Høringsssvar vedr. forslag til lov om net- og informationssikkerhed
I forbindelse med nedlæggelsen af IT- og Telestyrelsen valgte regeringen at dele ansvaret for teleområdet mellem Erhvervsstyrelsen og Forsvarsministeriet, således at Forsvarsministeriet administrerer bestemmelserne om informationssikkerhed og beredskab. Forsvarsministeriet har placeret dets ansvarsområder hos Center for Cybersikkerhed, der er en del af Forsvarets Efterretningstjeneste (FE).
Lovudkastet flytter lovbestemmelserne under Forsvarsministeriets område fra teleloven (lov om elektroniske kommunikationsnet og -tjenester) til en ny lov om net- og informationssikkerhed. Samtidig kommer der på visse områder en udvidelse af beføjelserne til Center for Cybersikkerhed i forhold til i dag samt en række nye oplysningspligter for teleselskaberne.
Generelle bemærkninger
Informationssikkerheden i telesektoren er vigtig for hele samfundet. Televirksomheder kan have særlig interesse for hackere, fordi et angreb kan give adgang til telekundernes kommunikation, herunder oplysninger om borgeres private forhold og virksomheders forretningshemmeligheder. Denne trussel må forventes at komme fra såvel kriminelle organisationer som statslige aktører. Via Snowden afsløringerne har vi erfaret, at GCHQ har hacket det belgiske teleselskab Belgacom, så truslen mod Danmark og danske interesser kan reelt komme fra alle statslige aktører. Det er ikke blot Kina og Nordkorea, som vi bør frygte i denne forbindelse.
Inden for det sidste halve år har der, i medierne, været historier om mulig kompromittering af informationssikkerheden i mobiltelefoni via SS7-svagheder og falske basestationer (IMSI catchers). I følge en Version2 artikel den 19. december 2014, "Hvem undersøger mobilspionage i Danmark?" var det tilsyneladende ikke klart, om ansvaret for falske basestationer ligger hos Center for Cybersikkerhed eller Erhvervsstyrelsen.
IT-Politisk Forening skal på den baggrund opfordre til, at ansvarsfordelingen mellem Erhvervsstyrelsen og Center for Cybersikkerhed beskrives mere præcist i lovforslagets bemærkninger.
Center for Cybersikkerheds adgang til teleselskabernes infrastruktur
IT-Politisk Forening noterer med tilfredshed, at det af § 9, stk. 6 og 7 nu fremgår, at Center for Cybersikkerhed, i forbindelse med adgang til udbyderens forretningslokaler for at udføre tilsynsopgaver, ikke kan tilgå kommunikation til, fra eller mellem udbyderens kunder.
IT-Politisk Forening går ud fra, at det omfatter såvel indholdet af kommunikationen som metadata/trafikdata vedrørende denne (telefonnumre, IP-adresser, email-adresser, etc), og i så fald skal vi opfordre til, at dette bliver præciseret i lovforslagets bemærkninger.
Detailregulering vs rette incitamenter for teleselskaberne
Danske teleselskaberne er private virksomheder, og de bør som udgangspunkt frit kunne vælge såvel teknisk udstyr som leverandører ud fra normale forretningsmæssige hensyn. På grund af teleselskabernes helt centrale betydning for cybersikkerheden og fortroligheden af kundernes kommunikation, er det både rimeligt og nødvendigt at stille særlige krav til teleselskaberne, for eksempel særlige undersøgelsespligter.
Det er også vigtigt, at lovgivningen giver teleselskaberne de rette incitamenter til at sikre teleinfrastrukturen så godt som muligt. De muligheder for offentliggørelse, som § 10 i lovforslaget giver, kan bidrage til at skabe de rette incitamenter. Men i sidste ende bør det være teleselskaberne som træffer de endelige afgørelser om f.eks. valg af udstyr eller indretning af deres infrastruktur. Med den nuværende tele-infrastruktur, får vi aldrig 100% sikkerhed mod hackerangreb eller kompromittering af kundernes kommunikation, og grundlæggende mener IT-Politisk Forening, at teleselskaberne har bedre forudsætninger for at træffe de rigtige valg end embedsmænd fra Center for Cybersikkerhed.
På den baggrund er vi skeptiske over for beføjelserne til Center for Cybersikkerhed i § 3, stk. 3, hvor der i visse situationer af væsentlig samfundsmæssig betydning kan udstedes direkte påbud til teleselskaberne. Det fremgår ikke helt klart af lovforslagets bemærkninger, om det alene er påbud om at foretage visse undersøgelser ved mistanke om sårbarheder i teleselskabernes infrastruktur, eller om det også kan være påbud om at undlade at anvende bestemte tekniske løsninger (udstyr) i infrastrukturen?
IT-Politisk Forening ser ikke noget problem i, at Center for Cybersikkerhed kan pålægge teleselskaberne at undersøge deres infrastruktur for sårbarheder, men hvis beføjelserne også omfatter muligheden for at nedlægge forbud mod at anvende bestemte typer udstyr mod teleselskabets vilje, vil vi være skeptiske over for om det er hensigtsmæssigt. Vi kan ikke ud af lovforslagets bemærkninger læse, om Center for Cybersikkerhed får denne beføjelse, men hvis det er tilfældet, bør det være en beføjelse som kun anvendes i helt ekstraordinære tilfælde.
Informationsdeling mellem Center for Cybersikkerhed og Forsvarets Efterretningstjeneste
Center for Cybersikkerhed er en institution under Forsvarets Efterretningstjeneste, og det kan give anledning til nogle potentielle konflikter. Center for Cybersikkerhed skal bidrage til at beskytte den danske teleinfrastruktur, en rent defensiv operation, mens FE i teorien kan have offensive operationer, som involverer indtrængen hos teleselskaber i andre lande. IT-Politisk Forening har naturligvis ingen konkret viden om at FE gør eller planlægger dette, men da FEs aktiviteter i udlandet ikke er reguleret af dansk lov, kan det ikke udelukkes.
Af blandt andet moralske årsager vil IT-Politisk Forening finde det forkert, hvis viden om konkrete sårbarheder, som Center for Cybersikkerhed erhverver sig fra danske teleselskaber, bruges til offensive operationer hos FE, eller hvis FE deler denne viden med offensive enheder hos samarbejdspartnere som GCHQ og NSA. Ud over det rent moralske aspekt, kan der desuden være en risiko for, at udenlandske teleselskaber ikke vil dele viden om sårbarheder med danske teleselskaber, hvis de udenlandske teleselskaber frygter, at viden om disse sårbarheder via Center for Cybersikkerhed kan havne hos for eksempel GCHQ eller NSA og blive misbrugt der. En sådan tilbageholdenhed med at dele viden om sårbarheder vil være til skade for informationssikkerheden i den danske teleinfrastruktur.
Efter IT-Politisk Forenings opfattelse bør der være vandtætte skotter mellem Center for Cybersikkerhed og den øvrige del af Forsvarets Efterretningstjeneste for så vidt angår viden om konkrete sårbarheder i teleinfrastrukturen, som Center for Cybersikkerhed erfarer i forbindelse med dets tilsynsopgaver overfor danske televirksomheder.