Retsudvalget 2022-23 (2. samling)
REU Alm.del Bilag 215
Offentligt
2725626_0001.png
Folketingets Retsudvalg
Folketingets Forsvarsudvalg
Folketingets Granskningsudvalg
Christiansborg
Orientering om mulighederne for at tilgå beskeder fra Center
for Cybersikkerheds sensornetværk samt om konstateret op-
sætningsfejl hos centeret
1.
Der har politisk været rejst spørgsmål om, hvorvidt Folketinget blev
informeret om, at Center for Cybersikkerhed ikke havde lovhjemmel til
at tilgå beskeder, der måtte være lagret i centerets sensornetværk.
Jeg kan i den forbindelse henvise til følgende, der fremgår af den tale-
seddel, som den daværende forsvarsminister anvendte under det luk-
kede samråd C i Folketingets Granskningsudvalg den 7. december 2021:
”CFCS-loven giver dermed ikke hjemmel til at se efter indholdsdata
i den konkrete sag. Det må der ikke herske tvivl om.
CFCS har til opgave at finde og bremse malware. For at kunne varsle
om angreb på landets myndigheder og landets virksomheder i den
kritiske infrastruktur.
Vi skal have tiltro til, at CFCS kan behandle sensitive og forretnings-
kritiske data samt persondata i fuld diskretion. Når det er sagt, så
har vi faktisk rakt ud til CFCS om spørgsmålet for at kunne komme
til bunds i denne sag. Og budskabet fra CFCS er meget klart. Lad
mig citere fra min besvarelse af Retsudvalgets spørgsmål nr. 307,
som blev oversendt i går:
’CFCS’ monitorering [af statsministeriets netværk] omfatter ikke
SMS’er, der sendes gennem mobiloperatørernes mobilnetværk. Be-
skeder, der sendes via internettet – f.eks. via iMessage – ved an-
vendelse af et wifi-netværk, som CFCS monitorerer, vil potentielt
blive kunne opfanget af CFCS’ sensor.
Det er CFCS’ forventning, at der blandt andet pga. kryptering af evt.
relevant trafik ikke kan findes materiale i form af iMessages af re-
levans for Granskningskommissionen.’”
Dato:
Enhed:
Sagsnr.:
Dok.nr.:
Bilag:
19. juni 2023
CCD
2023/005054
567648
Ingen
Forsvarsministeriet
Holmens Kanal 9
1060 København K
Tlf.: +45 7281 0000
Fax: +45 7281 0300
E-mail: [email protected]
www.fmn.dk
EAN: 5798000201200
CVR: 25 77 56 35
Den daværende forsvarsministers taleseddel blev endvidere oversendt
til Folketingets Granskningsudvalg den 13. december 2021 som svar på
spørgsmål nr. 8 (Alm. del). Folketinget er således både mundtligt og
skriftligt blevet udtrykkeligt orienteret om hjemmelsspørgsmålet.
Side 1 af 4
REU, Alm.del - 2022-23 (2. samling) - Bilag 215: Orientering om mulighederne for at tilgå beskeder fra Center for Cybersikkerheds sensornetværk samt om konstateret opsætningsfejl hos centeret, fra forsvarsministeren
2.
Der har herudover været rejst spørgsmål om, hvorvidt det på nuvæ-
rende tidspunkt ville være muligt at tilgå beskeder, der stadig er lagret
i Center for Cybersikkerheds sensornetværk, såfremt der blev skabt den
fornødne lovhjemmel til at tilgå eventuelle beskeder, som kunne have
været af relevans for Minkkommissionens undersøgelser.
Forsvarets Efterretningstjeneste, hvorunder Center for Cybersikkerhed
hører, har oplyst følgende:
”Center for Cybersikkerhed (CFCS) har bl.a. til opgave at drive et
sensornetværk, som beskytter myndigheder og visse virksomheder,
der beskæftiger sig med f.eks. kritisk infrastruktur, mod cyberan-
greb. Formålet med sensornetværket er at detektere ondsindet tra-
fik, og ikke at logge aktiviteterne på de monitorerede netværk.
Sensornetværket virker ved, at en række sensorer via automatise-
rede processer monitorerer datatrafikken ind og ud af de pågæl-
dende myndigheders og virksomheders netværk. Der holdes lø-
bende øje med, om malware eller anden mistænkelig data indgår i
trafikken, og hvis dette er tilfældet, går en alarm hos CFCS. CFCS
kan herefter tilgå de pågældende data på sensoren og undersøge
den mistænkelige trafik nærmere.
Sensornetværket monitorerer ikke data, som sendes via mobilnet-
værk fra f.eks. en telefon. Hvis telefonen derimod har været koblet
på et wifi-netværk, der er tilsluttet sensornetværket, og der har
været anvendt en databaseret chatfunktion som f.eks. iMessage, vil
data knyttet hertil blive lagret i sensornetværket.
Såkaldte pakkedata og trafikdata fra sensornetværket - og herun-
der eventuelle data hidrørende fra iMessages - opbevares på de
sensorer, der monitorerer datatrafikken. Trafikdata opbevares des-
uden på en særskilt dataanalyseplatform, og kun ved konkrete IT-
sikkerhedshændelser hentes de berørte pakkedata til analyseplat-
formen og herfra videre til særlige analyseværktøjer. Pakkedata er
indholdsdata, f.eks. om indholdet af en e-mail eller en iMessage.
Trafikdata er f.eks. oplysninger om de tilsluttedes enheders IP-
adresser og tidspunktet for eventuel trafik til og fra disse adresser.
En sensor kan godt dække mere end én myndighed, og der opbe-
vares betydelige datamængder på sensorerne. Lagringskapaciteten
på de enkelte sensorer bliver derfor reelt den begrænsende faktor i
forhold til, hvor længe data opbevares. Når 95 pct. af sensorens
lagringskapacitet er nået, bliver ældste data overskrevet af ny data
og dermed slettet, selv om slettefristen endnu ikke måtte være
nået. Således er ældste data på de sensorer, som bl.a. dækker
Statsministeriet, pr. 16. juni 2023 fra den 22. maj 2022. Den til-
svarende dato for Justitsministeriet er den 25. oktober 2022.”
Sagsnr.: 2023/005054
Dok.nr.: 567648
Side 2 af 4
REU, Alm.del - 2022-23 (2. samling) - Bilag 215: Orientering om mulighederne for at tilgå beskeder fra Center for Cybersikkerheds sensornetværk samt om konstateret opsætningsfejl hos centeret, fra forsvarsministeren
Forsvarets Efterretningstjeneste har endvidere oplyst, at allerede slet-
tede data fra sensorerne ikke kan gendannes. Forsvarets Efterretnings-
tjeneste konkluderer på den baggrund, at Center for Cybersikkerhed ikke
er i besiddelse af sensordata – hverken trafikdata eller pakkedata – fra
den periode, som Minkkommissionen havde til opgave at undersøge.
Herudover har Forsvarets Efterretningstjeneste tidligere oplyst, at selv
hvis de pågældende data fortsat var tilgængelige, så ville krypteringen
gøre, at Center for Cybersikkerhed ikke ville forvente at kunne se ind-
holdet af iMessages af relevans for Minkkommissionen. På et møde i For-
svarsministeriet den 19. juni 2023 har den fungerende chef for Forsva-
rets Efterretningstjeneste og chefen for Center for Cybersikkerhed op-
lyst, at Forsvarets Efterretningstjeneste – efter at have undersøgt
spørgsmålet yderligere – nu vurderer, at det ikke ville være muligt for
Center for Cybersikkerhed at se indholdet af iMessages af relevans for
Minkkommissionen.
3.
Forsvarets Efterretningstjeneste har endvidere oplyst, at Center for
Cybersikkerhed i forbindelse med kortlægningen af, hvilke sensordata
fra Statsministeriet og Justitsministeriet, der aktuelt er lagret, er blevet
opmærksom på, at centeret uberettiget har implementeret en tre-årig
slettefrist i forhold til data fra Danmarks Meteorologiske institut (DMI).
Forsvarets Efterretningstjeneste har oplyst, at fejlen er opstået i forbin-
delse med implementeringen af en lovændring i 2019.
Lovændringen indførte differentierede frister for, hvornår Center for Cy-
bersikkerhed
senest
skal slette data fra centerets sensornetværk. Med
lovændringen er udgangspunktet, at data kan opbevares i op til 13 må-
neder, men for myndigheder, som i særlig grad beskæftiger sig med
udenrigs-, sikkerheds- og forsvarspolitiske forhold, samt virksomheder
og organisationer, hvis aktiviteter har særlig betydning for disse forhold,
kan data efter aftale med den pågældende myndighed eller virksomhed
opbevares i op til tre år. Der er ikke tale om, at Center for Cybersikker-
hed er forpligtet til at opbevare data i disse perioder, men alene, at cen-
teret
senest
skal slette data efter disse perioders udløb.
Forsvarets Efterretningstjeneste har om fejlen oplyst følgende:
”CFCS er blevet opmærksom på, at centeret i forbindelse med im-
plementeringen af ændringen i CFCS-loven i 2019 har begået en
beklagelig fejl. Fejlen består i, at CFCS for én myndigheds vedkom-
mende har anvendt en forkert slettefrist. Således har CFCS uberet-
tiget implementeret den 3-årige slettefrist i forhold til data fra Dan-
marks Meteorologiske institut (DMI).
Sagsnr.: 2023/005054
Dok.nr.: 567648
Side 3 af 4
REU, Alm.del - 2022-23 (2. samling) - Bilag 215: Orientering om mulighederne for at tilgå beskeder fra Center for Cybersikkerheds sensornetværk samt om konstateret opsætningsfejl hos centeret, fra forsvarsministeren
Omvendt har CFCS for andre myndigheders vedkommende ikke ud-
nyttet den forlængede slettefrist, som lovændringen medførte. Så-
ledes er muligheden for at opbevare data i op til 3 år ikke blevet
implementeret i forhold til bl.a. Statsministeriet, Justitsministeriet
og Forsvarsministeriet. Dette har haft betydning for, hvor længe
CFCS har haft trafikdata fra disse myndigheder, da data herfra er
blevet slettet fra dataanalyseplatformen efter 13 måneder. Det har
derimod ikke haft betydning for, hvor længe CFCS har haft pakke-
data, idet lagringskapaciteten på de enkelte sensorer som nævnt
reelt har været den begrænsende faktor i forhold hertil.
Statsministeriet indgik den 10. marts 2020 aftale med CFCS om at
ændre slettefristen til 3 år, og for Justitsministeriets vedkommende
skete dette den 21. januar 2021. Som følge af fejl i sagsbehandlin-
gen i CFCS blev de ændrede slettefrister imidlertid ikke implemen-
teret i sensornetværket. Trafikdata fra disse ministerier er derfor
fortsat blevet slettet i dataanalyseplatformen efter 13 måneder, selv
om CFCS efter lovændringen havde mulighed for at gemme data i
op til 3 år.
De pågældende trafikdata ville ikke kunne give mulighed for at se
hverken indhold, afsender eller modtager af en besked sendt via
iMessage.”
Jeg finder det naturligvis kritisabelt, at en sådan fejl kan opstå, og dette
har jeg meddelt chefen for Forsvarets Efterretningstjeneste.
Jeg har noteret mig, at Center for Cybersikkerhed straks vil bringe fejlen
til ophør, og at centeret vil sikre, at data, der er blevet opbevaret i strid
med lovgivningen, straks slettes. Endvidere har jeg noteret mig, at For-
svarets Efterretningstjeneste straks har orienteret Tilsynet med Efterret-
ningstjenesterne om fejlen, ligesom Forsvarsministeriet også retter hen-
vendelse til Tilsynet. Herudover har Forsvarets Efterretningstjeneste op-
lyst, at tjenesten har sikret, at den berørte myndighed – DMI – straks
orienteres om fejlen.
Jeg har anmodet Forsvarets Efterretningstjeneste om at udarbejde en
samlet redegørelse vedrørende forløbet i forbindelse med denne fejl.
Med venlig hilsen
Troels Lund Poulsen
Sagsnr.: 2023/005054
Dok.nr.: 567648
Side 4 af 4