Du har ingen artikler på din læseliste

Hvis du ser en artikel, du gerne vil læse lidt senere, kan du klikke på dette ikon

Så bliver artiklen føjet til din læseliste, som du altid kan finde her, så du kan læse videre hvor du vil og når du vil.

Læs nu
Du har ingen artikler på din læseliste

Næste:
Næste:
Lasse Kofod
Foto: Lasse Kofod

Gennem fire år har der været problemer med sikkerhedshåndteringen af de store mængder data, som Forsvarets Efterretningstjeneste og Center for Cybersikkerhed indsamler

Internationalt
Læs artiklen senere Gemt (klik for at fjerne) Læst

Forsvarets Efterretningstjeneste har stadig ikke styr på it-sikkerheden

Center for Cybersikkerhed, der nu skal overvåge og indsamle endnu flere informationer, har selv problemer med sikkerheden.

Internationalt
Læs artiklen senere Gemt (klik for at fjerne) Læst

Gennem fire år har Tilsynet med Efterretningstjenesterne kritiseret den måde, Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste (FE) håndterer sin egen it-sikkerhed på. Hvert år har CFCS, der skal sikre Danmark mod cyberangreb sammen med ’moderorganisationen’ FE, lovet, at der ville blive rettet op.

Hverken FE eller Center for Cybersikkerhed ønsker at kommentere de tilbagevendende sikkerhedsproblemer, eller at forklare, hvorfor tingene ikke er blevet bragt i orden. Ifølge årsberetningerne fra Tilsynet med Efterretningstjenesterne har »centret generelt overholdt lovgivningens bestemmelser«. Men på grund af sagernes karakter er det heller ikke muligt for tilsynet at beskrive, præcis hvad det er for sikkerhedsrisici, der alligevel har været kritisable.

Men det drejer sig om, at CFCS »ikke fuldt ud levede op til lovgivningens krav om sikkerhedsforanstaltninger eller internt fastsatte retningslinjer herom i forhold til et antal observationer med tilhørende risici«, hedder det i årsrapporten.

Mens hverken alvoren eller omfanget af sikkerhedsbristerne er beskrevet, så står det fast, at efterretningstjenesterne er på vej til at overvåge og opbevare endnu mere datatrafik end tidligere. Regeringen har netop sendt en lovændring i høring, der vil udvide CFCS’ beføjelser markant på baggrund af en stadig større trussel om cyberangreb på det digitaliserede Danmark.

Stadig flere informationer

Blandt andet skal CFCS kunne påbyde særlig samfundsvigtige myndigheder og private virksomheder at tilslutte sig netsikkerhedstjeneste. Det vil i sig selv skabe endnu større mængder data, som CFCS og FE skal behandle forsvarligt.

Samtidig vil lovændringerne gøre det muligt for Center for Cybersikkerhed også at overvåge den interne datatrafik, servere og enkelte medarbejderes computere inde i den tilsluttede virksomhed eller myndighed. Det sker, fordi cyberangreb i stadig større omfang krypteres eller forklædes på en måde, så en sygejournal fra en psykiatriafdeling eller en forretningshemmelighed hos et privat firma kan bruges til at skjule og transportere den såkaldte malware, som kriminelle og statslige aktører bruger til cyberangreb.

Dermed er der endnu mere fokus på, hvordan de enorme mængder af oplysninger bliver håndteret for at undgå, at de falder i forkerte hænder eller misbruges til andet end det formål, de er indsamlet til at dække.

Det er dele af den sikkerhedskultur, som tilsynet kritiserer Center for Cybersikkerhed og Forsvarets Efterretningstjeneste for ikke at have fuldstændig styr på.

Først var der i 2014-15 kritik på 9 ud af i alt 38 punkter, hvor tilsynet havde kontrolleret, om CFCS »fuldt ud levede op til lovgivningens krav om sikkerhedsforanstaltninger. I den forbindelse skriver tilsynet i sin årsrapport, at »CFCS tilkendegav, at centret så vidt muligt ville implementere tilsynets forslag til afhjælpning af de angivne risici«.

Men i 2016 var der stadig sikkerhedsproblemer på fem områder – CFCS havde kun løst problemerne på de fire af de nævnte punkter. Det fremgår af den nye tilsynsrapport for 2016, at CFCS igen »over for tilsynet har tilkendegivet, at centret vil afhjælpe de resterende risici«.

Den er gal med ISO-standarden

Det følgende år havde CFCS alligevel kun bragt orden i to af de sidste fem klagepunkter. Nu er der tilgengæld mulighed for delvis at se, hvilke områder der er problemer med, fordi tilsynet i årsrapporten løfter lidt af sløret for de svage punkter.

Annonce

Artiklen fortsætter efter annoncen

Annonce

Efter først at have fremhævet, at der fortsat er tre kritikpunkter, skriver tilsynet, at »CFCS tilkendegav over for tilsynet, at afhjælpning af risici forbundet med de resterende tre kontrolområder fremadrettet håndteres i et samlet ISO 27001-implementeringsprojekt for FE og CFCS«.

Den internationale it-sikkerhedsstandard ISO27001 er et omfattende regelværk, som regeringen i 2014 vedtog skulle være gældende standard i den offentlige forvaltning, men som FE og DFCS altså endnu ikke lever op til.

Da Politiken i 2017 sidst beskrev problemerne, forklarede FE, at »Omlægningen til ISO27001-standarden tager tid blandt andet pga. kompleksiteten i den eksisterende it-portefølje. Vi vil selvfølgelig fortsætte med omlægningen, og ligesom andre offentlige styrelser prioriterer FE implementeringen af ISO27001’s ledelsesværktøjer«.

Det har ikke været muligt at spørge FE, om det så er sket i dag, men det vil formentlig fremgå af den kommende rapport for 2018. Den udkommer til sommer.

Annonce

For abonnenter

Annonce

Podcasts

  • Marie Hald/moment Agency

    Du lytter til Politiken

    Fik du hørt: De tykke kvinders frihedskamp
    Fik du hørt: De tykke kvinders frihedskamp

    Henter…

    ’Du lytter til Politiken’ holder efterårsferie i denne uge og er tilbage med nye, aktuelle historier mandag den 21. oktober. Men i mellemtiden kan du høre - eller genhøre - fem afsnit af ’Du lytter til Politiken’, som vi har udvalgt til dig fra den forgangne periode. I dag kan du høre om tykke kvinders frihedskamp.

  • Maud Lervik

    Du lytter til Politiken

    Fik du hørt: Nattesøvn er det nye statussymbol
    Fik du hørt: Nattesøvn er det nye statussymbol

    Henter…

    ’Du lytter til Politiken’ holder efterårsferie i denne uge og er tilbage med nye, aktuelle historier mandag den 21. oktober. Men i mellemtiden kan du høre - eller genhøre - fem afsnit af ’Du lytter til Politiken’, som vi har udvalgt til dig fra den forgangne periode. I dag kan du høre om vores nattesøvn.

Forsiden