Gæsteindlæg af Mogens Nørgaard, debattør, provocateur – og i det virkelige liv bl.a. Teknisk Direktør i Nordic Data Intelligence ApS – alle meninger bragt her, står for egen regning.
Mogens Langballe Nørgaard
Uge 2 i år 2019 vil være en uge jeg husker i mange år. Om mandagen fremkom regeringen med en plan for sikring af vigtig infrastruktur uden finansiering overhovedet. Tirsdag kom der et lovforslag om at tvinge kinesiske overvågningstilstande ned over danske virksomheder og institutioner.
Lad os tage planen først:
Danmark har, i modsætning til stort set alle andre lande vi normalt sammenligner os med, hverken defineret, indkredset eller prioriteret, hvad der forstås ved samfundskritisk infrastruktur. Så man har bare vilkårligt udpeget seks sektorer (transport, søfart, tele, finans, energi og sundhed), som værende kritiske. Basta.
Tanken må have været, at hvis blot disse seks sektorer er sikrede og fungerer nogenlunde, så kører Dybbøl Mølle.
Der var ingen som helst finansering af dette med i “planen”, og det hele virkede som noget værre makværk for at sige det rent ud.
For at kunne forsvare Danmark i cyberspace skal vi omhyggeligt og i samarbejde med andre lande, der har gjort arbejdet før, analysere, undersøge og prioritere, hvad der er væsentligt og mindre væsentligt i en krise- og krigssituation, og med flere niveauer a la det amerikanske DefCon-system, blot for hele Danmark.
Det har man ikke gjort til trods for at FE og CFCS i alle sine trusselsvurderinger i de sidste 6 år har understreget, at beskyttelsen af kritisk infrastruktur er deres vigtigste og højst prioriterede opgave. Lidt selvmodsigende – ikke sandt?
Det ligner valgpropaganda og jeg kom til at tænke på elverpigerne, da jeg læste det: De var smukke og havde skønne stemmer, men når man favnede dem opdagede man, at de var hule i ryggen. Dette makværk – undskyld mit direkte sprog – burde aldrig have set dagens lys. Det er en ommer.
Så blev det tirsdag, og vi fik et lovforslag offentliggjort, der giver CfCS (Centeret for CyberSikkerhed) de samme beføjelser overfor virksomheder og institutioner, som kinesernes myndigheder har overfor deres. Glem Orwell – det her går faktisk et skridt videre.
Det ved Forsvarsminister Claus Hjorth godt, så han var ude og sige, at “nu ville sølvpapirhattene og de sædvanlige brokkehoveder nok igen-igen sige, at det her var for vidtgående”. Godt forsøgt, Claus Hjorth, men desværre er jeg ingen af delene: Jeg er officerssøn, jeg meldte mig til Hjemmeværnet i 1979 og er stadig medlem, og jeg har også gået lidt rundt foran Amalienborg. Jeg er politisk nok lidt til højre for Djenghis Khan, som jeg plejer at sige for sjov – men det her lovforslag er det værste jeg har set nogensinde i mit liv. Der er ingen andre måder at sige det på.
Hvad går det ud på? CfCS har sammen med Forsvarets Efterretningstjeneste lavet en såkaldt “probe” (udtales på engelsk), der kan “sniffe” al internettrafik og intern netværkstrafik til, fra og i en virksomhed. Så kan den sende data fra det til CfCS/FE og dér kan de så analysere trafikken og finde ud af, om der foregår noget fælt eller farligt fra f.eks. Rusland, Kina eller nogle hobbyterrorister fra Balkan. Det er jo godt nok.
Proben har været placeret nogle steder, blandt andet hos TDC, men de fleste steder har de fjernet den igen, fordi de ikke fik noget som helst ud af det udover udgifter (ca. en halv million eller mere plus den løbende vedligeholdelse). Al data blev sendt til CfCS og man fik ingen rapporter eller andet retur.
Det har været en dundrende fiasko. Også fordi CfCS/FE deler data med vore samarbejdspartnere. Øverste lag i de vestlige efterretningstjenester hedder “Five Eyes” og består af USA, Canada, UK, New Zealand og Australien. Laget nedenunder hedder “The Nine”, men er reelt nu 13 lande. Danmark har været med fra starten. Holland ligeså. Og de hjælper hinanden med at sende data på tværs. Hvis FE har brug for noget data fra en virksomhed eller institution i Danmark, som de ikke har lovlig adgang til, så kan hollænderne (lovligt) hacke det og lade FE kigge med. Og omvendt.
Og nej, jeg bryder mig ikke om Snowden. Jeg anser ham for at være en simpel landsforrædder. Men hans materialer afslørede, at Five Eyes og The Nine udveksler firmadata mellem hinanden og meget andet.
Lovforslaget fra i tirsdags vil gøre det lovpligtigt for de virksomheder og institutioner, som CfCS mener er vigtige, at få installeret proben og betale for det og finde sig i det. Der er tale om simpel tvang. Man kan ikke nægte og man kan ikke klage. Lovforslaget giver endda CfCS mulighed for at nægte tilsynsudvalget at kontrollere dem. Tilsynsudvalget kan derpå anke til …. Forsvarsministeren, som ene mand kan tage stilling til klagen – og hans beslutning kan man ikke klage over.
Tilsynsudvalget sættes reelt ud af kraft. Det kan jeg godt forstå – de har siden sidste år engang kørt en intern undersøgelse af nogle meget interessante forhold derude, der handler om, at der muligvis i visse ledelseskredse er større loyalitet overfor amerikanerne end overfor Danmark. Det giver mindelser om dengang Merkel fyrede sin efterretningschef, fordi hun fandt ud af, at han og tjenesten dernede hele tiden havde vidst, at amerikanerne lyttede med på hendes telefon.
Tilbage til lovforslaget: Alle private leverandører – og de er typisk meget dygtigere og har mere erfaring end CfCS og FE – bliver også sat ud af spillet, fordi man kun vil have, at der anvendes CfCS’ egen probe. Jeg kan godt forstå, at DI og andre erhvervsorganisationer ikke er begejstrede. Vi ved jo også godt allesammen, at en statslig løsning nok ikke i længden er den bedste, slet ikke på et felt, hvor man ikke kan skaffe kvalificerede folk nok til Staten. Der findes fremragende kommercielle produkter, og mange har dem allerede installeret. De skal så fjernes nu. Og man skal kunne samarbejde med noget meget specifik Microsoft-software kaldet Defender. Helt ærligt: Et lovforslag, der vil tvinge alle vigtige virksomheder til at bruge et bestemt, amerikansk softwareprodukt? Undskyld mig, men det er uhørt.
Og for lige for en stund at blive meget nørdet og teknisk: I alle Windows-versioner siden den ældgamle Windows NT i 1999 er der en nøgle, som giver NSA adgang til alt på maskinen. Den nøgle hedder i øvrigt _NSAKEY. Og nu skal alle vigtige virksomheder og instititutioner køre Windows Defender? Smart.
CfCS er jo placeret under Forsvaret, hvilket det ikke bør være. Forsvaret har en helt anden kultur omkring offentlighed og kommunikation end vi skal have i et demokratisk samfund. CfCS skal høre under et decideret Digitaliserings- eller Cyberministerium eller en tilsvarende styrelse, så det er under demokratisk tilsyn og kontrol. Alene af den grund er det her lovforslag helt skørt i forhold til vore værdier og den fremtid vi skal bygge.
Det makværk af en “plan” vi fik mandag og det Orwell’ske lovforslag vi fik tirsdag opfylder til fulde de tre tre danske D’er: Dyrt, Dumt og Dårligt. Og vi får ikke løst vores vigtigste problem, nemlig at få etableret det, der svarer til et civilsamfund med lov, orden, rettigheder og muligheder for at få hjælp på cyberområdet.
LÆS OGSÅ:
Danmark – et land i andres hænder?
Snowden: FE vildleder