FOU, Alm.del - 2013-14 - Bilag 61: Udkast til lovforslag om Center for Cybersikkerhed og Evaluering af GovCERT-loven, fra forsvarsministeren

Evaluering af GovCERT-loven1. Indledning og sammenfatningForsvarsministeren afgiver hermed redegørelse om den statslige varslingstjeneste for internettrusler(GovCERT) og dens virksomhed efter § 9 i lov nr. 596 af 14. juni 2011 om behandling af personop-lysninger ved driften af den statslige varslingstjeneste for internettrusler m.v. (fremsat den 27. april2011 som L 197).Det er i loven fastsat, at ministeren senest tre år efter lovens ikrafttræden skal give Folketinget enskriftlig redegørelse på baggrund af en evaluering af den statslige varslingstjeneste for internettrus-ler (GovCERT) og dens virksomhed. Loven trådte i kraft den 1. juli 2011.Evalueringen er nu foretaget. Det er den overordnede vurdering, at navnlig etableringen af Centerfor Cybersikkerhed ved Forsvarets Efterretningstjeneste og placeringen af GovCERT som en del afcenteret medfører behov for en ændring af retsgrundlaget for GovCERT’s virksomhed. Dette skerved fremsættelsen af forslag til en ny lov om Center for Cybersikkerhed. Et udkast til lovforslageter sendt i høring samtidig med dette udkast til redegørelse.Forsvarsministeriets konklusion på evalueringen er, at etableringen af GovCERT var velbegrundet,og at GovCERT’s virksomhed har bidraget væsentligt til cybersikkerheden i Danmark. GovCERTbør således videreføres.Imidlertid er der elementer i lovgrundlaget for GovCERT’s virksomhed, som ikke er formålstjenli-ge. En revision af lovgrundlaget vurderes derfor at være af betydning for GovCERT’s fremtidigevirke som national, civil CERT og for GovCERT’s evne til at bidrage til sikringen mod væsentligeangreb mod danske interesser.Redegørelsen er en sammenfatning af de erfaringer, der er indhøstet, og de problemstillinger, somer konstateret, i den periode, GovCERT-loven har været i kraft. Da redegørelsen afgives i forbindel-se med fremsættelsen af forslag til lov om Center for Cybersikkerhed, indeholder redegørelsen ikkekonkrete anbefalinger til ændringer af lovgivningen. Der henvises i den forbindelse til lovforslaget.Teknisk ekspertise fra Center for Cybersikkerhed samt tilbagemeldinger fra GovCERT’s kunder itidsrummet fra GovCERT’s etablering i 2009 til dato er inddraget i evalueringen.Der er i september 2013 nedsat et tilsyn med GovCERT, jf. lovens § 7. Tilsynet har endnu ikke af-givet sin første beretning, og der har derfor ikke kunnet indgå erfaringer herfra i evalueringen.

2. GovCERT’s relevansI tiden siden GovCERT’s etablering har der såvel nationalt som internationalt været stigende op-mærksomhed på cybertruslen. Danske offentlige myndigheder, virksomheder og privatpersoner erdagligt udsat for forstyrrende eller skadelige aktiviteter på internettet fra forskellige aktører. Der erogså i 2013 set cyberangreb mod mål i Danmark, som i perioder har hindret anvendelse af dansk it-infrastruktur. Der er endvidere i de seneste år set cyberangreb mod væsentlige mål i Danmark, her-under Erhvervs- og Vækstministeriet og CSC, hvor informationssikkerheden er blevet kompromit-teret.I udlandet ser man samme udvikling. Den stigende opmærksomhed på cybertruslen har i de senereår medført etablering af nye nationale CERT’er (netsikkerhedstjenester) eller styrkelse af de eksi-sterende, ligesom der både i NATO og i EU er stærkt øget fokus på cybersikkerhedsområdet.I forbindelse med etableringen af GovCERT udbyggedes Danmarks samarbejde med en række til-svarende tjenester og internationale sikkerhedsfora betydeligt. GovCERT har derfor hurtigt kunnetvirke som et betroet kontaktpunkt for udenlandske samarbejdspartnere. Dette har i flere tilfældebetydet, at GovCERT har modtaget information om observationer, hvor efterfølgende undersøgelserhar ført til, at cyberangreb mod danske interesser er blevet opdaget. GovCERT’s placering i Centerfor Cybersikkerhed ved Forsvarets Efterretningstjeneste har som forventet medført en yderligerestyrkelse af det betroede samarbejde med internationale partnere.På samme måde er GovCERT blevet et vigtigt kontaktpunkt for danske myndigheder og virksom-heder i tilfælde, hvor de pågældende organisationer har haft mistanke om uregelmæssigheder.GovCERT har i en række tilfælde – i samarbejde med den pågældende myndighed eller virksomhed– kunnet konstatere forhold, som giver GovCERT en viden, der styrker GovCERT’s mulighed forat beskytte de tilsluttede kunder.På den baggrund kan det overordnet konkluderes, at etableringen af en statslig varslingstjeneste forinternettrusler var velbegrundet.3. GovCERT’s konkrete bidrag til cybersikkerhedenCenter for Cybersikkerhed, hvori GovCERT i dag indgår, har i flere tilfælde bistået med at imødegåmålrettede cyberangreb. Blandt de eksempler, som har været beskrevet i pressen og dermed er of-fentligt kendte, kan nævnes kompromitteringen af Erhvervs- og Vækstministeriets systemer (herun-der systemer placeret hos Statens It) i 2012 og sagen om kompromittering af CSC’s systemer, hvorblandt andet Kørekortregistret og Schengen-registre anses for at være blevet kompromitteret.GovCERT har i en række tilfælde kunnet yde et væsentligt bidrag til myndighedernes afdækning afomfanget af en uautoriseret indtrængen i myndighedens systemer og til at genvinde fuld kontrolmed de angrebne systemer.GovCERT’s monitorering af internettrafikken ved hjælp af alarmenheder hos de tilsluttede kunderhar til formål at tegne et normalbillede af netværkskommunikationen og dermed opnå det overblik,der er nødvendigt for at opdage eller vurdere afvigelser. Samtidig kan GovCERT hermed opnå etgrundlag for at vurdere, om der bør udsendes varsling til GovCERT’s kunder om et muligt angrebskarakter med rådgivning om modforholdsregler.

GovCERT kan konstatere cyberangreb og identificere relevante tekniske karakteristika herved adflere veje. Det kan ske på baggrund af alarmer fra de tilsluttede alarmenheder, på baggrund af op-lysninger fra samarbejdspartnere eller ud fra undersøgelser af mulige angreb, som er opdaget adanden vej. Ved en opdatering af alarmenhederne hos de tilsluttede myndigheder og virksomhederkan GovCERT sikre, at lignende angreb mod andre kunder opdages.GovCERT’s adgang til at analysere den trafik, som passerer alarmenhederne, muliggør en vurde-ring af, om der i trafikken er karakteristika, der kan forbindes med angrebsformer, som i dag er ud-bredte. Der kan f.eks. være tale om indhold af tilforladeligt udseende i f.eks. Word- eller PDF-format, hvor alarmenhederne ved hjælp af analyseresultaterne kan opdage tegn på malware. Ligele-des har konsekvenserne af sikkerhedshændelser hos tilsluttede kunder kunnet klarlægges, herunderhvilke data m.v. en indtrængende hacker har kunnet foranstalte kopieret og videresendt ud af myn-digheden.GovCERT-lovens særlige adgang til monitorering af de tilsluttede kunders internettrafik har givetGovCERT mulighed for i samarbejde med den berørte myndighed at fastslå skadens omfang ogbeslutte relevante modforholdsregler, hvilket har understøttet en løbende styrkelse af cybersikker-heden i Danmark.4. Tilslutning til GovCERTDer har ikke været nogen tilslutningspligt til GovCERT. GovCERT har imidlertid i sin levetid op-nået en meget høj tilslutningsgrad på det statslige område. Herudover er der sket tilslutning af flerekommuner og regioner samt virksomheder beskæftiget med kritisk infrastruktur.16 ud af 19 mulige ministerområder er tilsluttet. Der arbejdes yderligere med tilslutning af Ministe-riet for Fødevarer, Landbrug og Fiskeri samt Ministeriet for Sundhed og Forebyggelse, mens Mini-steriet for Ligestilling og Kirke ikke har ønsket tilslutning.Der er dog fortsat dele af de enkelte ministerområders it-infrastruktur, som i praksis ikke er dækketaf GovCERT’s alarmenheder. De enkelte ministerier har efter samråd med GovCERT indikeret,hvor tilslutning til GovCERT ville have størst sikkerhedsmæssig effekt. Samtidig har GovCERTefter aftale med de berørte ministerier og Statens It tilsluttet væsentlige dele af Statens It, som leve-rer it-drift til en række ministerområder.En oversigt over tilsluttede myndigheder og virksomheder er medtaget som bilag.Den høje tilslutningsgrad i staten i løbet af meget kort tid må i lyset af erfaringer fra tilsvarendetjenester i udlandet karakteriseres som en betydelig succes.5. GovCERT’s dækningsområdeGovCERT oprettedes – som det er anført i de almindelige bemærkninger til lovforslaget, pkt. 1.2.1– bl.a. for ”at mindske risikoen for it-angreb, herunder at offentlige myndigheders elektroniskekommunikation med omverdenen bliver afskåret i flere dage, eller at dokumenter uden myndighe-dens vidende bliver sendt til fremmede stater som følge af et virusangreb. Dette kan udgøre en sik-

kerhedsrisiko og også have store administrative og økonomiske konsekvenser til følge. Tilsvarendegør sig gældende for private virksomheder beskæftiget med kritisk infrastruktur.”GovCERT blev etableret som en statslig varslingstjeneste. Der blev i årene 2009-2012 gennemførtpilotforsøg med en udvidelse af GovCERT’s dækningsområde til at omfatte kommuner og virk-somheder beskæftiget med kritisk infrastruktur.Det har vist sig, at der fra flere sider er forventninger til, at GovCERT’s nationale overblik overtrusler og sårbarheder i tjenester, net og systemer relateret til internettet kunne komme en brederekreds til gode. Der er fra brancheside udtrykt ønske om, at en offentlig CERT-funktion skulle kunnedække flere private virksomheder.I tiden siden fremsættelsen af forslaget til GovCERT-loven i foråret 2011 er der såvel nationalt sominternationalt sket en ændring i synet på cybertruslen. Hvor man for bare få år siden fokuserede påtruslen ved hacking, overbelastningsangreb og botnet-malware, er der nu stigende opmærksomhedpå truslen fra såkaldte APT-angreb (Advanced Persistent Threats) og malware distribueret med spi-onagehensigt. Disse trusler er sværere at identificere, og angreb vil typisk være længerevarende ogsvære at opdage uden meget specifikke oplysninger om, hvad de it-sikkerhedsansvarlige skal kiggeefter.Der er hermed i et vist omfang sket en forskydning i opfattelsen, fra at cyberangreb væsentligst varen trussel imod tilgængeligheden, til at cyberangreb i væsentlig grad truer fortroligheden.En række danske virksomheder af væsentlig betydning for forskning og videnskabelse i Danmarkog dansk eksport, herunder forsvars- og aerospaceindustrien, leverer ydelser eller bidrager på andenvis væsentligt til opretholdelsen af sikkerheden i samfundet (herunder den nationale sikkerhed i etvækst- og velfærdsperspektiv). Da de typisk ikke kan karakteriseres som værende beskæftiget medkritisk infrastruktur, falder de uden for lovens definition af GovCERT’s dækningsområde (ud overstaten er kommuner og regioner samt private virksomheder, som er beskæftiget med kritisk infra-struktur, omfattet, jf. lovens § 2, stk. 1).Det er endvidere set, at f.eks. en virksomhed, som ikke er omfattet af GovCERT’s aktuelle dæk-ningsområde, og som ikke kan anses for at være af væsentlig samfundsmæssig betydning i sig selv,har været udsat for et cyberangreb med en kompromittering af væsentlig samfundsmæssig betyd-ning. I de tilfælde har den pågældende virksomhed potentielt kunnet anvendes som mulig angrebs-platform mod væsentlige danske interesser. Ved mistanke om sådanne angreb ville det tjene Gov-CERT’s formål, såfremt der kunne gennemføres en midlertidig tilslutning til GovCERT af den an-grebne virksomhed.Det har generelt vist sig, at værdien ved en tilslutning til GovCERT – både for den enkelte myndig-hed eller virksomhed og for bidraget til et højt informationssikkerhedsniveau i samfundet – afhæn-ger af, at den pågældende myndighed eller virksomhed har et tilfredsstillende informationssikker-hedsniveau og en it-driftsorganisationen med et beredskab, der kan håndtere information fra Gov-CERT. En sådan modenhed bør derfor også være et relevant tilslutningskriterium.Dækningsområdet for GovCERT som den nationale, civile CERT bør således udvides.

6. Regler for sletning af dataI lovens § 4 er fastsat frister for sletning af data. Pakkedata (indholdet af internetbaseret kommuni-kation) kan i den forbindelse højst opbevares 14 dage, hvorefter data skal slettes. Trafikdata (data,som behandles med henblik på overførsel af pakkedata) kan højst opbevares i 12 måneder.Lovens sletningskrav forhindrer i praksis bl.a. GovCERT i at fastlægge et normalbillede af en kun-des internettrafik, som tager højde for en kundes regelmæssigt afvigende trafikmønstre (f.eks. veden månedlig backup-procedure eller en årlig regnskabsaflæggelse). Et utilstrækkeligt normalbilledevanskeliggør identifikationen af en indtrængende parts uautoriserede aktiviteter såsom kopiering afstørre mængder data, anvendelse af systemer på usædvanlige tidspunkter m.v.I de tilfælde, hvor GovCERT har opdaget angreb på baggrund af oplysninger fra samarbejdspartne-re eller ad anden vej, har det i praksis vist sig, at angrebet først opdages mere end 14 dage efter, atdet har fundet sted. Det vanskeliggør identifikation og imødegåelse af angrebet og reducerer mulig-heden for at opsamle viden om angrebets karakteristika, at pakkedata på det tidspunkt ikke længereer til rådighed.Det havde også været hensigtsmæssigt, hvis GovCERT, når en konkret myndighed eller virksom-hed er blevet ramt af et cyberangreb, kunne undersøge, om andre tilsluttede myndigheder og virk-somheder er eller har været ramt af tilsvarende angreb. En sådan undersøgelse kan i sagens naturførst indledes, når der er konstateret et angreb, og GovCERT har kortlagt eller modtaget oplysnin-ger om et givet angrebs egenskaber – såsom angrebsmetoder og anvendte IP-adresser. Det ville væ-re formålstjenligt i forhold til GovCERT’s formål, såfremt det ved gennemgang af historiske trafik-og pakkedata kunne undersøges, om der er tegn på tilsvarende aktivitet hos tilsluttede myndighederog virksomheder.Det kan samlet konstateres, at længere frister for opbevaring af historiske data ville være af betyde-lig sikkerhedsmæssig værdi.7. Regler for videregivelse af dataGovCERT’s varslinger til kunder indeholder, når det er relevant, oplysninger om karakteristika veden konstateret type angreb eller trussel herom, herunder f.eks. IP-numre, som vurderes at have for-bindelse til angriberen. Dette giver kunderne bedre forudsætninger for at gennemse egne systemerfor tegn på sådanne angreb og at øge beskyttelsen selv (i egne firewalls m.v.). De pågældende ka-rakteristika kan være identificeret ved analyser af trafikdata fra GovCERT’s alarmenheder.Efter GovCERT-loven har GovCERT imidlertid ikke mulighed for at videregive denne type oplys-ninger til danske televirksomheder og internetudbydere (såkaldte udbydere af offentlige elektroni-ske kommunikationsnet og -tjenester). Sådanne virksomheders sikkerhedssystemer spiller imidlertiden central rolle for sikkerheden i den danske kommunikationsinfrastruktur. Denne sikkerhed villevære højnet, såfremt GovCERT havde haft adgang til at videregive denne type oplysninger til ud-byderne.Visse af begrænsningerne på GovCERT’s videregivelse af oplysninger i forbindelse med varslingerbesværliggør således i konkrete tilfælde sikringen mod væsentlige angreb mod danske interesser,uden at begrænsningen i de konkrete tilfælde synes formålstjenlig i øvrigt.

Det kan samlet konstateres, at der er behov for en revurdering af reglerne for videregivelse af data.8. Ny organisation på it-sikkerhedsområdetSiden kongelig resolution af 3. oktober 2011 har GovCERT hørt under Forsvarsministeriets ressort.Af regeringsgrundlaget af samme dato fremgår, at ”For at styrke beskyttelsen mod cyberangreb mv.samles de forskellige myndigheders indsats i et IT sikkerhedscenter (under Forsvarsministeriet), derskal varetage opgaven som den nationale IT-sikkerhedsmyndighed og Governmental ComputerEmergency Response Team (GovCERT).”På den baggrund blev Center for Cybersikkerhed oprettet den 18. december 2012 som en del af For-svarets Efterretningstjeneste. Center for Cybersikkerhed omfatter ud over GovCERT bl.a. MIL-CERT, der er varslingstjeneste for internettrusler på Forsvarsministeriets område.Den nye organisation har betydet, at GovCERT i kraft af sin placering i FE har fået adgang til flereoplysninger fra betroede internationale partnere om cybertrusler. En række af disse oplysninger harkunnet omsættes i en styrkelse af sikkerheden for GovCERT’s kunder.GovCERT’s placering under FE betyder imidlertid også, at GovCERT’s virksomhed ikke længereer omfattet af persondataloven. Dette har betydet bortfaldet af en væsentlig forudsætning for Gov-CERT-lovens regulering af GovCERT’s virksomhed. Forsvarsministeren har bl.a. derfor udstedtretningslinjer for Center for Cybersikkerhed, som stiller krav om efterlevelse af relevante principperi persondataloven.Der er endvidere med ressortændringen sket en væsentlig ændring i grundlaget for det efter Gov-CERT-loven etablerede tilsyn, ikke mindst i lyset af det Tilsyn med Efterretningstjenesterne, som eretableret efter FE-loven og PET-loven.Der er således behov for at tilpasse lovgrundlaget til den nye organisation på it-sikkerhedsområdet.Bilag A. Oversigt over tilsluttede myndigheder og virksomhederDer er aktuelt indgået tilslutningsaftaler på følgende ministerområder*:------------Beskæftigelsesministeriets områdeErhvervs- og Vækstministeriets områdeFinansministeriets områdeJustitsministeriets områdeKlima-, Energi- og Bygningsministeriets områdeKulturministeriets områdeMiljøministeriets områdeMinisteriet for By, Bolig og Landdistrikters områdeMinisteriet for Forskning, Innovation og Videregående Uddannelsers områdeMinisteriet for Sundhed og Forebyggelses områdeSkatteministeriets områdeSocial-, Børne- og Integrationsministeriets område

*) MILCERT er varslingstjeneste på Forsvarsministeriets område. GovCERT og MILCERT er i dagsamlet i Center for Cybersikkerhed, og monitoreringen af centerets egen netværkstrafik varetages afGovCERT.Bilag B. GovCERT’s varslinger om hændelserGovCERT har i perioden september 2011 til udgangen af 2013 udsendt godt 100 varslinger tilGovCERT’s kundekreds. Tallet omfatter generelle varslinger til en bredere kreds og specifikkevarslinger til enkeltkunder på baggrund af en alarm.Der er siden 2010 registreret lidt over 1.000 sikkerhedshændelser. Heraf vurderes en fjerdedel atvære alvorlige.Blandt de alvorlige hændelser er overbelastningsangreb og APT-angreb. Mindre alvorlige hændel-ser omfatter fund af tegn på infektion med vira og forskellige typer malware (crimeware, botnet-malware mv.).