Høringssvar vedr. Kommissionens forslag om revision af dual-use forordningen

IT-Politisk Forening takker for muligheden for at afgive høringssvar vedr. Kommissionens forslag om revision af dual-use forordningen.

IT-Politisk finder det meget positivt, at der kommer øget fokus på konsekvenserne for menneskerettighederne i køberlandet, når der gives tilladelse til eksport af cyberovervågningsteknologi. Både systemer til masseovervågning og intrusionssoftware til mere målrettede indgreb (svarende til dataaflæsning i retsplejeloven) kan uden passende retsgarantier medvirke til en betydelig krænkelse af menneskerettighederne i køberlandet.

IT-Politisk Forening vil samtidig påpege, at cyberovervågningsteknologi, specielt i det omfang at der alene eller primært er tale om levering af software, ikke er et præcist afgrænset område. De procedurer til eksportkontrol, som virker godt for fysiske varer herunder IT/tele-hardware, virker ikke nødvendigvis særligt godt for software. Hvis der er tale om ”fri software”, hvor kildeteksten stilles til rådighed for alle på internettet, vil en eksportkontrol af lige præcis denne software være illusorisk, men den kan stadig give problemer for det firma, som har udviklet softwaren og stillet den til rådighed for andre under en fri licens. Vi er ikke bekendt med fri software udviklet specifikt til (masse)overvågning af personer, men for et antal softwareprojekter vil det utvivlsomt være muligt med passende modifikationer.

Systemer til beskyttende (defensiv) netværksovervågning hos en internetudbyder, eller forsvar mod cyberangreb (”intrusion detection”), kan måske også bruges til overvågning af borgere, eventuelt med mindre modifikationer af softwaren. Det skaber et yderlige afgrænsningsproblem i forhold til det som EU gerne vil opnå, nemlig at forhindre eksport af teknologi som bruges til at krænke menneskerettighederne.

Vi er særligt bekymrede for, at den potentielt brede definition af cyberovervågningsteknologi kan skabe forhindringer for udveksling af viden om sikkerhedshuller i software eller angreb fra computervirus. Deling af viden om sikkerhedshuller eller nye computervira er af afgørende betydning for at IT-sikkerhedsindustrien kan fungere effektivt. Borgerrettighedsaktivister i undertrykkende regimer har behov for en særlig høj grad af personlig IT-sikkerhed. Det omfatter også viden om og forsvar mod cyberovervågningsteknologi, som prøver at udnytte upatchede sikkerhedshuller i software.

Den utilsigtede effekt af den brede definition af ”intrusion software” er også at finde i den gældende dual-use forordning efter, at denne med virkning fra 31. december blev ændret af Kommissionen med den delegerede forordning (EU) Nr. 1382/2014. En så væsentlig ændring burde efter vores opfattelse være gennemført som et lovgivningsinitiativ med involvering af Europaparlamentet og Rådet (og forudgående offentlige høringer), og ikke som en administrativ retsakt fra Kommissionen. Derfor er det godt, at en revision af den samlede dual-use forordning nu skal behandles af de demokratisk valgte organer i EU.

I forhold til IT-sikkerhedsindustriens legitime behov for at udveksle viden om trusler er vi opmærksomme på, at betragtning 5 i forordningsforslaget nævner ”forskning i internetsikkerhed” blandt de formål, som ikke bør forhindre udførsel. Vi vil imidlertid anbefale, at der i forordningen indsættes mere specifikke undtagelser, som varetager IT-sikkerhedsindustriens legitime behov.

Konkrete forslag kræver nærmere overvejelser af grundig karakter, men en mulighed kunne være en lidt snævrere definition af ”udførsel” i artikel 2, nr. 2) således at udførsel defineres som en aktivitet med en økonomisk modydelse. Hensigten er at udelukke den rene vidensoverførsel om sikkerhedshuller uden betaling (typisk er vidensoverførslen på løbende gensidig basis mellem de involverede parter).

En anden mulighed kunne være, at forordningen søger at regulere software til eksfiltrering af information frem for software til intrusion. Cyberovervågningsteknologi vil have til hensigt at indhente information om de overvågede borgere, hvilket normalt kaldes eksfiltrering i IT-sikkerhedsterminologien. Forudsætningen for eksfiltrering er generelt en forudgående intrusion, så i forhold til systemer hvor formålet er overvågning af borgere (cyberovervågningsteknologi) vil eksfiltrering og intrusion almindeligvis dække den samme software. Men software med defensive formål vil alene have intrusion som fokus, idet intrusion kun anvendes til at undersøge og opdage sikkerhedshuller eller andre svagheder i systemerne.

Emner: