Martin Topholm
Forsvarsministeriet har fremsat et lovforslag, som angiveligt skal fremme sikkerheden i og omkring Danmarks internetinfrastruktur. Desværre er lovforslaget temmelig diffust i forhold til, hvordan nævnte sikkerhed forbedres, og hvad værre er, er det en privatlivsjuridisk katastrofe. Selvom lovforslagets høringsfrist allerede er i dag, synes jeg alligevel, det fortjener et par ord med på vejen.
Lovforslaget er en delegering af magten til Center for Cybersikkerhed under Forsvarets Efterretningstjeneste (herefter FE). Denne magt til at definere nærmere regler har tidligere ligget hos forsvarsministeren, som i min optik er en offentlig person. Denne opgave bliver nu varetaget af FE, en militær organisation. Jeg mener ikke at militæret skal være en del af den lovgivende magt i fredstid.
§3 ... fastsætter regler om minimumskrav til informationssikkerhed ...
§4 ... fastsætter regler om oplysnings- og underretningspligter ...
§5 ... fastsætter regler om, at udbydere skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger ...
§6 ... kan fastsætte regler om sikkerhedsgodkendelse af udbyderes medarbejdere ...
Med det (og de mange NSA afsløringer) for øje mangler lovforslaget i den grad begrænsninger på FE's beføjelser. Det bør også være tydeligt, hvad der menes med informationssikkerhed. Er det FE's mulighed for at tilgå data (overvågning)? Er det borgernes garanti mod at internettet er nede (availability)? Er det et forsøg på at sikre mod spionering (confidentiality)? Kommentarerne til lovforslaget antyder availability og confidentiality, men det bør fremgå klart i lovteksten. Begge dele er noget, jeg ikke mener eksterne parter til et privat drevet telenet kan og bør sikre. Undtagelsen er hvis dette ingreb er så voldsomt så FE kan diktere netværksudvikling for virksomhederne. Dette er antydet at FE kan i §4 stk 2 og §5. Hvilket for mig virker meget drastisk.
§ 5. Center for Cybersikkerhed fastsætter regler om, at udbydere skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger...
Det er antydet i §9 stk. 6 at FE skal have fuld adgang til faciliter uden dommerkendelse. Dette sker i forbindelse med deres tilsynsførende opgave og de skal i den anledning ikke have adgang til trafik. Men det er ikke angivet præcist hvad de må og ikke må. Det kommer formodentlig til at fremgå af regler FE selv udstikker. Yderligere i stk 2 kan FE i nogen grad selv bestemme, hvilke forhold der er omfattet af den kommende lov.
Lovforslaget nævner kort indgreb i meddelelseshemmeligheden i §6 stk 6. Hvis aflytningsudstyr er en del af informationssikkerhed bør det have en fremtrædende plads i loven og være klart afgrænset.
§9 Stk. 6. Center for Cybersikkerhed kan fastsætte regler om sikkerhedsgodkendelse af udbyderes medarbejdere eller repræsentanter for udbydere, der har adgang til udstyr eller systemer, som benyttes i forbindelse med indgreb i meddelelseshemmeligheden.
I kommentarerne tydeliggøres problemerne, som staten har, ved salget af TDC. Det er ikke længere muligt at bestemme over vigtige kommunikationsnet.
En særlig problemstilling er knyttet til de seneste års udvikling på det danske telemarked, som har vist, at især de store teleudbydere i stigende grad indgår aftaler med leverandører om levering og drift af udstyr og systemer, der indgår i den samfundsvigtige ikt-infrastruktur, som bl.a. anvendes af statslige myndigheder og virksomheder, der udfører samfundsvigtige opgaver.
Hvis staten har brug for et sikret telenetværk ville det have været en god ide at beholde TDC og tjenestemandsansatte. Det virker i hvert fald mere rimeligt end at forhindre private selskaber over en bred kam, at gøre brug af udlicitering af drift, samt forlange at alle driftsmedarbejdere i televirksomhederne skal sikkeredsgodkendes.
Set i lyset af staten selv har udliciteret driften af vigtige databaser som CPR til private selskaber, virker sikring af transportnettet i sært sted at starte.
Konsekvensen er, at disse leverandører eksempelvis kan få direkte adgang til myndigheders eller virksomheders elektroniske kommunikation eller få adgang til kundeinformationer...
Forsvarsministeriet laver en sær skelnen mellem tele-operatører og net-operatører. Hvor operatører af telenet har en bedre forståelse af deres netværk og derfor ikke er omfattet af samme krav.
Forsvarsministeriet har overvejet, om de nye krav til informationssikkerhed i net og tjenester tillige burde rettes mod leverandører til telebranchen. Forsvarsministeriet finder imidlertid, at teleudbyderne er nærmest til at fremme informationssikkerheden i net og tjenester i Danmark, idet alene teleudbyderne har forudsætningerne for at foretage en samlet vurdering af informationssikkerheden i deres net og tjenester.
Hvorfor skulle teleleverandørerne have en bedre forståelse og være bedre til at fremme sikkerheden frem for udbydere af internettjenester? Det virker underligt at undtage teleudbyderne og man fristes til at tro at det er for at undgå modstand mod lovforslaget.
Sådan en skelnen mener jeg skal have en bedre begrundelse end en en hurtig bisætning. Jeg er tillige bekymret for at sådan "argumentation" vil være gældende for FE's varetagelse af magten, som delegeres til dem gennem dette lovforslag.