Retsudvalget 2013-14
REU Alm.del Bilag 221
Offentligt
1363277_0001.png
1363277_0002.png
1363277_0003.png
1363277_0004.png
1363277_0005.png
1363277_0006.png
1363277_0007.png
1363277_0008.png
2. marts 2014HEM
=================
=
ForsvarsministerietAtt.: Peter HeibergHolmens Kanal 421060 København K
e›êáåÖ=îÉÇêK=i§î=§ã=`ÉåíÉê=ѧê=`óÄÉêëáââÉêÜÉÇi§î=§ã=`ÉåíÉê=ѧê=`óÄÉêëáââÉêÜÉÇ=DI og DI ITEK takker for henvendelsen vedrørende høring af Forslag til Lov om Center forCybersikkerhed. DI, DI ITEK og TI har i den anledning nedenstående bemærkninger.Positivt udgangspunktDI og DI ITEK er tilfredse med, at der som opfølgning på regeringsbeslutningen i 2011 omat oprette et Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste (FE)tnu etableres et lovgrundlag for CFCS', herunder GovCERTs, virke (CFCS-loven) Der er til-loven).svarende tilfredshed med, at der i samme forbindelse etableres et lovgrundlag for MIMIL-CERTs virke, som tidligere har været ureguleret.sPå de overordnede linjer er vi også meget tilfredse med, at væsentlige dele af reguleriregulerin-gen af CFCS' virke tager udgangspunkt i og viderefører en række principper fra den ekseksi-sterende "Lov om behandling af personoplysninger ved driften af den statslige varslingLovvarslings-tjeneste for internettrusler m.v. (GovCERT-loven), der med det nye forslag til CFCS-lovenm.v."loven),ophæves.Endelig er vi tilfredse med, at analysen af de pakkedata, som CFCS' prober opsamler i civi-le netværk, jf. CFCS-lovens §4, efter CFCS lovens § 15 kun må "finde sted ved begrundet,CFCS-lovensmistanke om en sikkerhedshændelse og kun i det omfang, det er nødvendigt for afklaringaf forhold vedrørende hændelsen" svarende til bestemmelsen i GovCERT-lovens §4, stk.hændelsen",lovens1. Denne bestemmelse giver en fornuftig begrænsning i forhold til behandling af persoenneperson-oplysninger.Forholdet til persondatalovenGovCERT-lovens §5 præciserede, at GovCERT funktionen alene var undtaget persondatlovensGovCERT-funktionenpersondata-lovens §35, mens det nye CFCS med sin placering under FE generelt er undtaget hele peper-sondataloven, jf. CFCS-loven §8, stk 1 og persondataloven §2, stk. 11.lovenstk.I lyset af at GovCERT gennem sine prober på nuværende tidspunkt har adgang til betydeli-ge dele af kommunikationen mellem borgerne/virksomheder og staten og på længere sigtfår adgang til stadig større dele af kommunikation mellem borger/virksomheder og bredegangdele af den offentlige sektor m.v. og især i lyset af at ovenstående adgang gives som følgeaf en proportionalitetsafvejning mellem Grundlov ens §72 (indgreb i meddelelseshemmGrundlovensmeddelelseshemme-ligheden) og EMRK artikel 8 (retten til privatlivets fred) på den ene side og de samfundsamfunds-
mæssige interesser i at håndtere sikkerhedshændelser for offentlige myndigheder på denanden side, og endelig i lyset af den udvidelse af datagrundlaget der lægges op til, herun-der særligt mulighederne for at bryde fortrolig krypteret kommunikation (jf. nedenfor),synes det at være en udfordring i forhold til at beskytte borgernes og virksomhedernesretssikkerhed at undtage al denne kommunikation fra den beskyttelse, som persondatalo-ven giver.I henhold til den evaluering af GovCERTs virke, som Forsvarsministeren skal give Folketin-get i henhold til GovCERT-lovens §9, og som foreligger i udkast her i januar 2014, synesder ikke at have været fagligt behov for at udvide undtagelserne fra persondataloven.Forsvarsministeriet har, for at råde bod på den væsentlige ændring af anvendelsen af per-sondataloven i GovCERTs virke, dels indarbejdet §§ 9-14 og §18 i CFCS-loven og dels ind-draget en række af principperne fra persondataloven i Forsvarsministeriets "Retningslinjerfor behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Ef-terretningstjeneste" (Retningslinjer af 13. maj 2013). Således kan der siges at være et be-tydeligt sammenfald mellem persondataloven, retningslinjerne af 13. maj 2013 og CFCS-loven som følger:Persondataloven§3 (definitioner)§5 (god behandlingsskik)§6 (almindelige oplysninger)§7 (følsomme oplysninger)§8 (rent private forhold)§41 (sikkerhed)Retningslinjerne af 13. CFCS-lovenmaj 2013§2§10§9, §13 og §14§11§10§12§11§13§12§14§18 (uden krigsreglen)
Retningslinjerne af 13. maj 2013 bliver efter lovens ikrafttræden erstattet af nye retnings-linjer, hvis indhold vi ikke kender. Retningslinjerne kan desuden alene anvendes til tje-nestelige sager og kan ikke bruges af en domstol.Det er et positivt skridt, at Forsvarsministeriet lægger op til, at CFCS skal følge personda-taloven på så væsentlige punkter. Det er også et naturligt skridt, at visse dele af person-dataloven ikke finder anvendelse for CFCS, f.eks. §§ 15-26 om kreditoplysningsbureauerog §§ 43-54 om anmeldelse til Datatilsynet.Imidlertid synes det bemærkelsesværdigt at:1. krigsreglen (Retningslinjerne af 13. maj 2013, §14, stk. 3 og persondataloven §41,stk. 4) ikke finder vej til CFCS-loven2. der ikke lægges op til at spørge eller i det mindste orientere Tilsynet med Efterret-ningstjenesterne i principielle sager hvor der behandles personoplysninger, jf.f.eks. persondataloven §7, stk. 73. der ikke lægges op til at give borgere og virksomheder et lille minimum af rettig-heder i henhold til persondatalovens §§ 28-40.Der opfordres til, at Forsvarsministeren anvender sin mulighed i CFCS-loven §8, stk. 2 ogvurderer, om det er muligt at tildele borgere og virksomheder et minimum af rettigheder.
Der opfordres desuden til at bruge Tilsynet som vejledende organ og til at implementerekrigsreglen.Udvidelse af datagrundlaget begrænser konkurrencenDatagrundlaget for GovCERT var bestemt ved GovCERT-lovens §4, stk. 1, hvor det omfat-tede: "tilsluttede myndigheders og private virksomheders ind- og udgående pakke- og tra-fikdata". Med CFCS-loven lægges der op til, at datagrundlaget udvides på fem forskelligemåder.Den første udvidelse af datagrundlaget sker som følge af at mængden af organisationer,som kan tilslutte sig CFCS netsikkerhedstjeneste, bliver udvidet, når man ændrer ordlydenfra "kritisk infrastruktur" (GovCERT-lovens §2) til "samfundsvigtige funktioner" (CFCS-lovens §1).Med denne udvidelse af datagrundlaget er der en risiko for, at CFCS netsikkerhedstjenestekommer i konkurrence med private sikkerhedsleverandører. I "bemærkninger til lovforsla-gets enkelte bestemmelser" præciseres det, at de samfundsvigtige funktioner omfatter:"sundhed, energi, transport, forsyning, finans, forskning, medier og kommunikation samtfunktioner, som har stor økonomisk betydning for samfundet... medicinalvirksomheder,fødevarevirksomheder, virksomheder, der leverer vigtige komponenter til Forsvaret, ogvirksomheder, der varetager driften af administrative it-systemer for det offentlige" (p.35).Listen viser, at en ganske stor del af det private erhvervsliv kan tilslutte sig CFCS netsik-kerhedstjeneste. Dermed kan netsikkerhedstjenesten gå i direkte konkurrence med priva-te udbydere af sammenlignelige services. Der findes på det private marked tjenester, der iet vist omfang er sammenlignelige med CFCS netsikkerhedstjeneste. Flere sikkerhedsvirk-somheder har f.eks. et system af prober til at opsamle data og analysere sikkerhedshæn-delser på det globale internet, svarende til hvad CFCS netsikkerhedstjeneste har på dendanske del af internettet. De pågældende virksomheder har selv status af at være CERTereller CSIRTer og indgår derfor CERT-CC samarbejdet med deres data. At være i konkurren-ce med sådanne virksomheder synes ikke at være foreneligt med CFCS formål.DI, DI ITEK og TI mener derfor, at det bør præcises i lovens bemærkninger, at CFCS’s akti-viteter bør tilrettelægges således, at netsikkerhedstjenesten mindst muligt konkurrer medprivate udbydere af sammenlignelige services.Der er omvendt begrænsninger på, hvem der kan tilslutte sig CFCS' netsikkerhedstjeneste,og disse begrænsninger fastlås det i loven, at CFCS selv skal være herre over. I "bemærk-ninger til lovforslagets enkelte bestemmelser" uddybes kriterier for at en virksomhed kantilsluttes: "[virksomhederne skal] kunne bidrage til at understøtte et højt informationssik-kerhedsniveau i samfundet" og at "netsikkerhedstjenesten samlet set opnår en sam-fundsmæssigt repræsentativ dækning" (p. 36). Det betyder, at den første medicinalvirk-somhed, som tilmelder sig tjenesten godt kan blive optaget, men den næste medicinal-virksomhed, kan ikke blive tilsluttet. Skulle det ske, at CFCS opdager en sikkerhedshæn-delse indenfor medicinalindustrien, kan den første virksomhed altså blive bedre stillet endde øvrige.
CFCS bør i loven pålægges, at i det omfang, de opdager sikkerhedshændelser, der er mål-rettet enkelte virksomheder eller sektorer, har CFCS en forpligtelse til at orientere denenkelte virksomhed eller sektorens brancheorganisation med relevante informationer omangrebet uanset om virksomheden eller sektoren er tilsluttet CFCS eller ej.Den anden udvidelse af datagrundlaget sker, når man udvider netsikkerhedstjenesten tilforuden af omfatte data fra GovCERT også omfatter data fra MILCERT. DI, DI ITEK og TI haringen bemærkninger til denne udvidelse af datagrundlaget.Den tredje udvidelse af datagrundlaget sker, når man åbner op for, at virksomheder ogmyndigheder midlertidigt kan tilsluttes netsikkerhedstjenesten i henhold til CFCS-lovens§6. Den fjerde udvidelse af datagrundlaget sker, når der er behov for at analysere data fraet informationssystem i henhold til CFCS-lovens §7. Hvad angår håndtering af sådannepludseligt opståede sikkerhedshændelser, findes der en lang række af private aktører,som allerede påtager sig at levere sådanne services på markedsvilkår. At være i konkur-rence med sådanne virksomheder synes ikke at være foreneligt med CFCS formål. Vi anbe-faler derfor, at CFCS henviser til private leverandører, når der skal foretages arbejde af-ledt af midlertidig tilslutning efter §6, og når der skal analyseres informationssystemer ef-ter §7.Iøvrigt fremgår det ikke klart af loven, om den midlertidige tilslutning og analyse af datafra et informationssystem er noget, som er frivilligt for den som er ramt af en sikkerheds-hændelse, eller om CFCS har myndighed til at pålægge en juridisk person, som CFCS me-ner har været udsat for en sikkerhedshændelse, at blive tilsluttet eller få analyseret sit in-formationssystem. Det bør præciseres i bemærkningerne, at samtykket i CFCS-loven §6,nr. 1 og §7, nr. 1 betyder at både midlertidig tilslutning og analyse af data fra et informa-tionssystem er frivilligt, og ikke kan pålægges af CFCS.Den femte udvidelse af datagrundlaget sker i og med at GovCERT ikke havde hjemmel tilat bryde kryptering, men at CFCS får denne hjemmel (bemærkninger til lovforslagets en-kelte bestemmelser, p. 37). DI, DI ITEK og TI anerkender, at kriminelle ofte anvender kryp-tering for at skjule deres handlinger. Det forhold bør dog afvejes imod at borgere og virk-somheder ofte også bruger kryptering til at særligt fortrolige data, og at CFCS derfor vedat bryde krypteringen må forvente at få adgang til data, som er endnu mere følsommeend hidtil. Det er vigtigt, at man fra politisk hold er opmærksom på denne afvejning.Videregivelse af data til teleselskaberneMed CFCS-lovens §16 lægges der op til at udvide videregivelse af forskellige data til for-skellige parter. Videregivelse af trafikdata kan i henhold til stk. 2 bl.a. ske til ”udbydere afoffentlige elektroniske kommunikationsnet og –tjenester”. I ”bemærkninger til lovforsla-gets enkelte bestemmelser” p. 44 hedder det, at ”især teleselskaber kan forbedre deressikkerhedssystemer, således at den ikt-infrastruktur, som samfundsvigtige funktioner iovervejende grad er afhængige af, kan sikres yderligere”. Formuleringen rejser spørgsmå-let om, hvem der har ansvaret for brugen af informationerne. Konkret vil CFCS formodent-lig levere en række IP-adresser, som indeholder skadelige services - f.eks. command andcontrolservere eller dropservere i BOT-nets - til teleselskaberne og ved samme lejlighedfremsætte et ønske om, at de pågældende IP-adresser blokeres. Loven placerer imidlertidikke et ansvar for blokeringen, og det betyder, at hvis teleselskaberne efterkommer CFCS
ønske, så kan teleselskaberne risikere at hænge på regningen og dårlig omtale ved at be-drive censur af tjenester på internettet og lege politimand på CFCS’ vegne. Når §16, stk. 2så ses i sammenhæng med §17, stk. 4, hvor det fremgår, at CFCS ikke pålægger en slette-pligt ved videregivelse af data i medfør af §16, stk. 2, står teleselskaberne i en situation,hvor de ikke ved, hvornår blokeringen af de omtalte IP-adresser skal ophøre, og altså risi-kerer at holde tjenester på nettet blokeret længere end nødvendigt.DI, DI ITEK og TI mener, at det er ganske udmærket, at loven ikke forhindrer, at CFCS net-sikkerhedstjeneste kan videregive trafikdata til teleselskaberne. Men skal man få succesmed dette tiltag og gøre en reel forskel for at beskytte samfundsvigtige funktioner gen-nem blokering, er det vigtigt, at loven præciserer, at ansvaret for blokeringen ligger hosCFCS, og at CFCS har en forpligtelse til at angive, i hvilket tidsrum blokeringen skal opret-holdes. Det bør desuden overvejes at kompensere teleselskaberne for den økonomiskebyrde, det vil være at implementere og fjerne blokeringen.Videregivelse af data fra GovCERT til MILCERT og FEI GovCERT-loven §6, stk. 2 hed det: ”Pakkedata, der knytter sig til en sikkerhedshændelse,kan videregives til Forsvarets Efterretningstjenestes militære CERT, hvor IT- og Telestyrel-sen skønner det nødvendigt for at beskytte nationale digitale infrastrukturer mod sikker-hedsmæssige trusler”. CFCS har gentagne gange understreget, at netop opretholdelsen afdette forhold er det, som sikrer borgernes retssikkerhed.Med CFCS-loven fjernes denne beskyttelse: ”En sådan intern udveksling af data har efteroprettelsen af Center for Cybersikkerhed ikke længere karakter af en videregivelse, og deninterne udveksling af data i Forsvarets Efterretningstjeneste er… ikke længere reguleret ilovforslaget” (almindelige bemærkninger, p. 26). I udgangspunktet betyder det, at FE ibred forstand får adgang til GovCERTs data (også pakkedata), og FE kan derfor i udgangs-punktet bruge disse data, indenfor de rammer der er bestemt i FE-loven. Det synes at væ-re en ganske vid udvidelse i anvendelsen af data, ikke mindst fordi det som tidlige anførthandler om al kommunikation mellem borgere/virksomheder og den offentlige sektorm.v.I bemærkningerne, p. 9, hedder det også om Retningslinjerne af 13. maj 2013, at: ”Ret-ningslinjerne fastsætter derudover en række bestemmelser om den interne udveksling afoplysninger mellem Center for Cybersikkerhed og den øvrige del af Forsvarets Efterret-ningstjeneste”. Retningslinjerne erstattes af nye retningslinjer efter CFCS-lovens vedtagel-se. Hvis det kan lægges til grund at indholdet af retningslinjerne vil blive videreført, såle-des som de almindelige bemærkninger (p. 26) indikerer: ”Forsvarsministeriet vil imidlertidmed lov om Center for Cybersikkerheds ikrafttræden udstede administrative retningslin-jer, der sikrer, at den interne udveksling af oplysninger mellem Center for Cybersikkerhedog den øvrige del af Forsvarets Efterretningstjeneste også fremadrettet sker med respektfor retssikkerheden og den personlige frihed”, så gælder det jf. §6, stk. 2, at ”Vurderingenaf, om en videregivelse af trafikdata til FE’s efterretningsmæssige virksomhed er nødven-dig i henhold til varslingstjenestens formål og aktiviteter, jf. GovCERT-lovens §6, nr. 3, fo-retages af chefen for CFCS eller en af denne udpeget person”..
DI, DI ITEK og TI mener, at det er uklart, i hvilket omfang GovCERTs data kan bruges af FE.Vi mener også, at det er en uheldig konsekvens af CFCS placering i FE, at der er risiko forat der bliver en så vid adgang til GovCERTs data. Vi anbefaler, at:- at det i de kommende retningslinjer fortsat fastslås, at der fra gang til gang skaltages stilling til, om pakkedata kan videregives fra CFCS til FE- at adgang for FE kun må gives, når det er nødvendigt i henhold til CFCS’s formål ogaktiviteter eller der foreligger et andre nærmere kvalificerede beskyttelsesværdigeformål,- at det overordnet sikres, at der ikke sker et automatisk og generelt flow af alle tra-fikdata fra GovCERT til FEVideregivelse af data til udlandetI CFCS-lovens §16, nr. 2 hedder det, at: ”trafikdata videregives til… andre netsikker-hedstjenester”. Dette uddybes i de almindelige bemærkninger (p. 25) med, at det er enforudsætning for CFCS succes, at trafikdata kan videregives til andre landes CERTer og ikt-sikkerhedsmyndigheder.Vi noterer os med tilfredshed, at pakkedata alene må videregives til politiet jf. §16, nr. 1.Vi finder det samtidig absolut nødvendigt med et samarbejde mellem myndighederne påtværs af grænser, idet langt størsteparten af den it-kriminalitet der foregår, er grænse-overskridende. Da §16, nr. 2 henviser til data der er omfattet af §§ 4, 6 og 7 synes der ikkeat være nogen begrænsning på omfanget af trafikdata, som kan videregives til udlandet.Basalt set ville alle indsamlede trafikdata kunne overføres til samarbejdspartnere i frem-mede lande. I lyset af den udvidelse af datagrundlaget, der med lovforslaget finder sted,synes det rimeligt, at sikre en vis begrænsning i mulighederne for at overføre data eller idet mindste at underlægge omfanget demokratisk kontrol. DI, DI ITEK og TI anbefalerkonkret, at der kun må overføres trafikdata til udlandet, som er tilknyttet en sikkerheds-hændelse som defineret i §2, nr. 1. Alle trafikdata, som ikke er tilknyttet en sikkerheds-hændelse, må dermed ikke overføres.SlettefristerMed CFCS-loven ændres der betydeligt i slettefristerne. Trafik- og pakkedata behandlesnu ens. Det betyder, at pakkedata, hvortil der ikke er knyttet en sikkerhedshændelse, nukan gemmes i 13 måneder (CFCS-loven, §17, stk. 2) i modsætning til tidligere i 14 dage(GovCERT-loven, §4, stk. 3, nr. 2). Trafikdata, hvortil der ikke er sket en sikkerhedshæn-delse, kan gemmes i 13 måneder mod tidligere 12 måneder.Yderligere slås det i CFCS-loven, §4, stk. 4 fast, at der ikke stilles krav om sletning for data,som videregives.Sammenholdes bestemmelserne om videregivelse til udlandet og slettefristerne står derbasalt set i loven, at alle trafikdata kan videregives til udlandet og aldrig behøver at bliveslettet.DI, DI ITEK og TI finder det ikke proportionalt, at pakkedata kan gemmes i 13 måneder ogforeslår, at tidshorisonten sænkes til én måned. Desuden synes det ikke rimeligt, at derikke stilles krav om sletning, når data videregives. Dette gælder både videregivelse af tra-fikdata til teleudbyderne (jf. bemærkningerne ovenfor) og ved videregivelse til myndighe-
der i udlandet. Derfor anbefaler vi, at der når data videregives, fastsættes krav om slet-ning.TilsynetI lyset af placeringen af CFCS i FE er det naturligt at nedlægge Tilsynet med GovCERT ogoverlade opgaven til Tilsynet med Efterretningstjenesterne.Tilsynet med GovCERT skulle i henhold til GovCERT-loven §7, stk. 2 kunne præstere juri-disk, it-revisionsmæssig og sikkerhedsmæssig sagkundskab. Tilsynet med CFCS bliver ihenhold til CFCS-loven, kapitel 9, Tilsynet med Efterretningstjenesterne. Men i PET-lovenskapitel 9 findes der ikke tilsvarende krav til sagkundskaben hos dem, der udpeges til Tilsy-net. Der er derfor en risiko for, at man vil mangle kompetencer i det nye tilsyn.Det bør sikres, at Tilsynet med Efterretningstjenesterne har adgang til den fornødne sag-kundskab og ikke alene repræsenterer juridiske kompetencer.Andre bemærkningerI CFCS-loven §17, stk. 3 omtales registrering af data. Registrering defineres ikke nogetsted i loven. I den konkrete situation er der dermed en risiko for, at CFCS kan have dataliggende, som ikke er registrerede, og dermed ikke er omfattet af slettefristerne. I et bre-dere perspektiv kunne der også være en risiko for, at sådanne data slet ikke er omfattet afloven. Det bør i bemærkningerne præciseres, at en registrering i overensstemmelse meddet persondataretlige begreb er en behandling jf. CFCS-lovens § 2, nr. 5.I både "Evaluering af GovCERT-loven" og lovforslagets almindelige bemærkninger 3.2.2fremhæves vigtigheden af adgang til pakkedata. Imidlertid vil det være nyttigt, dersomder mere generelt bliver fremlagt vurdering af CFCS effektivitet med hensyn til at efterle-ve formålet i CFCS-lovens §1. Vi opfordrer til, at CFCS offentligt demonstrerer, at de fak-tisk har en effekt på cybersikkerheden i Danmark.For at sikre, at formålet med CFCS kan opfyldes er det nødvendigt, at CFCS får informatio-ner fra de tilsluttede virksomheder enten i form af CFCS anmoder om oplysningerne ellervirksomheden af egen drift informere CFCS om forhold der er kan understøtte et højt in-formationssikkerhedsniveau i samfundet eller virksomheden har en mistanke om en sik-kerhedshændelsen. Loven synes imidlertid alene at vedrører den behandling af oplysnin-ger Center for Cybersikkerhed kan foretage. Selve udleveringen af personoplysning her-under trafik- og pakkedata der sker på initiativ af en privat virksomhed er derimod ikkebehandlet i loven. Da en sådan udlevering af oplysninger ikke nødvendigvis er lovlig efterhhv. persondataloven eller teleloven, bør det præciseres i CFCS-loven, at udleveringen afpersonoplysning herunder trafik- og pakkedata til CFCS lovlig kan foretages af en tilsluttetvirksomhed uden at der foreligger en konkret anmodning fra CFCS.Vi står naturligvis til rådighed med en uddybelse af ovenstående synspunkter.Med venlig hilsen
Henning MortensenChefkonsulentDI ITEK=
Jakob WillerDirektørTeleindustrien