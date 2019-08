Der er ikke grund til politisk bekymring over, at kontrollen med TDC’s mobilnetværk flytter til Rumænien. Det siger chef for Center for Cybersikkerhed Thomas Lund Sørensen.

Er det en sikkerhedsrisiko, at kontrollen med TDCs mobilnetværk udflyttes til Rumænien?

»Først er det vigtigt at slå fast, at det ikke er indholdsdata, som tilgår Rumænien. I nogle medier har det fremstået, som om der bliver adgang til indholdet af sms’er, telefonsamtaler og websider. Det er ikke tilfældet. NOC’en er et sted, hvor man undersøger fejlalarmer. Det kan være en antenne, der er faldet ud, eller i den dur. Man ser, om der er noget galt – og hvis det er tilfældet, så sender man besked til teknikere i Danmark om, at det skal fikses, eller fikser det i NOC’en«.

Kan man spore, hvor en telefon er, og hvem den ringer eller sender en sms til?

»Man vil kunne se, at en telefon er forbundet til en radiomast, men ikke hvem brugeren af telefonen er. Men man sidder ikke og holder øje med, hvor din telefon er, eller hvad du gør. Man anvender kun de her informationer fra masten, når der er behov for fejlretning«.

Og så spørger jeg – er det en sikkerhedsrisiko, at de oplysninger kan tilgås fra Rumænien?

»Det anser vi ikke for at være en sikkerhedsrisiko af den simple grund, at det er måden, Ericsson og andre store netværksleverandører driver deres telenet på. Og vi skal huske på, der er to former for sikkerhed. Et er, hvem der har adgang til data, og hvilke data det er. Det andet er sikkerhed for, at nettet fungerer. De to hensyn skal følges ad, og det gør de her.

Da kinesiske Huawei overtog driften af TDC’s netværk i 2013, fik Huawei besked om at placere deres NOC i Danmark, og at I skulle sikkerhedsgodkende medarbejderne i NOC’en. Hvorfor var det vigtigt?

»Huawei kom med et særligt ry som kinesisk virksomhed, så vi drøftede med dem og TDC om, hvordan vi håndterede de bekymringer, der omgav Huawei. Vi kom frem til, at Huawei lagde NOC’en i Danmark, så vi kunne stille krav om, at aktiviteten blev logget, og at vi kunne få adgang. Sikkerhedsgodkendelserne handlede om at sikre, at det var personer fra EU- og Nato-lande, der sad i centret. Det var Huawei med på. Der var altså tale om en frivillig aftale«.

Hvad var I bange for kunne ske?

»Vi var særligt bekymrede for, at netværket fik ekstra funktionalitet, hvor man – for at sætte det på spidsen – kunne trykke på en knap op få det vigtigste danske telenetværk til at gå ned«.

Hvis jeg vidste, hvad dit telefonnummer var, kunne jeg fra NOC’en finde ud af, hvor du befinder dig, hvem du taler med, og samle analyse på det. Var det en bekymring, I havde?

»Misbrug er grundlæggende en bekymring, vi har, når man har adgang til data. En NOC har til opgave at rette fejl, og så er det nødvendigt at have adgang til den form for oplysninger i konkrete tilfælde. Men det er ikke nødvendigt at samle eller lagre data ud over fejlretningen. Det bygger i vidt omfang også på en tillidskonstruktion suppleret med kontrol. Man må gå ud fra, det er i det danske teleselskabs og den svenske underleverandørs interesse at sikre netværkets integritet og sikkerhed om data«.

Hvorfor er de ekstra sikkerhedskontroller, I aftalte dengang, ikke nødvendige i dag, når Ericsson overtager driften?

»Vi ser den konstruktion, vi lavede med Huawei, som undtagelsen fra det normale. Loven giver os ikke mulighed for at stille præcis den type krav. Til gengæld kan vi forlange, og det gør vi også, at der foretages uafhængige sikkerhedsundersøgelser. Vi kan stille krav om, at en sikkerhedsgodkendt medarbejder fra TDC udstationeres i NOC’en for at overvåge, at tingene foregår, som de skal. Vi kan også deltage, når teleudbyderen er på tilsyn«.

En ting er, at loven ikke giver jer mulighed for at stille de her krav. Noget andet er, hvis I ikke mener, det er nødvendigt. Er det begge dele?

»Jeg kan ikke løfte sløret for alle de sikkerhedsforanstaltninger, vi har fået TDC til at skrive ind i kontrakten med Ericsson, som betrygger os tilstrækkeligt. Men jeg kan sige, hvad vi blandt andet lægger vægt på, uanset om det foregår i Danmark eller udlandet. Der skal være en meget stærk adgangskontrol. At det kun er dem, som må logge på systemet, der logger på. Der skal også være sporbarhed. Altså at der er en effektiv logning, som ikke kan ændres, og som kontrolleres«.

Foreslog I TDC og Ericsson at holde NOC’en i Danmark, hvor I kan sikkerhedsgodkende medarbejderne?

»Nej. Vi har ikke lagt vægt på det aspekt. Vi lægger stor vægt på, at TDC og Ericsson har en fælles interesse i at sikre, at sikkerheden er i orden. Og at de giver os mulighed for at følge med i, hvordan sikkerheden håndteres, og foreslå initiativer. Vi har mødt stor imødekommenhed«.