Politistatsloven i høring

Lov om net-og informationssikkerhed
Navnet kunne forlede hr og fru Jensen til at tro at den omhandler beskyttelse af deres data på internettet.
Men intet kunne være mere forkert.

Der er meget fokus på at Center for Cybersikkerhed skal have adgang til alt hvad de peger på.
Men hvem holder øjemed at Center for Cybersikkerhed ikke bliver et værktøj for politistaten.

Det virker som om at to ting bliver blandet gevaldig sammen:
- Det at sikre kritisk infrastruktur virker i en krise.
- Det at give mulighed for at få adgang til person henførende data fra alle andre systemer.
Jeg ser kritisk infrastruktur som EL, Vand, Vej, jernbane og Tele infrastruktur, samt Politiets, Forsvarets, og CPR IT systemer. Det er derfor OK at CfC har flere beføjelser inden for dette område end det at få adgang til data fra facebook.

Jeg ser det som vigtig at de to ting er adskilt i lovgivningen, og at definitionen af kritisk infrastruktur er meget skarp.

Kap 5, §7 betyder vel at udbydere ikke må fortælle at de er blevet pålagt at udlevere data.
Betyder det at vi skal til at have 'Warrant carnaries' som i USA? Jeg mener at firmaer skal have lov til at fortælle hvis de er blevet pålagt at udlevere 'bulk data', samt statistik på hvor ofte de er blevet pålagt at udlevere data efter dommerkendelse.

Visse ting synes jeg ikke giver mening.

I §9 stk 6 og 7 skal Center for Cybersikkerhed give 7 dages varsel inden de kommer væltende ind på et firmaes matrikel, men de behøver ingen dommerkendelse.

Hvis der alligevel skal gå 7 dage fra de får idéen til de kan handle, hvad er så begrundelsen for at de ikke skal have skaffet en dommerkendelse i mellemtiden? At det tager for lang tid kan vel ikke være undskyldningen.

Synes det er så forkert at man tilsidesætter dommerkendelsen flere og flere steder. Hvis det er fordi det er for besværligt at få sig en dommerkendelse, burde man så ikke se på at forenkle processen, istedet for at droppe processen helt.

Det fremgår af regeringsgrundlaget af 3. oktober 2011, ”Et Danmark, der står sammen”,

Ligesom regeringsgrundlaget, det var nästen lige för at jeg fik kaffen galt i halsen over det lille "bon mot" - Jeg mener, et Danmark hvor myndighederne på regeringens foranledning konsekvent angriber borgerne og stikker dem til udenlandske magter kaldes "Et Danmark, der står sammen"!?

Tak, men jeg er ikke med på holdet!

Kap 5, §7 betyder vel at udbydere ikke må fortælle at de er blevet pålagt at udlevere data.

Den paragrgaf handler vel om, hvad CfC må og ikke må.
Hvis f.eks. Vestas hackes er det nok iorden at CfC vælger at undtage informationer fra offentlighedsloven om hacket, der måske fortæller hvad og med hvem, Vestas samarbejder om/med.

Vestas må vel godt annoncere disse informationer vidt og bredt, hvis de vil.

Hvis f.eks. Vestas hackes er det nok iorden at CfC vælger at undtage informationer fra offentlighedsloven om hacket, der måske fortæller hvad og med hvem, Vestas samarbejder om/med.

Jep. De kommer bla. i konflikt med børslovgivning og selskabslovgivning samt andre love der omhandler penge.

Hvad er overhovedet meningen med at give 7 dages varsel, hvis man vil undersøge noget, som er så alvorligt, at man finder det nødvendigt at gå uden om en dommerkendelse?

Det virker som en meget halvhjertet indsats - "Vi tjekker skam - men vi gør det på en måde, så det er så godt som sikkert, at vi ikke finder noget."

Så hellere krav om dommerkendelse, men derefter adgang uden varsel, hvis det er graverende nok til, at man kan få en dommerkendelse.

Eller skal det forstås sådan, at CFC i "milde" tilfælde kan gå uden om dommerkendelse ved at give 7 dages varsel, men i grovere tilfælde kan få adgang uden varsel, men med dommerkendelse?

Hvis der alligevel skal gå 7 dage fra de får idéen til de kan handle, hvad er så begrundelsen for at de ikke skal have skaffet en dommerkendelse i mellemtiden? At det tager for lang tid kan vel ikke være undskyldningen.

CfC er nok interesserede i at kunne foretage dataindsamlinger på et grundlag, der er for spinkelt til at kunne få en dommerkendelse til det. Altså gisninger i stedet for begrundet mistanke. På den måde kan de skyde med spredehagl i stedet, når de vil ramme den ene (forhåbentligt!) skyldige.
Det er vel lidt i trit med NSAs ønske om at få adgang til alle systemer 24/7.

Jeg er nok for naiv, for jeg håber virkelig at der er en anden begrundelse.

Hvad er overhovedet meningen med at give 7 dages varsel, hvis man vil undersøge noget, som er så alvorligt, at man finder det nødvendigt at gå uden om en dommerkendelse?

Det er vel fordi dette er første led i en længere plan.

Først laver vi loven, formuleret på denne sære måde.
CfC & Co sørger så for altid at få en dommerkendelse, så intet forkert rammer mediernes radar.

..Tiden går..1-2år måske , og 'nogen' synes at loven skal 'have et eftersyn'.

Argumentet bliver så:
"Vi kan ligeså godt lade CfC & Co. virke uden dommerkendelse, - for sådan har det jo alligevel virket i praksis uden problemer"

K

Hvis det er fordi det er for besværligt at få sig en dommerkendelse, burde man så ikke se på at forenkle processen, istedet for at droppe processen hel

For at få en dommerkendelse, skal der sikkert være en konkret mistanke med nogen beviser, det er sikkert der for at at det er besværligt for dem at få en dommer kendelse.

Men bare en grund mere til at have kryptering på alt, de må også gerne lave en nøgle så de kan låse op for deres egen kryptering hvis de lyster det. Så bliver der bare krypteret 2 gange.

Andet kan man vist ikke sige til de nye STASI-love.

Nu spørger jeg lige helt ærligt og (lettere forundret over den skingre tone, der finder anvendelse blandt nogle):

Hvem vil pege på konkrete problemer med det fremsatte lovforslag? Jeg er ikke blevet særligt meget klogere ved læsningen af hverken oplæg eller kommentarer.

Sjovt nok kan alle disse problemer findes beskrevet i litteraturen.

Hvor mange af vores lovgivere (eller borgere i al almindelighed) har læst Franz Kafka eller George Orwell ??

En smule tankevirksomhed, ud over det rent teknokratiske, ville klæde lovgiverne.

Start eventuelt her:
http://taenk.dk/sites/taenk.dk/files/bog_overvaagning.pdf

@Rolf og Jens:

Arhmen altså... det er sgu for letkøbt. Jeg efterspørger konkrete problemer med det fremsatte lovforslag - ikke en sang fra de varme lande om George Orwell eller Forbrugerrådets generiske udgivelse.

Igen: Hvad er det konkrete problem eller de konkrete problemer, med det fremsatte lovforslag? Jeg hæfter mig ved at ikke en gang PHK evner at knytte en kommentar an til sin pibende skingre (og faktuelt forkert anvendte) overskrift til dette "indlæg".

Hvad er der helt konkret af problemer i det fremsatte lovforslag?

Hvad er der helt konkret af problemer i det fremsatte lovforslag?

At alt overvågning fra staten skal begræseset og kontrolleres så meget som muligt. De har bevist, at de ikke kan håndtere, at kagedåsen står så de kan nå den selv.

PHK, Hvorfor forbavser det dig at man ikke skal bruge NemID for at læse lovteksten? (- eller er det en dårlig form for ironi)
Det er det folkevalgte folketing, der lovgiver, så der skal ikke være noget hemmeligt der.

PS Du undlader stadig at skimme din tekst for udeladelser.

At alt overvågning fra staten skal begræseset og kontrolleres så meget som muligt. De har bevist, at de ikke kan håndtere, at kagedåsen står så de kan nå den selv.

Hvis CfC ikke har muligheden for at unddrage information udleveret af en virksomhed fra offentlighedsloven, kan man forestille sig at virksomheder vil være tilbageholden med at samarbejde med CfC.

Rasmus:
Nu må jeg blankt erkende, at jeg ikke har orket at kæmpe mig igennem hele lovforslaget, så min kommentar bliver sikkert straks kasseret af dig, eller den er muligvis overflødig i forhold til lovteksten, men jeg forsøger.

For at vende dit spørgsmål om: Hvad ville være galt med at kræve dommerkendelse, men til gengæld droppe kravet om 7 dages varsel? Så ville man både overholde almindelig retssikkerhed og have større chance for at afsløre evt. betænkelige forhold af terrorrelateret karakter?

Det er ligesom lidt omvendt bevisbyrde, at vi andre skal argumentere for, at ganske almindelig retssikkerhed skal overholdes.

Nu må jeg blankt erkende, at jeg ikke har orket at kæmpe mig igennem hele lovforslaget, så min kommentar bliver sikkert straks kasseret af dig, eller den er muligvis overflødig i forhold til lovteksten, men jeg forsøger.

Tak for forsøget - det er oprigtigt ment :)

Jeg synes faktisk din kommentar er væsentligt mere givende end så mange andre hidtil. Jeg blev indledningsvist pikeret over stemplet "Politistatsloven" som jeg synes er ganske vidtrækkende - især den manglende argumentation taget i betragtning. Det skader vel ingenlunde debatten, at den bliver konkret? Principielle holdninger om, at statens overvågning af borgerne skal begrænses mest muligt er som sådan fine nok - det kan man være mere eller mindre enig i. Jeg hælder selv til at være enig, men savner dybere indsigt i, hvor dette lovforslag udfordrer dette princip og retssikkerheden i øvrigt.

Jeg har indtil videre hæftet mig ved betingelsen om "ekstraordinære omstændigheder", samt det, at loven mange steder ikke i sig selv fastsætter praksis, men giver fx CfC myndighed til at fastsætte praksis - og det er vel her, når CfC længere nede ad vejen fastsætter den praksis for overvågning, at der for alvor bliver noget at tale om? Det er den praksis, de får hjemmel til at etablere, der kan være mere eller mindre problematisk?

Rasmus:

Netop! Så er vi måske slet ikke så uenige.

For mig lyder det uendeligt risikabelt at give CFC så ubegrænsede beføjelser, for det er vel så det, man gør? Det alene kan for mig begrunde betegnelsen "Politistat".

Og igen har jeg svært ved at se begrundelsen for ikke at indhente dommerkendelse, for HVIS der skulle være tale om "ekstraordinære omstændigheder", så burde det vel også være muligt at få en dommerkendelse?

"Ekstraordinære omstændigheder" er jo meget vagt og subjektivt - det kan meget let blive til "frit slag og ingen kontrol".

Ib Nørlund (ham fra DKP) skrev engang en populærbog om kybernetik. Han skulle så illustrere et eller andet system og brugte telefonsystemet som eksempel. Der var så en fin tegning, lavet af Herluf Bidstrup, af to mennesker, der talte i telefon. Midt på linjen sad en meget bøs betjent i uniform, med hævet knippel og tændt båndoptager. Måske skulle man finde bogen igen?

§9 stk. 6: "Hvis det er nødvendigt af hensyn til informationssikkerheden, har Center for Cybersikkerhed...adgang til udbyderes forretningslokaler med henblik på at påse overholdelsen af loven og regler"
Det har ikke noget med efterforskning at gøre, derimod med kontrol af at almindelige sikkerhedsprocedurer er overholdt. Svarer lidt til at landbrugskontrollen meddeler at de kommer på besøg om et par dage.

Det har ikke noget med efterforskning at gøre, derimod med kontrol af at almindelige sikkerhedsprocedurer er overholdt. Svarer lidt til at landbrugskontrollen meddeler at de kommer på besøg om et par dage.

Enig, paa det punkt er lovteksten passende afgraenset. De maa tjekke om reglerne bliver overholdt, nichts weiter.

Problemet ligger maaske mere i, at CfC selv bestemmer hvad "reglerne" er. Det er en helt anden problematik end Big Brother.

Det har ikke noget med efterforskning at gøre, derimod med kontrol af at almindelige sikkerhedsprocedurer er overholdt. Svarer lidt til at landbrugskontrollen meddeler at de kommer på besøg om et par dage.

Det var vist stikordet til at hive mit yndlings-antiovervågningseksempel frem: Advarselstrekanten.

I 1977 fik vi en ny færdselslov, som påbød os at stille en advarselstrekant op i visse situationer. Men man gjorde ikke advarselstrekanten til lovpligtigt udstyr i en bil. Dette tilsyneladende paradoks har mange gennem tiden brugt som et eksempel på tåbelig lovgivning.

Men i virkeligheden var det forstandig lovgivning, gennemført af politikere, som kunne deres job. Det blev faktisk diskuteret dengang, om advarselstrekanten skulle gøres til et stykke lovpligtigt udstyr, men man besluttede at lade være. Hvorfor?

Fordi man ikke ønskede at give politiet en udvidet hjemmel til at at kigge i folks bagagerum! Man var klar over, at politiet ville kunne finde på at bruge kontrol af advarselstrekanten som et påskud for at kigge i bagagerummet efter helt andre ting, som de ellers ikke ville have have haft hjemmel til at kigge efter.

Den tankegang er i dag helt væk, når der vedtages ny lovgivning.

Problemet er at loven vil give Forsvarets Efterretningstjeneste og dermed Center for Cybersikkerhed ubegrænset beføjelser til at granske i bl.a. teleoperatørernes og deres leverandørers systemer. Lovudkastet sikrer ikke mod misbrug, og enhver med blot en smule teknisk forstand ved, at når man først er lukket ind i det helligste maskinrum og i centralnervesystemet, så kan der udtrækkes hvad man måtte ønske sig. Efterretningstjenesterne har som bekendt for vane at udveksle mange oplysninger med hinanden. Det er jo det de er sat i verden til. Men husk og tænk bare på den sidste skandalesag, der blev afsløret for et par dage siden, hvor den tyske efterretningstjeneste nu står anklaget for ulovligt at have videregivet oplysninger til NSA. En sag der måske kommer til at medføre efterretningschefens afsked.
Min holdning er derfor at (et nødvendigt) tilsyn med teleoperatørerne, leverandører og virksomheder m.fl., ikke hører under dansk efterretningstjeneste. Husk på at Center for Cybersikkerhed er en del af Forsvarets Efterretningstjenste. Et tilsyn skal ligge ved en civil og uafhængig instans, som er underkastet demokratiets spilleregler og kontrolforanstaltninger.
Bemærk endvidere, at der i næsten hvert afsnit af lovudkastet står noget om kritisk infrastruktur, men at man intet sted kan læse, hvad der forstås ved dette begreb. Center for Cybersikkerhed og FE's trusselsvurderinger omtaler også begrebet, men intet sted defineres det eller forklares det. Center for Cybersikkerhed har nu mere end 2 år efter dets oprettelse ikke gjort sig den ulejligehed at fortælle befolkningen, hvad der skal forstås ved kritisk infrastruktur, men har skrevet et lovudkast, der giver dem uindskrænket beføjelser til sig selv over for teleoperatører m.fl. Det er problemet Rasmus Iversen.