midtage og sende emails. S/MIME hvis du ikke stoler på de involverede mailservere.

Det er nemmere at skjule, hvem der kommunikerer, med VPN. Der bliver også afsløret mindre om, hvad der bliver kommunikeret. Og metadata (og trafikanalyse) er langt mere interessant end mange tror.

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize