Ny CFCS-lov er nu lagt frem: Virksomheder kan blive underkastet tvungen overvågning af netværksdata

Forsvarsministeren har fremsat ny CFCS-lov. Den åbner for tvungen tilkobling til statens sniffernetværk, kaldet netsikkerhedstjenesten. Det vil dog maksimalt ramme ni virksomheder årligt, lyder det.

Opdateret. Af en tidligere version af denne artikel fremgik det, at CFCS kan gennemføre tvungen overvågning af pc'er og smartphones. CFCS oplyser imidlertid, at myndigheden ikke kan gennemføre tvang i forhold til installation af den såkaldte sikkerhedssoftware på sådanne lokale enheder. Af lovforslaget fremgår det dog, at CFCSs uden retskendelse kan få adgang til trafikdata, pakkedata og stationære data hidrørende fra myndigheder og virksomheder, der er tilsluttet netsikkerhedstjenesten eller sniffernetværket. Tilslutning til netsikkerhedstjenesten kan i enkelte tilfælde gennemføres ved tvang.

En kritiseret ny mulighed for at tvinge erhvervsvirksomheder på Center for Cybersikkerheds sniffernetværk, kaldet netsikkerhedstjenesten, vil kun blive anvendt maksimalt ni gange om året.

Det fremgår af et lovforslag om Lov om ændring af lov om Center for Cybersikkerhed, som forsvarsministeren netop har fremsat.

»Med lovændringen får Center for Cybersikkerhed desuden mulighed for i visse tilfælde at pålægge erhvervsvirksomheder at blive tilsluttet netsikkerhedstjenesten med henblik på monitorering af netværkskommunikation,« lyder det i bemærkningerne til lovforslaget, som samtidig fastslår, at:

»Det forventes, at muligheden for at give påbud til virksomheder maksimalt vil blive anvendt et et-cifret antal gange om året.«

Illustration: Infosecurity It-sikkerhedsmessen Infosecurity Denmark 2019 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 1. og 2. maj i Øksnehallen i København. Konferenceprogrammet dækker compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt data og cloud og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau. Du bliver også opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere. Læs mere og tilmeld dig Læs mere om Version2 Data & Cloud Expo, der afholdes sammen med Infosecurity Denmark

De generelle bestemmelser om, hvordan CFCS må behandle data ved tilslutning til netsikkerhedstjenesten er ganske indgribende.

Ifølge lovforslaget § 4 kan Center for Cybersikkerheds netsikkerhedstjeneste uden retskendelse behandle trafikdata, pakkedata og stationære data hidrørende fra tilsluttede myndigheder og virksomheder, jf. § 3, stk. 2-4, med henblik på at understøtte et højt informationssikkerhedsniveau i samfundet.

I bemærkningerne til denne bestemmelse gentages det, at 'Center for Cybersikkerheds netsikkerhedstjeneste [vil] uden retskendelse kunne behandle trafikdata, pakkedata og stationære data hidrørende fra tilsluttede myndigheder og virksomheder.'

Desuden fremgår det af samme bemærkning til § 4 at:

»Med bestemmelsens udvidelse til også at omfatte stationære data, jf. definitionen i den foreslåede § 2, nr. 4, vil den eksisterende monitorering kunne suppleres med installation

af sikkerhedssoftware lokalt på de enkelte enheder, som anvendes af myndigheden eller virksomheden. Disse enheder vil f.eks. kunne være pc’ere, servere, smartphones og tablets.«

Center for Cybersikkerhed har kontaktet Version2 her til aften og oplyst, at der ikke er tale om tvungen installation af sikkerhedssoftware lokalt på de enkelte enheder.

Det understreges desuden i lovforslaget, at f.eks. private smartphones eller pc’er, som medarbejderne anvender til at tilgå arbejdsrelaterede e-mails, ikke vil blive omfattet af tvang.

Private data i virksomhedssystemer er ikke indgreb

Lovforslaget behandler også muligheden for, at CFCS efter aftale gennemfører såkaldte forbyggende sikkerhedstekniske undersøgelser, hvor man afdækker sårbarheder i en virksomhed eller myndighed.

Det kan f.eks. ske ved simulerede angreb. Disse white hat-hackerangreb vil kunne betyde, at CFCS får adgang til de ansattes private data.

Idet CFCS kun må gennemføre disse undersøgelser, hvis de ikke er i strid med grundlovens bestemmelser om aflytning af f.eks. mails og teleoplysninger, såkaldte indgreb i meddelelseshemmeligheden, vil de kun blive gennemført, »hvor det kan fastslås, at alle data i systemerne ligger inden for myndighedens eller virksomhedens råderet«, fremgår det.

Til gengæld vil CFCS kunne anvende sociale medier, hvis man vil lave målrettet et angreb mod bestemte medarbejdere.

»Det vil i praksis kunne foregå ved, at centeret (...) indsamler offentligt tilgængelige oplysninger, f.eks. fra avisartikler eller åbne profiler på sociale medier, om medarbejdere,« lyder det.

Dog vil CFCS ikke opbevare følsomme oplysninger om medarbejderne, herunder oplysninger om politisk overbevisning, seksuelle forhold m.v., lyder det.

De første reaktioner er begyndt at komme. Troels Ørting, der er leder af World Economic Forums Centre for Cybersecurity, skriver på LinkedIn:

»Det er mig helt uforståeligt, at der kan samles flertal for den her overvågningslov. Ikke engang i Kina eller Rusland har myndighederne disse muligheder.«

Det fastslås i øvrigt, at de nye bestemmelser ikke er i strid med GDPR, slet og ret fordi Forsvarets Efterretningstjeneste ikke er omfattet af persondataforordningen:

»Databeskyttelsesforordningen finder [ikke] anvendelse på den behandling af personoplysninger, som udføres for eller af politiets og forsvarets efterretningstjenester,« står der i lovforslaget.

Vurderingen er også, at der ikke er et problem i forhold til menneskerettighederne, idet »den foreslåede ordning opfylder proportionalitetsprincippet, og at ordningen samlet set er i overensstemmelse med EMRK artikel 8«.