Bredt flertal vedtager udskældt lov om Center for Cybersikkerhed

Et bredt flertal i Folketinget har i dag stemt for at samle og styrke det danske cyberforsvar under Forsvarets Efterretningstjeneste. Forslaget møder hård kritik, men også ros fra flere sider.

Folketinget vedtog i dag lov om Center for Cybersikkerhed. Loven danner et samlet lovgrundlag for Center for Cybersikkerhed, herunder at styrke centerets muligheder for at undersøge og forebygge cyber­angreb mod Danmark samt at regulere centerets behandling af person­oplysninger. Center for Cybersikkerhed (CFCS) hører under Forsvarets Efterretningstjeneste (FE).

Lovforslaget har opbakning fra et bredt flertal af Folketingets partier bestående af SF, Socialdemokraterne, de Radikale, de Konservative, Venstre og DF. Men forslaget, der er fremsat af forsvarsminister Nicolai Wammen (S), har også mødt og møder stadig modstand.

Læs også: Dronningens Trojanske Cybergarde

Kritikken er særligt gået på, at CFCS, der ligger under FE i sikkerhedens navn, får til opgave at holde øje med kommunikationen til og fra myndigheder og virksomheder, der er beskæftiget med samfundsvigtige funktioner - såfremt myndighederne og virksomhederne altså ønsker at dele data med CFCS. Og netop fordi CFCS hører under FE, gælder persondataloven, som har til formål at beskytte borgernes persondata, i udgangspunktet ikke.

Det har fået flere organisationer i forbindelse med høringsprocessen til lovforslaget til at hejse det røde privacy-flag. Ikke alene i forhold til, at CFCS's virke i udgangspunktet ikke er omfattet af persondataloven, men også i forhold til, at data om danskere, der kommunikerer med myndighederne, vil kunne havne hos FE’s samarbejdspartnere - også uden for Danmark.

Imødegåelse af kritik

Af kommentarerne fra Forsvarsministeriet til høringssvarene bliver flere af kritikpunkterne fra de høringsberettigede forsøgt imødegået - også i form af ændringer af lovforslaget.

I forhold til kritikpunktet af, at CFCS under FE ikke er omfattet af persondataloven, hedder det i kommentaren fra Forsvarsministeriet, 'at persondatalovens principper for, hvornår der må ske behandling af personoplysninger, i vidt omfang skal gælde for Center for Cybersikkerhed.'

Desuden bemærker Forsvarsministeriet, at ministeriet vil udstede kommende retningslinjer, som vil indebære, at pakkedata udelukkende kan videregives til politiet, og at trafikdata kun kan videregives til andre (herunder udenlandske) netsikkerhedstjenester, hvis det er nødvendigt for udførelsen af netsikkerhedstjenestens opgaver.

Pakkedata er populært sagt indholdet af datapakker, eksempelvis indholdet af en e-mail, mens trafikdata er data, der bruges til at sende pakkedata fra a til b. Eksempelvis oplysninger om IP-adresserne på de mailservere, som en e-mail er sendt via. Den konkrete sondring i lovteksten lyder:

Pakkedata: Indholdet af kommunikation, der transmitteres gennem digitale netværk eller tjenester.

Trafikdata: Data, som behandles med henblik på at transmittere pakkedata.

Ikke godt nok

Men ministeriets formaninger i forbindelse med høringen er langtfra nok, mener Birgitte Kofod Olsen. Hun er formand for Rådet for Digital Sikkerhed, der har været blandt de høringsberettigede.

Og hun hæfter sig blandt andet ved formuleringen ‘sikkerhedshændelse’, som bliver brugt som betegnelse for, hvad CFCS har til opgave at opdage og imødegå. En sikkerhedshændelse er i lovforslaget beskrevet som ‘en hændelse, der negativt påvirker eller vurderes at ville kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale tjenester.’

Den formulering kan bruges i for mange sammenhænge, mener Birgitte Kofod Olsen.

»De store problemer i lovforslaget er, at efterretningstjenesten nu kan gå ind og løse civile opgaver i Danmark, når det, der er på spil, er en sikkerhedshændelse. Og det er et meget bredere begreb end et cyberangreb. Og så dækker lovforslaget også langt bredere end samfundskritisk infrastruktur. Ordlyden er nu 'samfundsvigtige funktioner',« siger Birgitte Kofod Olsen.

Betegnelsen kritisk infrastruktur er tidligere blevet brugt om de organisationer, der skal kunne kobles op til den statslige varslingstjeneste GovCert, som så kan analysere organisationernes ind- og udgående kommunikation.

Forsvarsministeriet har begrundet udvidelsen af begrebet til at omfatte samfundsvigtige funktioner med, at det med den nuværende afgrænsning i vidt omfang ikke er muligt at tilslutte virksomheder, der f.eks. leverer livsvigtige medicinalprodukter, fremstiller vigtige komponenter til forsvaret eller varetager drift af offentlige myndigheders administrative it-systemer, eller som på grund af samfundsvigtige forskningsaktiviteter er særligt udsatte for cyberangreb.

Kritik: Strider mod demokratiske værdier

»Det er en stor civil opgave, der nu bliver lagt ind under Forsvarets Efterretningstjeneste. Og det strider simpelthen imod værdier og principper i et demokratisk samfund, at man lader en lukket tjeneste overtage disse funktioner. Det strider mod almindelige retssikkerhedsgarantier og borgerbeskyttelse,« siger Birgitte Kofod Olsen.

Der er jo lagt op til, at det kun er trafikdata, der kan videregives fra CFCS til den øvrige efterretningstjeneste, mens pakkedata kun videregives til politiet, så hvad er problemet?

»Ja, men alt kan jo videregives til Forsvarets Efterretningstjeneste. Når det er inden for samme myndighed, kan data flyde fra Center for Cybersikkerhed og til den bagvedliggende efterretningstjeneste. Det er der ikke nogen regulering af. De siger, der vil komme administrativ regulering af det dataflow. Men som det er i dag, så tilhører det samme myndighed, og så kan de gøre med de data, hvad de vil - så længe det ligger inden for formålet,« siger Birgitte Kofod Olsen og fortsætter:

»Det, de indfører med det her, er masseovervågning. Man er nødt til at se på det som masseovervågning i Danmark både på trafik og indhold. Og er det i orden, når man giver så vide magtbeføjelser til en lukket tjeneste? Det mener vi ikke. Det må ud at ligge i den åbne del af forvaltningen.«

Du mener ikke, I er blevet imødegået på nogen af jeres kritikpunkter i forbindelse med høringen?

»Jo, men det er småting. Det er noget med videregivelse af data til andre tjenester. Men de store anstødssten, der har været, som har radikal betydning for vores demokrati, er der ikke sket noget ved.«

Kritik: Demokratisk underskud

En anden kritiker af lovforslaget, som det ligger nu, er it-advokat Henrik Mansfeldt Witt, der i slutningen af maj gav udtryk for sin utilfredshed med forslaget i en kronik i Politiken. Kritik har han ikke lagt på hylden siden da. Over for Version2 karakteriserer han det nuværende lovarbejde på følgende måde:

»Jeg kalder det et demokratisk underskud og en manglende respekt for privatlivet.«

Henrik Mansfeldt Witt mener, hovedproblemet med lovforslaget er, at selve lovteksten er for upræcis. Som et af eksemplerne nævner han paragraf 3, hvoraf det fremgår, at virksomheder, der er beskæftiget med samfundsvigtige funktioner, efter anmodning kan blive tilsluttet CFCS’s netsikkerhedstjeneste, så ind- og udgående data fra virksomheden kan blive analyseret af CFCS i sikkerhedsøjemed.

»Hvis anmodning? Vi må forvente, når vi laver lovgivning i landet, at det er klart og tydeligt, så vi ikke skal læse noget andet. Derudover, hvad er samfundsvigtigt, og hvem bestemmer det?«

I bemærkningerne til lovforslaget fremgår det, at der er tale om en frivillig ordning for virksomhederne, men den slags skal kunne læses i selve lovteksten, mener Henrik Mansfeldt Witt.

»Hvorfor sjuske? Det vil koste så lidt at lave loven, så der står det, der skal gælde. Min pointe er: Så skriv det dog. Det kan da ikke koste særligt meget.«

Erhvervsorganisation: Positivt med fokus på sikkerhed, men …

Hos erhvervsorganisation Dansk Erhverv kalder chefkonsulent Janus Sandsgaard det for positivt, at der er et aktuelt fokus på it-sikkerhed i Danmark, og at CFCS nu bliver reguleret ved lov. Men han kunne godt have tænkt sig en mere principiel diskussion af, i hvilket regi CFCS skulle ligge - og altså ikke nødvendigvis under FE.

»Man lytter i sagens natur inden for rammerne af høringen, og her er præmissen, at opgaven for længst er flyttet til Forsvarets Efterretningstjeneste. Vi kunne godt have tænkt os en mere principiel debat om it-sikkerhed i Danmark, da man startede med at sætte stregerne på kortet.«

Han mener desuden, det er vigtigt, at der er en høj grad af tillid til den myndighed, der sidder med opgaven for en væsentlig del af cybersikkerheden i Danmark.

»Der ligger nogle indbyggede udfordringer i, at arbejdet med at sikre civil infrastruktur er placeret i regi af Forsvarets Efterretningstjeneste – som nok kommer til at arbejde en del mere med åbenhed og kommunikation,« siger Janus Sandsgaard og tilføjer:

»Nu må vi se, hvordan det i praksis kommer til at fungere, og så må der evalueres på det.«

DI: Vi er tilfredse nu

Der er dog også flere, der var kritiske i forhold til det oprindelige lovforslag for Center for Cybersikkerhed, men som nu er anderledes positivt stemte. En af dem er DI, hvor branchedirektør Adam Lebech i en e-mail til Version2 skriver:

»Vi har gennemgået indholdet af det nye forslag punkt for punkt og vurderet, at DI-anbefalinger fra vores høringssvar er blevet imødekommet på en række centrale områder. På den baggrund vil vi gerne kvittere for, at der er lyttet til kritikken, og vi kan ligesom flertallet bag den politiske aftale bakke op om forslaget.«

En anden, som var kritisk over for et tidligere lovforslag, men som bakker op om forslaget, som det ligger nu, er Venstres it-ordfører, Michael Aastrup Jensen.

»Vi er tilfredse med de indrømmelser, vi har fået. Vi havde jo flere krav, før vi kunne gå med. Det ene var, der skulle være en fasttømret datamur mellem centeret og FE. Samtidig skulle vi have en garanti for, at der ikke foregik en udveksling af informationer fra datacenteret til udenlandske efterretningstjenester. Den garanti er vi tilfredse med,« siger han og fortsætter:

»Sidst, men ikke mindst var der også forskellige evalueringsfrister og så videre, der skulle køres ind, således at vi løbende kan evaluere, hvis der er behov for at lave noget om i det.«

Michael Aastrup Jensen fortæller, at han i forbindelse med evalueringsfasen nøje vil holde øje med, at der som følge af loven ikke sker indgreb i den personlige frihed.

»Og jeg vil vædde med, der vil være 200 på Version2's debatforum, som synes, det allerede vil være et indgreb i den personlige frihed, men vi vil stadig følge det nøje,« siger han med noget, der over telefonforbindelsen godt kunne lyde som et grin.