Gæstebloggen

Uden åbenhed, ingen tillid. Uden tillid, ingen data. Uden data, intet internet

Regeringen har fremsat et lovforslag om ændring af lov om Center for Cybersikkerhed (CfC), der i sin nuværende udformning giver CfC under Forsvarets Efterretningstjeneste endnu flere og næsten ubegrænsede beføjelser til vidtgående overvågning af danske virksomheder og den danske befolkning.

Torben Ørting Jørgensen er kontreadmiral Illustration: Privatfoto

Med lovudkastet lægges der op til, at CfC får vidtstrakte beføjelser til at få indsigt i personfølsomme oplysninger, adgang til dybt hemmeligholdte forskningsresultater, forretnings- og bankhemmeligheder m.m.

Der er ingen krav om forudgående dommerkendelse eller andre kontrollerende tiltag.

Beføjelserne bliver givet under en aura af, at hvis man ikke har noget at skjule, så kan man heller ikke have noget imod, at en efterretningstjeneste kigger en over skuldrene og får indsigt i de kommercielle eller videnskabelige aktiviteter danske virksomheder, uddannelsesinstitutioner og deres internationale samarbejdspartnere har med udgangspunkt i digitale netværk eller digitale tjenester.

Forsøg på at lægge låg på debat

Forsvarsminister Claus Hjort Frederiksen latterliggør i vid udstrækning modstandere af lovforslaget, med henvisning til at de er konspirationsteoretikere iført sølvpapirshatte.

Dette forsøg på at lægge låg på en relevant debat om både lovforslaget og ikke mindst CfC rolle er helt ude af trit med den liberalistiske og demokratiske tankegang, Claus Hjort Frederiksens parti hviler på, og hans bestræbelser på latterliggørelse skal i alt fald ikke afholde mig fra at give mit synspunkt til kende.

Udgangspunktet for etableringen af CfC har været frygten for, at fremmede magter undergraver det danske samfund igennem et velorkestreret cyberangreb eller indhenter informationer fra myndigheder eller virksomheder gennem cyberbaseret spionage.

Efter internt rivegilde i centraladministrationen blev det besluttet, at CfC skulle placeres under Forsvarsministeriet i rammen af Forsvarets Efterretningstjeneste.

Grundlaget for denne beslutning har formentlig været, at udsigten til omfattende statslige investeringer på området, så samtidigt kunne medvirke til at puste et meget begrænset dansk forsvarsbudget op, således at gabet til NATO-målsætningen på medlemslandenes forsvarsbudgetter på 2% af BNP blev mindre pinligt, uden man i øvrigt tilførte det egentlige forsvar yderligere midler.

Fokus mod fremmede staters cyberaktivitet

I kraft af den organisatoriske placering er fokus blevet rettet imod fremmede staters aktiviteter på cyberområdet, herunder sikring af statslige områder efter sektoransvarsprincippet, der næppe reflekterer den mest optimale ressourceudnyttelse.

Ikke mindst forsvarsministerens retorik efterlader indtryk af, at udfordringen hovedsageligt kommer fra Rusland og Kina. Det giver også indsatsen på cyberområdet en i al væsentlighed militær og sikkerhedsmæssig karakter.

Og mens alle CfC-bestræbelser synes at have været rettet imod bestræbelserne på at cementere positionen i centraladministrationen, så har det set sløjt ud med konkrete resultater overfor den offentlighed og de virksomheder, det skulle servicere.

Den introverte adfærd, der hidtil har karakteriseret CfC, passer fint til den efterretningsmæssige baggrund, men den sælger ingen billetter hos virksomheder, herunder den underskov af meget kompetente cybersikkerhedsvirksomheder, der er opstået i Danmark, og som CfC med fordel kunne have samarbejdet med og promoveret erhvervsmæssigt.

Lækageproblematik

Det ligger ganske enkelt ikke i en efterretningstjenestes DNA at søge et bredt, transparent og tillidsfuldt samarbejde med alle de aktører, der beskæftiger sig med området i den private sektor. Og det er helt naturligt, og sådan skal det være.

Men at beskytte vores borgere, virksomheder, skoler, universiteter, hospitaler, medicinal industri og shipping hviler på gensidighed, åbenhed og tillid.

Det er endvidere en paradoksal kendsgerning, at de væsentligste problemer, der har været på området vedrørende cybersikkerhed, faktisk er skabt af lækager netop hos de efterretningsmyndigheder, der er sat i verden for at beskytte de vestlige samfunds interesser.

Alle husker den amerikanske efterretningsspecialist Snowdens omfattende offentliggørelse af den overvågning, der blev gennemført af NSA, inklusive offentliggørelse af alle de dokumenter, der gennem denne overvågningsindsats var blevet indsamlet.

Ransomwareangreb

Fra samme amerikanske efterretningstjeneste blev den software udviklet, EternalBlue, der efter endnu en lækage i NSA i modificeret form først blev anvendt af - formentlig - Nordkorea til at iværksætte et enormt globalt ’ransomware’-angreb, og senere blev samme software anvendt af – formentlig - Rusland under navnet NotPetya i forbindelse med det cyberangreb på Ukraine, der bl.a utilsigtet ramte APMM og andre store virksomheder, banker, olieselskaber, medicinalvirksomheder, herunder en række russiske.

På baggrund af disse kendsgerninger kan det næppe undre, at danske virksomheder har været tilbageholdende med at engagere sig i et samarbejde med efterretningsmyndigheder, herunder CfC, der tillige ikke var i stand til at afhjælpe NotPetya-angrebet, og det forlyder, at ingen af de ramte virksomheder modtog nogen form for hjælp fra CfC, men kun anmodninger om at aflevere informationer.

Man overser også, at der i den kommercielle verden kan være problemer med et formaliseret samarbejde mellem efterretningstjenester og de private virksomheder, der ofte har datterselskaber, samarbejdspartnere og kunder over hele verden, herunder også i Kina og Rusland.

Hvis man dertil lægger, at de danske virksomheder og uddannelsesinstitutioner fremover skal acceptere, at CfC uden dommerkendelse og andre formaliteter har direkte adgang til danske virksomheder og uddannelsesinstitutioners digitale kommunikation, så vil det få vidtrækkende og negative konsekvenser for samarbejdet med partnere udenfor Danmark.

Forestiller man sig, at danske virksomheder som en fodnote i al korrespondance med udenlandske virksomheder skal angive, at denne kommunikation uden yderligere formaliteter overvåges af CfC?

Ud over at Danmark kommer til at fremstå som en bananrepublik, så må dette krav anses som et overgreb på almindelige og grundlæggende frihedsrettigheder.

Retorisk felttog

Mens CfC, Forsvarets Efterretningstjeneste og forsvarsministeren selv har indledt et retorisk felttog for at fremhæve truslen fra Rusland og Kina, så har det øvrige samfunds interesser været rettet imod det, der virkeligt er problemet, nemlig den cyber- og hackerkriminalitet, der stjæler vores penge, vores identitet, kreditkort, intellektuelle produktion, digitale ’footprints’ fra os, og som foretager digital afpresning i form af ’ransomware’-angreb, som krypterer virksomheders og den enkeltes information, samt DDoS-angreb, der sætter virksomhedens webadgang ud af spil.

Alt det undergraver vores tillid til hinanden og vores netbaserede virksomhed, hvilket er uhyre uheldigt i en tid, hvor den digitale transformation accelererer.

De kriminelle aktiviteter udgør formentlig 90% af den udfordring, vi står overfor, mens spionage og illegale statslige aktiviteter formentlig udgør 10% af det samlede problemområde.

Imødegåelsen af cyberkriminaliteten forudsætter en langt bredere og samfundsforankret indsats end det, CfC er eksponent for. Skal vi have et godt og robust sikkerhedsmiljø på cyberområdet, så skal der undervises bredt i cybersikkerhed og adfærd på de digitale netværk.

Cybersikkerhed er ikke atomvidenskab, men blot et nyt område, hvor vi skal øge indsatsen hos den enkelte, i virksomheder og institutioner og skabe et frivilligt netværk, som løbende udveksler informationer og ideer, og som sikrer, at der er overensstemmelse med de seneste nye risici på området, og den sikkerhed der matcher.

Cybersikkerhed skal gøres til en folkesag, hvor alle skal føle et konkret medansvar for, at vi opretholder en god og ansvarlig adfærd på de digitale netværk. Vi skal endvidere udnytte de dygtige virksomheder, der også i Danmark gør en indsats for at imødegå cyberkriminalitet og styrke cybersikkerheden.

Cyberkriminalitet er grænseoverskridende

Hertil kommer, at cyberkriminalitet per definition er grænseoverskridende, og at en målrettet indsats for at imødegå de kriminelle forudsætter et bredt politimæssigt internationalt samarbejde, der også omfatter lande, vi normalt ikke samarbejder med, men deler kriminelle med.

En nation som Israel har erkendt, at cybersikkerhed er en bred og omfattende opgave, der ikke kan forankres i en militær efterretningstjeneste.

Vejen til denne erkendelse har ikke været ukompliceret, og der har været magtkampe mellem de forskellige statslige aktører, før den israelske statsminister forankrede organisationen og koordinationen af opgaven under hans eget ressort med en civil myndighed i spidsen.

Det betyder ikke, at Israel har opgivet sine efterretnings-, sikkerhedsmæssige og militære aktiviteter på området. Israel har naturligvis sikret sig kapacitet til både at kunne håndtere offensive og defensive cyberoperationer i rammen af den israelske efterretningstjeneste.

Men den overordnede koordination af indsatsen på det samlede område foregår fra den civile myndighed som den israelske statsminister har pålagt opgaven. Herfra koordineres de samlede israelske samfundsressourcer på området, og her samarbejder både statslige og private virksomheder, universiteter og uddannelsesinstitutioner om at løfte opgaven.

Cybersikkerhed skal gøres til en folkesag

I erkendelse af, at CfC ikke er den rigtige myndighed til at koordinere den samlede indsats på området, kunne vi så ikke med udgangspunkt i det konkrete lovforslag få en egentlig diskussion om, hvorledes vi organisatorisk løfter opgaven med at sikre vores digitale netværk bedst muligt?

Debatten kunne passende tage afsæt i en erkendelse af, at der er tale om en bred samlet indsats, der forudsætter, at cybersikkerhed gøres til en folkesag, der kræver en indsats af alle dele af det danske samfund.

Lad os med lovforslaget få en egentlig debat om, hvorledes vi indretter vores indsats på cyberområdet, således at indsatsen bliver bredt forankret i det danske samfund under inddragelse af alle relevante aktører. Koordinationen af denne indsats skal ligge under en civil myndighed.

Der skal naturligvis i den samlede pakke være en efterretnings-, forsvars- og sikkerhedsmæssig dimension, der fint kan varetages af CfC. Her kan man både håndtere efterretningsindhentning, varsling, defensive såvel som offensive cyberoperationer rettet imod andre stater.

Det kan diskuteres, om CfC ikke retteligt hører under det egentlige forsvar, hvor cyberkrig er blevet endnu en disciplin, der i fremtiden skal kunne håndteres ved siden af de øvrige operationsformer, forsvaret skal kunne beherske.

Samarbejde skal ikke baseres på tvang

Samarbejdet indenfor cyberområdet skal baseres på, at der blandt alle aktører er en grundlæggende positiv holdning til samarbejdet. Samarbejdet skal ikke baseres på hverken tvang eller tilsidesættelse af grundlæggende frihedsrettigheder for hverken den enkelte eller virksomheder eller uddannelsesinstitutioner. Og det virker i alle andre lande.

Indsatsen på området skal adressere alle områder, herunder især de der direkte er udsat for cyberkriminalitet og forsøg på berigelse, afpresning, snyd og bedrag.

Dette indebærer ligeledes, at samarbejdet skal være i stand til indgå i internationale løsninger for at kunne håndtere cyberkriminalitetens grænseoverskridende karakter.

Og så skal man jo til sidst også holde sig for øje, at i takt med den øgede digitalisering og etablering af en ’hyperconnected’ verden så kan Danmark som nation udvikle unikke kompetencer, som kan bruges i at skabe både et dynamisk innovationscenter for digitale start ups, men også som leverandør af nye sikkerhedsløsninger til et stærkt stigende marked, som hungrer efter værktøjer som øger sikkerhed og privacy, og som samtidig er nemt at anvende.

Her har Danmark en stor chance for at etablere et nyt og stort udviklings- og eksportområde, men næppe hvis man har en efterretningstjeneste med som ’sleeping partner’. Det øger næppe troværdigheden i den globale private industri, og slet ikke i disse tider.

Fire løsningsmuligheder

På den baggrund kan der skitseres 4 løsningsmuligheder:

Løsning 1:
I regi af Statsministeriet oprettes med departementschefen som formand, et nationalt strategisk cybersikkerhedsråd bestående af repræsentanter fra det offentlige og private samt forskningsverdenen, et videnscenter og et operativt center med opgave at tilsikre det tvær-sektoriale, nationale og internationale samarbejde.

Løsning 2:
I regi af Statsministeriet oprettes en superstyrelse med en direktør som formand for et nationalt strategisk cybersikkerhedsråd bestående af repræsentanter fra det offentlige og private samt forskningsverdenen, et videnscenter og et operativt center med opgave at tilsikre det tvær-sektoriale, nationale og internationale samarbejde.

Løsning 3:
Etablere et egentligt It- teknologi og cybersikkerhedsministerium med flere styrelser.

Løsning 4:
Udpege Finansministeriet til som primus inter pares-ministerium til at være det koordinerende organ, herunder etablere et nationalt strategisk cybersikkerheds råd bestående af repræsentanter fra det offentlige og private samt forskningsverdenen, et videnscenter og et operativt center med opgave at tilsikre det tværsektoriale, nationale og internationale samarbejde.

I alle løsninger begrænses CfC's opgave til at varetage egentligt efterretningsarbejde, varsling i forhold til fremmede staters aktiviteter på cyberområdet, etablering af en egentlig kapacitet til gennemførelse af offensive og defensive cyberoperationer.

CfC er repræsenteret i de forskellige koordinationsfora nævnt i de forskellige forslag.

Relateret indhold

Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarke Alling

Hej Torben,

Tak for præcis og skarp analyse af CfCS lovforslaget. De, forhåbenligt, mange høringssvar (der er frist 4/2-2019) vil overraske politikerne på Christiansborg om hvilke omfangsrige konsekvenser det nuværende lovforslag har.

i IT-Branchen har vi sammen med Folk & Samfund i efteråret 2018 konkret fremsat et forslag til forsvarsudvalgets medlemmer om netop et råd alá dit punkt 2. Det glædeligt at læse, at vi ikke er de eneste som ser et aktuelt behov for en civil cybermyndighed.

Til paneldebatten forleden til Databeskyttelsesdagen var Nasher Khander selv inde på eksempelvis et reelt ministerirum som svar på bl.a. min bemærkning om at vi behøver større åbenhed fremfor større lukkethed.

John Foley

Gæstebloggeren, Torben Ørting Jørgensen, formår at sætte fingeren på pulsen og forklarer, hvad er op og ned i denne sag. FE og CFCS har gradvist de sidste 3-4 år tiltaget sig beføjelser og magt, der kulmineres ved det nylig fremsatte lovforslag, der gør Danmark til et tvangsovervåget land, hvor samfundet og dets befolkning underkastes love, der uden dommerkendelse og ret til at anke, sætter normale demokratiske spilleregler ud af kraft. Og hvis man tillader sig at være uening med Forsvarsministeren, Claus Hjorth Frederiksen, er man en "konspirationsteoretiker" og en "Sølvhat". Så vidt er det kommet i dansk politik, at en minister, der møder modstand mod sine synespunkter benytter skældsord og bøllemetoder.
Forsvarsministeriet, FE og CFCS må straks fratages retten til at forsætte som hidtil og løsningen har Torben Ørting Jørgensen serveret og formuleret på en særdeles god måde.

John Foley

Hej Bjarke,
Glædeligt at IT-Branchen i lyset af det fremsatte lovforslag vil fortsætte kampen med at få oprettet et civilt cybersikkerheds råd, som foreslået og skitseret på cybersikkerhedshøringen på Christiansborg den 18. september. Men også andre løsningsmuligheder, som fremsat af Torben Ørting Jørgensen, kan bruges. Vigtigst er at alle gode kræfter nu sættes ind på at gøre Danmark til et mere sikkert og bedre samfund, der sætter borgerens krav og behov forrest. Det er ikke er sket med de tiltag vi har set indtil nu, hvor FE og CFCS har tiltaget sig mere og mere magt og næsten ubegrænsede beføjelser. Og tillader man sig at være uenig med Forsvarsminister Claus Hjort Frederiksen, er man en "konspirationsteoretiker" og en "Sølvhat".

John Foley

Fint og forudseende forslag fra Birgitte Hass, direktør for It-Branchen, udsprunget af cyberhøringen på Christiansborg den 18. september 2018. Forslaget ligger godt i tråd med de fire forslag og løsningsmuligheder som Torben Ørting Jørgensen kommer med i sin blog.
Mit spørgsmål er: Hvad nu og hvad er next step?

Bjarne Nielsen

Fint og tankevækkende indlæg.

... kunne medvirke til at puste et meget begrænset dansk forsvarsbudget op, således at gabet til NATO-målsætningen på medlemslandenes forsvarsbudgetter på 2% af BNP blev mindre pinligt ...

Det er udtryk for en præcist så kræmmer-agtigt tilgang, at det nok skal være sandt.

De kriminelle aktiviteter udgør formentlig 90% af den udfordring, vi står overfor, mens spionage og illegale statslige aktiviteter formentlig udgør 10% af det samlede problemområde.

Det må blive et gæt, men det er både klart, at man finder hvad man leder efter, og hvis man har hammer, så ligner alt et søm. Så jeg tænker, at det ikke er helt skævt.

Bekymrende er det også, at meget af det, som foregår end ikke er kriminelt. Det virker som om, at man fra centralt hold bevilger sig selv større og større muligheder, men færre og færre muligheder for indsigt og kontrol. Både ved at lade det private køre ud af en tangent, men sandelig også i embedsværk og politik. Og selvom man prøver at tie det ihjel, så mister man mere og mere legitimitet.

Danmark er på mange måder unik placeret til at være et foregangsland for gode løsninger på svære problemer. Vi har gjort det på andre områder før, og det er der kommer eksporteventyr ud af. Vi burde her kunne vise, hvordan man kan indrette sig forbundet verden på en måde, som både er robust og tillidsfuld. Men lige nu står vi med vores egen kræmmermentalitet og snævertsyn åbenbart i vejen for os selv.

Jesper Frimann

Både IT-sikkerhedsfolk hos CfCS , i det private og det offentlige ved jo godt at forsvarsministerens forslag ikke vil give bedre IT sikkerhed i Danmark.
Der er så mange praktiske problemer i det forslag, at det er svært at vide hvor man skal begynde.

Hvad er SLA'ene på den løsning man kommer med ?
Hvordan er support organisationen ?
Har man kapacitet til at supportere de største og vigtigste IT installationer i Danmark... også når 10-20-100... institutioner er under angreb samtidigt ?
Hvordan/Hvor er uddannelsesmaterialer, kurser og dokumentationen til løsningen, som vi skal bruge for at kunne bruge denne løsning i praksis?
Hvorfor er den her løsning bedre end de kommercielle produkter på markedet, har CfCS virkelig en bedre udviklings stab end det private og kan man holde på de folk ?
Hvordan er/vil de kontraktuelle forhold være ?
.....

Det hænger jo bare ikke sammen..

IMHO, så er man igang med (endnu engang), fra politikerne og toppen af embedsværket, at kaste Danmark under vognen. Det virker som om at man simpelt hen er fakta resistent og lever i en helt anden verden ,end os andre.

// Jesper

Jan Larsen

Lovforslaget tillader - ja forudsætter - at militæret sættes ind mod egne borgere og firmaer.

Der er mange, mange eksempler på militæret er sat ind mod egne borgere, men ingen eksempler på at det gav fred og sikkerhed for andre end magthaverne.

Eksempler jeg husker er, fra oprøret på "Den Himmelske freds plads" i Kina fra 1989
Det er også noget fra 1973 med "Pinochet" og Chile og
Foråret i Prag, fra 1968.
- og så en masse eksempler fra Afrikanske stater.

Heino Svendsen

Det rejser jo så en masse interessante problemstillinger:

  • Hvis alle systemer skal "sikres" af vores "beskyttende" FE, omfatter disse så også standalone systemer?
  • Hvad så hvis, et af disse "hjælpesystemer" (vil ikke kalde det overvågning, for de er jo til for at hjælpe os... host host) er skyld i, at eksterne får utilsigtet adgang til en virksomhedssystemer? Hvem har skylden? Og hvem afviser først erstatningsansvar?
  • Hvilke data bliver reelt set indhentet?
  • Remote kill switch?
Anne-Marie Krogsbøll

Lige i plet... og præcist derfor, lovforslaget giver bange anelse og kuldegysninger. Fordi det er svært ikke at få fornemmelsen af skjulte dagsordener.

Og hvorfor er det lige, at man vil gå uden om dommerkendelser (som desværre ofte gives for let, mistænker jeg - men er bedre end ingenting)? Den forklaring, jeg har læst, går på, at der ikke er tale om kriminelle forhold - og derfor er dommerkendelse ikke relevant. Det er jo helt barokt og absurd. I praksis argumenterer man jo så for, at hvis der er mistanke om noget kriminelt, så er dommerkendelse på sin plads (og et lovkrav) - men hvis der er tale om almindelige lovlydige borgere og virksomheder, så er der frit slag, og ingen beskyttelse mod statens overgreb. Så lovlydige borgere og virksomheder er dårligere beskyttede i retssikkerheds- og privatlivshenseende end kriminelle!

Det er jo så langt ude, at det er svært at fatte....

Heino Svendsen

man vil gå uden om dommerkendelser

Alt det dér med beskyttelse af rettigheder er en hæmsko, når man ønsker at få resultater. Rettigheder og efterretningsarbejde går ikke i spænd. Sorry.

Så lovlydige borgere og virksomheder er dårligere beskyttede i retssikkerheds- og privatlivshenseende end kriminelle!

Faktisk er det sådan, at man som "uskyldig" borger har færre rettigheder end en anholdt ifm. kriminalsager, hvorfor politiet ofte er meget hurtige til at anholde folk (ifølge en advokat-ven). Så det følger blot i tråd med andre dele af loven.

Heino Svendsen

Er det ikke det samme som at sige "Du er skyldig til din uskyld er bevist"?
Puuuust! og Gyyyys!

Her troede jeg vi levede i et retssamfund?

Ja, det er en lidt underlig konstallation: at en sigtet har flere rettigheder end en "normal" civil. ...

Diktaturstater er vel teknisk set vel også retssamfund, hvor retten ikke er så flink mod andre end styret.... OK, det var en lidt ordkløven ;-)

Log ind eller Opret konto for at kommentere