It sikkerhed og kryptering, It og samfund, Dansk it-politik

PROSA gør indsigelser mod lovforslag om cybersikkerhed

Den store udvidelse af beføjelser til Center for Cybersikkerhed, der er placeret uden for nævneværdig demokratisk kontrol, er ikke en god idé. PROSA fremhæver flere problematiske punkter i et høringssvar om det aktuelle lovforslag ’Initiativer til styrkelse af cybersikkerheden’.

Center for Cybersikkerhed (CfCS) er placeret under Forsvarets Efterretningstjeneste og dermed undtaget for de sædvanlige regler om offentlighed i forvaltningen og persondataloven. Det betyder, at du ikke kan få indblik i, hvad dine data bliver brug til, og det har PROSA tidligere rejst kritik af:

Efterforskning af cyberangreb retfærdiggør ikke uhæmmet adgang til personfølsomme data

Med det nye lovforslag ’Initiativer til styrkelse af cybersikkerheden’ bliver den kritik kun mere alvorlig. CfCS vil med loven i hånden kunne tvinge organisationer og virksomheder til at installere sikkerhedssoftware for at kunne overvåge data, der sendes krypteret. Målet er at afværge kommende cyberangreb, men midlet betyder, at CfCS vil kunne læse alle data, der flyder ind og ud af en organisationer og alle data, der ligger på alle harddiske. PROSA finder kombinationen af ret til at overvåge og manglende transparens uhensigtsmæssig og anbefaler i høringssvaret en anden rolle for CfCS:

Det er PROSAs opfattelse, at frem for at udstyre CfCS med så omfattende beføjelser i en organisation uden nævneværdig demokratisk kontrol bør centerets opgave være at opstille sikkerhedskriterier og niveauer for de virksomheder og institutioner, som arbejder med samfundskritiske opgaver. Herudover kunne der være en opgave med at kontrollere, at de pågældende sikkerhedsforskrifter overholdes, evt. gennem et samarbejde med virksomheder, som udbyder digitale sikkerhedsløsninger.”

Et sådant samarbejde vil også afhjælpe den risiko, der er i at samle alle data hos CfCS:

”Herved undgås, at der sker en centralisering af data med en øget sårbarhed til følge, og det giver de enkelte virksomheder og institutioner mulighed for selv at vælge, hvilke sikkerhedssystemer der passer til deres forretning.

Der er også store problemer i den fremgangsmåde, CfCS ifølge lovforslaget kan benytte ved test af it-sikkerheden i virksomheder og organisationer. Den rammer skævt, fordi medarbejdere og ikke ledelsen bliver gjort ansvarlige for sikkerhedsbrister. Helt konkret indeholder lovforslaget en detaljeret opskrift på, hvordan CfCS uden nogen form for advarsel kan simulere målrettede angreb mod medarbejdere med brug af personlige oplysninger og kollegers identiteter. Resultatet af testen kan få ansættelsesretlige konsekvenser for medarbejderen. Den fremgangsmåde er PROSA i mod:

I øvrigt finder PROSA det bekymrende, at en statslig myndighed skal have mulighed for at optræde under fordækte identiteter, anspore ansatte til ulovligheder, få dén medarbejder, hvis identitet de har overtaget, til at ”reagere hensigtsmæssigt”, hvis den berørte medarbejder henvender sig, og dermed er med til at kompromittere en kollega og i det hele taget, at det skal være nødvendigt med dén slags beføjelser for at sikre et fornuftigt sikkerhedsniveau i danske virksomheder og institutioner.

PROSA betragter grundlæggende it-sikkerhed som et ledelsesansvar og mener derfor som udgangspunkt, at eventuelle sanktioner i forbindelse med test af it-sikkerhed skal lægges på ledelsen. Det fremgår også af høringssvaret, der er sendt til Forsvarsministeriet den 4. februar inden for høringsfristen kl. 12. Læs hele høringssvaret her (PDF).