Hvor længe må man gemme danske myndigheders og virksomheders internettrafik, som kan indeholde fortrolige oplysninger og forretningshemmeligheder, hvis formålet er at beskytte dem mod cyberangreb?
Det er spørgsmålet i en strid om cybersikkerhed over for retten til privatliv, som nu er havnet på forsvarsminister Trine Bramsens (S) bord. Det sker som følge af, at Danmarks spiontilsyn og Center for Cybersikkerhed ikke kan blive enige om, hvordan lovgivningen skal fortolkes.
Sagen handler om det sensornetværk, Center for Cybersikkerhed bruger til at opfange digitale trusler og angreb mod Danmark. Netværket fungerer ved, at sensorer er installeret i samfundsvigtige myndigheder og virksomheder, hvor de overvåger internettrafikken. Hvis der opstår noget uventet – såsom at Statsministeriets e-mailsystem modtager mistænkelige henvendelser fra Rusland – sender sensoren en alarm til Center for Cybersikkerhed, som undersøger hændelsen.
Fordi Centret er en del af Forsvarets Efterretningstjeneste, har Tilsynet med Efterretningstjenesterne til opgave at sikre, at oplysningerne behandles efter loven. Men i 2019 viste tilsynets stikprøver, at 67 pct. af det udtrukne sensordata var blevet gemt, selv om det ifølge tilsynet burde være blevet slettet.
Det er ifølge tilsynet problematisk, eftersom der kan være tale om meget følsomme oplysninger fra myndigheder eller virksomheder. Det siger tilsynets formand, landsdommer Michael Kistrup, til Politiken.
»Det er et højt tal. Det er alvorligt. Centret overvåger internettrafikken, og i de udtræk vi har lavet, var 67 pct. af oplysningerne gemt, selv om de ifølge loven skulle være slettet«, siger Kistrup og fortsætter:
»Hvis du sætter dig på din computer på Politiken og søger på internettet, så er sensordata al den trafik, som ryger igennem. Centret registrerer det for at beskytte de virksomheder og myndigheder, som er omfattet af sensornetværket, og det er altså alle deres data«.
Center afviser kritik
Tilsynets bekymringer afvises af Center for Cybersikkerhed, som fortolker slettereglerne i loven anderledes.
I det tænkte eksempel, hvor Statsministeriets mailsystem oplever ukendt trafik, undersøger Centret, om der er sket et it-sikkerhedsbrud. Hvis det viser sig at være falsk alarm, mener tilsynet, at Centret skal slette oplysningerne, når sagen er afsluttet. Kun enkelte data må gemmes, hvis de kan være relevante for en videre undersøgelse. Centret mener omvendt, at oplysningerne skal gemmes, fordi det ikke kan afvises, at en ny alarm stiller sagen i et andet lys.
Det handler altså om sporsikring, forklarer chef for Center for Cybersikkerhed, Thomas Lund-Sørensen. Han mener, at loven har opstillet generelle slettefrister, som beskytter de tilsluttede myndigheder og virksomheder.
»Uenigheden går på, at vi anser det for vigtigt at have et komplet databillede for at kunne erkende igangværende og fremtidige cyberangreb. Vi har i loven en absolut slettefrist, som sikrer, at data, der relaterer sig til en sikkerhedshændelse, bliver slettet efter fem år, og øvrige data typisk efter 13 måneder. Det mener vi er den rette fremgangsmåde. En sletning før dette tidspunkt vil mindske vores beskyttelsesevne«, siger Thomas Lund-Sørensen til Politiken.
Sagen er derfor endt hos Forsvarsministeriets jurister og minister Trine Bramsen (S), som skal afgøre, om tilsynet eller Centret har ret. Politiken har ikke kunnet få oplyst, hvornår sagen forventes at være færdigbehandlet.
Det er en principielt vigtig sag, blandt andet fordi Centret i 2019 fik udvidet ret til at påbyde »samfundsvigtige« virksomheder med tvang at blive tilsluttet sensornetværket. Det mener Kim Stensdal, der er chef for kommunikation og viden i Dansk IT.
Men det er også en sag, som ifølge Stensdal er svær at vurdere udefra, når man ikke kender indholdet af den sensordata, de to myndigheder strides om.
»Det er rigtig vigtigt at få afklaret, hvad for rammer, der gælder. For det er alvorligt, når et tilsyn går ud og påpeger, at Centret tilsyneladende ikke følger loven. Men hvem af de to parter, der har fat i den lange ende, har jeg svært ved at vurdere. Men af hensyn til de virksomheder og myndigheder, som er tilsluttet, er det vigtigt, at der står fuldstændig klart, hvad for regler, der gælder, og at man har tillid til, de bliver fulgt«, siger Kim Stensdal.
Ifølge Thomas Lund-Sørensen vil der sjældent være tale om data, som kan kompromittere virksomheder eller myndigheder.
»De data, vi kigger på, relaterer sig til it-sikkerhedsmæssige hændelser. Vi vil typisk ikke vide om der er tale om forretningshemmeligheder, men hvis der er, så meget desto vigtigere er det, at vi forhindrer, at nogen forsøger at få uretmæssig adgang til de data«, siger Center-chefen.
Spionskandalen i Forsvaret
Sensornetværket og Center for Cybersikkerhed har tidligere været genstand for kritik, særligt fordi den civile internetovervågning blev placeret under Forsvarets Efterretningstjeneste. Det fik i 2014 Dansk Erhverv og Dansk Industri til at udtrykke bekymring for, om data kunne videresendes til udenlandske efterretningstjenester og ikke blev slettet rettidigt.
Spørgsmålet om, hvorvidt data blev behandlet fortroligt, var så betændt, at blandt andre Kirkeministeriet dengang afviste at blive tilsluttet. Hensynet til præsternes tavshedspligt blev vægtet højere end mulighederne for øget cybersikkerhed.
I 2019 fik daværende forsvarsminister Claus Hjort Frederiksen (V) vedtaget et lovforslag, som gav centret mulighed for at tvinge selskaber til at blive koblet på sensornetværket. Det skete i erkendelse af, at kun to selskaber frivilligt havde ladet sig tilslutte.
Frygten var atter, at Forsvarets Efterretningstjeneste kunne få adgang til virksomheders hemmelige oplysninger i sensornetværket, som kunne byttes med udenlandske tjenester. Den mulighed afviste Claus Hjort Frederiksen, da Politiken spurgte ham i 2019.
»Så vil de måske hellere have, at fremmede stater roder inde i deres systemer? Det vil være et besynderligt valg, at man ikke vil lukke den myndighed, der skal beskytte mod angreb, ind. Og at man hellere vil holde døren åben for, at den russiske, kinesiske eller nordkoreanske efterretningstjeneste kan snage rundt«, sagde Claus Hjort Frederiksen blandt andet.
Der er intet, som tyder på, at Center for Cybersikkerhed uberettiget har videregivet data til Forsvarets Efterretningstjeneste eller andre. Det fastslår spiontilsynets formand, Michael Kistrup, i forlængelse af den aktuelle uenighed.
»Vi har ikke indtryk af, at data uberettiget videregives til andre, herunder uberettiget udveksles med Forsvarets Efterretningstjeneste. Det har vi ikke fundet nogen eksempler på i vores kontroller«, siger Michael Kistrup og tilføjer:
»Det hensyn skal opretholdes, og det tror vi, det bliver. Alternativet ville skabe utryghed«.
Ingen tegn på videregivelse
Forsvarets Efterretningstjeneste befinder sig aktuelt i en historisk krise, hvor flere ledende medarbejdere er blevet fritaget for tjeneste. Ifølge Tilsynet med Efterretningstjenesterne hersker der i FE en »uhensigtsmæssig legalitetskultur«, hvor uberettigede aktiviteter bliver skrinlagt eller dækket over.
Politiken har spurgt centerchef Thomas Lund-Sørensen, om den aktuelle sag i Forsvarets Efterretningstjeneste påvirker Centrets arbejde.
»Det har jeg ingen kommentarer til«, svarer han.
I Dansk Industri har medlemsdirektør Lars Frelle-Petersen tillid til Center for Cybersikkerhed også i lyset af den aktuelle sag i moderskibet Forsvarets Efterretningstjeneste.
»Jeg har tillid til, at vi er et retssamfund, og vi har nogle myndigheder, som selvfølgelig overholder loven. Og hvis det ikke er tilfældet, har vi et tilsyn, som griber ind. Den her sag viser, at tilsynet udfører sin opgave, som den er tiltænkt. Jeg har grundlæggende tillid til myndighederne, det ændrer den verserende sag i Forsvarets Efterretningstjeneste ikke på, som jeg i øvrigt kun kender fra mediernes dækning«, siger Lars Frelle-Petersen.
Meget står og falder med tilliden til efterretningstjenesterne, siger også spiontilsynets formand, Michael Kistrup. Fx sker der løbende medarbejderudskiftning mellem tjenesterne, og der kan ske mundtlig overdragelse af viden, som tilsynet ikke effektivt kan kontrollere.
»Det er langt hen ad vejen en tillidsbaseret kontrolmodel, vi arbejder med, forstået på den måde, at når der ikke er et skriftligt eller datamæssigt spor, må vi have tillid til, at tjenesterne giver os korrekte og fyldestgørende oplysninger«, siger Kistrup.
Der skete en fejl, prøv igen senere
Der skete en fejl, prøv igen senere eller søg hjælp via vores kundecenter
