Forsvarsudvalget 2013-14
L 192 Bilag 2
Offentligt
Konsekvenserne aflovforslaget omCenter for Cybersikkerhed/ C-cureMette Nikander, Direktør
Det er positivt….
•at man ønsker at fokusere i langt højere grad på vores IT Sikkerhed ogdigitale integritet.•at der søges et lovgrundlag for CFCS virke.•at man tager udgangspunkt i ”Lov om behandling af personoplysningerved driften af den statslige varslingstjeneste for internettrusler m.v.”•at analysen af de pakkedata som CFCS' prober opsamler i civile netværk,kun må "finde sted ved begrundet mistanke om en sikkerhedshændelse ogkun i det omfang, det er nødvendigt for afklaring af forhold vedrørendehændelsen”.
Sikkerhedshændelse
Man tager i lovforslaget flere steder udgangspunkt i sikkerhedshændelser.En sikkerhedshændelse er beskrevet, som en hændelse der negativt påvirker,ellervurderesat ville kunne påvirke tilgængelighed, integritet eller fortrolighed afdata, informationssystemer, digitale netværk eller digitale tjenesterDet at der er tale om envurdering,kan åbne for en vid fortolkning, fordi deti princippet ud fra en masse øvrige hændelser på andre ”områder”, kanvurderes at være nødvendigt eller passende at foretage overvågning, på etnyt ”område”.Vi risikerer med andre ord at der uberettiget vurderes associeredeinteresser mellem parter, til begrundelse for periodisk systematiskovervågning.
Placering
CFCS placering under FE, undtager CFCS for persondataloven.Men CFCS skaludføre civile opgaver.
Det foreslås derfor, at CFCS i det hele adskilles fra FE og lægges i enseparat forvaltningsmyndighed beskyttet af persondataloven.
Insisterer man på en placering under FE, så bør CFCS,som minimum placeres i en,separat IT sikkerhedsafdeling underlagt persondataloven,men selvfølgelig såledesat der der tages nødvendige mindre forbehold i forhold til, at det skal ligge under FE.
Forvaltningsmyndigheden,der skal spore, overvåge og hindre cyberangreb,skalvære underlagt almindelige forvaltningsretlige principperfor indsigt, åbenhed ogkontrol, samt retsplejelovens krav om retskendelse ved indgreb imeddelelseshemmeligheden.
Placering
Da persondataloven i lovforslaget ikke gælder for CFCS, er der derfor givetretningslinjerud for behandling af personoplysninger,men det er kun retningslinjer,der fastsætter en række bestemmelser. Det er ikke en eksakt lovgivning.Det at man vil lave retningslinjer i loven for at kompensere for det ”tab” afretslighed virksomheder og personer i modsat fald vil bevare, er ikke godt nok.Retningslinier kan ikke bruges ved en domstol, men kun ved tjenestelige sager.Desuden børCFCS aktivitetertilrettelægges således, at netsikkerhedstjenesteni mindst muligt omfang konkurrerer med private udbydereaf sammenligneligeservices. Hvilket der ellers åbnes for under lovforslagets §6 og §7.Netsikkerhedstjenestens tilsluttede virksomheder bør være så få (i øvrigt offentliggjorte)virksomheder som muligt.
Meddelelseshemmelighed
GovCert har lige nu adgang til betydelige dele af kommunikationen mellemborgere/virksomhederne og staten ogCFCS vil på sigt få endnu bredereadgang ,også til kommunikationen med øvrige offentlige myndigheder.Man påtænker endda at få lov til at bryde krypteret kommunikation, men hvisdet er for at hindre kriminalitet, så vil de kriminelle jo blot finde andrekommunikationsveje end gennem Nettjenestens tilsluttede virksomheder.
Der gribes derved ind i Grundlovens passus ommeddelelseshemmelighedog iretten til privatlivets fred, men også i borgernes og virksomhedernes retssikkerhed,som de beskyttes af i persondataloven.Brud på kryptering bør kun ske, hvis der ligger en retskendelse og atTilsynet informeres forinden.
En nødlem
Kapitel 4, Indgreb i meddelelseshemmelighedenDette kapitel kan i princippet være en nødlem for Center for Cybersikkerhed, der kanrefereres til under andre paragraffer, hvilket der også gøres flere steder.Man kan uden retskendelse behandle pakke og trafikdata hidrørende fra netværk hostilsluttede myndigheder, også Forsvarets område,- og virksomheder.Og meget vil væreefter vurdering om nødvendighed…derfor bliver et effektivt tilsyn vigtigt.
Der henvises f.eks. i §11 og §12 til kapitel 4, når der tales om, at der ikke må behandles, videregives og analyserespersonoplysningerom racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning,fagforeningsmæssige tilhørsforhold og personoplysninger om helbredsmæssige og seksuelle forhold eller strafbare forholdmed mindre behandlingen er nødvendig for varetagelsen af CFCS opgaver, er til beskyttelseaf væsentlige hensyn tilstatens sikkerhed eller rigets forsvareller at behandlingen vedrører personoplysninger der er omfattet af kapitel 4
Kapitel 9, Tilsyn med behandling af personoplysninger§21,Den væsentligste nødlem - Stk.3, CFCS kan undtagelsesvist beslutte ikke at følgeen henstilling fra Tilsynet og skal da blot underrette Tilsynet herom og udenunødigt ophold forelægge sagen for forsvarsministeren til afgørelse.
Behandling af personoplysninger
Vedr. kapitel 6 , Behandling af personoplysninger i CFCSDet er kritisabelt at det i §9 indikeres at indsamling af personoplysninger ikkeanses uforenelige med senere formål, som at indsamle historiske, statistiskeeller videnskabelige øjemed. Indsamling bør udelukkende være afsikkerhedsmæssig karakter.I §10 om behandling af personoplysninger og i §12 om videregivelse af disse,angives at de da kun må finde sted hvis;6)Behandlingen er nødvendig for at CFCS ellerden tredjemand til hvemoplysningerne videregives, kan forfølge en berettiget interesseog hensynet til denpågældende person ikke overstiger denne interesse.
Vil Tilsynet være med til at vurdere dette grundigt nok, eller kun ved stikprøverinvolveres?
Databehandling og deling
I lov om Politiets Efterretningstjeneste, og Lov for ForsvaretsEfterretningstjeneste, åbnes der for indsamling , analyse, bearbejdning m.m.af data, som også kan udveksles under rammer af et etableret gensidigtsamarbejde med udenlandske myndigheder….CFCS/GOVCERT bør kun dele datamed disse myndigheder efter Tilsynets og ministeriets vurdering og forudgåendeaccept.Pakkedata bør slettes efter 1 måned også hvis de er videregivet til udlandet.Vi bør nuanceret forholde os til andre landes lovgivning og efterretningstjenesterder til tider er er meget åbne for indsigt i data og åbne for industrispionage.I enhver henseende at data deles med tredje part bør Tilsynet samtykke forinden!
Tilsyn
Lovforslaget angiver at CFCS skal træffe passende tekniske og organisatoriskeforanstaltninger mod oplysninger tabes forringes, misbruges eller kommeruvedkommende i hænde.Med reference til de nylige sager med NETS, IBM, Se og Hør etc. Hvor f.eks.Finanstilsynet og Datatilsynet ikke har udfyldt sin rolle tilfredsstillende,er det vigtigt atTilsynet hyppigt og effektivt tilsikrer, at dette også sker, som ønsket og løbendeoverholdes.§23 Tilsynets virksomhed er undtaget fra lov om offentlighed i forvaltningenbortset fra lovens §13Det fordrer stor tillid til Tilsynet og at der ikke må kunne opstå interessekonflikteri Tilsynet.Der skal nedsættes et Tilsyn udenfor ”Tilsynet med Efterretningtjenesterne”.Tilsynet skal have omfattende it-revisionsmæssige og tekniskesagkundskaber og stærke juridiske kompetencer, før at man kan tilsikre atborgernes og virksomhedernes rettigheder overholdes.
Loven om CFCS, når den er vedtaget, bør revideres efter 2 år, for at vi derved harmulighed for at korrigere og indrette loven, efter den teknologiske udvikling,menneskerettighedshensyn, konkurrencehensyn, behov for videndeling m.m.
Tak for Jeres tid
Mette Nikander:Tlf. 45 41 14 46www.c-cure.dk