Høringssvar om udkast til forslag til Lov om Center for Cybersikkerhed
Udkast til lovforslag om Center for Cybersikkerhed (fremover: lovforslaget) er en videreførelse af den eksisterende GovCERT-lov med en række tilpasninger. Nogle af disse tilpasninger skyldes flytningen af området til Forsvarets Efterretningstjeneste, mens andre er udtryk for et ønske om flere beføjelser til det nye Center for Cybersikkerhed.
IT-Politisk Forening mener at IT-sikkerhed (cybersikkerhed) er en væsentlig samfundsmæssig opgave, og det er uden tvivl hensigtsmæssigt at samle ansvaret for cybersikkerheden på statens område i en enkelt enhed.
Men vi er samtidig stærkt bekymret for de beføjelser til indgreb i meddelelseshemmeligheden uden dommerkendelse, som Center for Cybersikkerhed får med dette lovforslag. På en række punkter mener vi at beføjelserne er for vidtgående.
Behov for præcisering af om en internetudbyder kan tilslutte sig netsikkerhedstjenesten
Det fremgår af bemærkningerne til lovforslaget, at det først og fremmest er statslige myndigheder som kan tilsluttes GovCERT, men samtidig lægges der op til en udvidelse af kredsen af offentlige myndigheder og private virksomheder som kan tilsluttes den nye netsikkerhedstjeneste.
En større dansk internetudbyder må siges at udgøre en samfundsvigtig funktion, og en internetudbyder kan muligvis tilslutte sig allerede under den gældende GovCERT-lov. Det fremgår i øvrigt af evalueringen af GovCERT-loven, at virksomheden TDC er tilsluttet, men det fremgår ikke hvilke funktioner hos TDC som er tilsluttet (specielt: er det TDC som internetudbyder der er tilsluttet?).
I den forbindelse vil IT-Politisk Forening påpege, at rækkevidden af indgrebet i meddelelseshemmeligheden (lovforslagets kapitel 4) er meget større, hvis indgrebet er rettet mod en internetudbyder.
Hvis en statslig myndighed er tilsluttet ordningen, får netsikkerhedstjenesten kun adgang til de oplysninger, som borgerne selv giver til denne myndighed. Hvis der derimod er adgang til at indsamle pakkedata fra en internetudbyder for at beskytte den danske internet-infrastruktur, vil staten få en generel adgang til borgernes private kommunikation via internettet, herunder eksempelvis fortrolig kommunikation med journalister og advokater.
En vurdering af nødvendighed og proportionalitet i forhold til EMRK artikel 8, som er foretaget med udgangspunkt i at en statslig myndighed tilslutter sig, kan efter vores opfattelse slet ikke overføres til den situation, hvor en internetudbyder tilslutter sig. Det samme gælder en indholdstjeneste med et stort antal brugere, for eksempel et socialt medie som Facebook.
I forbindelse med høringen om GovCERT-loven (lovforslag L 197, 1. samling 2010-11) skrev IT-Politisk Forening følgende i vores høringssvar:
Den statslige varslingstjeneste bør ikke være bemyndiget til at opsamle eller tilgå datatrafik, hvor hverken afsender eller modtager frivilligt og eksplicit har tilsluttet sig tjenesten.
Selvom det ikke er GovCERT's nuværende sigte, finder IT-Politisk Forening det vigtigt, at danske internetbrugere ikke kan blive overvåget af en statslig tjeneste, selvom internetudbydere skulle tilslutte sig varslingstjenesten.
Denne bemærkning blev citeret i høringsnotatet ved fremsættelse af GovCERT-loven i 2011, men det blev desværre ikke præciseret i høringsnotatet, om det skulle være muligt for en internetudbyder at tilslutte sig varslingstjenesten.
IT-Politisk Forening vil opfordre til, at Folketingets partier eksplicit tager stilling til dette væsentlige spørgsmål i forbindelse med behandlingen af lovforslaget.
Det er fortsat vores opfattelse, at der kun bør registreres trafik- og pakkedata, hvis afsender eller modtager eksplicit er tilsluttet netsikkerhedstjenesten. Internettrafik, som en internetudbyder alene videreformidler fra afsender til modtager som transittrafik, bør ikke overvåges og registreres af staten på denne måde.
Udvidelse af kredsen af private virksomheder som kan tilslutte sig
Bemærkningerne til lovforslaget lægger op til at udvide (især) kredsen af private virksomheder, som kan tilsluttes netsikkerhedstjenesten. Det er ikke længere et krav, at der er tale om virksomheder som beskæftiger sig med kritisk infrastruktur. Alle virksomheder, som kan blive udsat for et cyberangreb, kan efter § 6 og § 7 blive tilsluttet på midlertidig basis.
IT-Politisk Forening mener ikke, at der er et reelt behov for denne udvidelse af kredsen af virksomheder, som kan tilslutte sig netsikkerhedstjenesten. Center for Cybersikkerhed bør koncentrere sig om statslige og andre offentlige myndigheder, samt enkelte private virksomheder som udfører samfundskritiske opgaver (dog ikke internetudbydere).
For det første ønsker vi at begrænse indgrebet i meddelelseshemmeligheden, og det bør være forudsigeligt for borgerne hvornår trafik- og pakkedata videregives til den statslige netsikkerhedstjeneste. For det andet mener vi, at private virksomheder selv kan varetage deres IT-sikkerhed, og det er ikke hensigtsmæssigt at private sikkerhedsfirmaer skal konkurrence med en statslig netsikkerhedstjeneste, som via særlovgivning har fået beføjelser som de private firmaer ikke har.
Betingelsen for at inddrage private virksomheder efter § 6 og § 7 og foretage indgreb i meddelelseshemmeligheden er at der er en begrundet mistanke om en sikkerhedshændelse. Men cyberangreb er ofte kortvarige, så det krav virker ikke særligt operationelt og beskyttende for borgernes ret til privatliv. Indgrebet i meddelelseshemmeligheden sker allerede når den private virksomhed midlertidigt tilslutter sig den statslig netsikkerhedstjeneste, og der sker registrering af trafik- og pakkedata hos den statslige tjeneste.
Definition at trafikdata
Klassificering som trafikdata eller pakkedata har betydning for hvem oplysningerne kan videregives til. I den eksisterende GovCERT-lov har det desuden betydning for hvor længe oplysningerne kan opbevares, men den forskel er ikke videreført i det nye lovforslag, jf. nedenfor.
Trafikdata defineres i lovforslaget som
Ved trafikdata forstås data, som behandles med henblik på overførsel af pakkedata. Det vil sige data, som beskriver oprindelse, destination og rutestyringsinformation, herunder oprindelsesdomænet eller den oprindelige elektroniske adresse samt anden tilsvarende information. Trafikdata kan eksempelvis være header-informationen i digitale kommunikationsprotokoller, men vil også omfatte protokoller, der udelukkende anvendes til rute- og kommunikationsstyring, f.eks. DNS og SIP. Konkrete eksempler på trafikdata er oplysninger om IP-adresser, e-mailadresser, hjemmesideadresser, browserversioner, kommunikationens varighed og tidspunktet for kommunikationen.
Denne definition er bredere end definitionen af trafikdata i e-privacy direktivet 2002/58/EF. Her er trafikdata alene data som er nødvendig for overførsel af kommunikation i et elektronisk kommunikationsnet. Hvis der eksempelvis er tale om en forespørgsel til en webserver, er domænenavnet, IP adressen og portnummeret nødvendige for at overføre data til webserveren, mens URL-oplysninger om den specifikke hjemmesideadresse alene behandles af webserveren, og derfor ikke kan betegnes som trafikdata i forhold til e-privacy direktivet. Oplysninger om browserversioner kan heller ikke med rimelighed betragtes som trafikdata.
IT-Politisk Forening mener, at trafikdata skal defineres mere snævert i overensstemmelse med e-privacy direktivet 2002/58/EF.
Udvidelse af opbevaringsperioden for trafikdata og pakkedata
Med lovforslaget foreslås en kraftig udvidelse af den periode, hvor trafikdata og pakkedata kan opbevares. Data der knytter sig til en sikkerhedshændelse kan fortsat opbevares i tre år.
For trafikdata udvides opbevaringsperioden fra 12 måneder til 13 måneder, mens lovforslaget for pakkedata udvider perioden fra 14 dage til 13 måneder. Lovforslaget opererer altså med en fælles opbevaringsperiode for begge typer data.
Forsvarsministeriets begrundelse for denne udvidelse er muligheden for at tegne et normalbillede af internetaktiviteterne hos den enkelte myndighed, så netsikkerhedstjenesten bedre kan opdage en sikkerhedshændelse. Hvis der hos en myndighed eksempelvis gennemføres en ekstern backup en gang om måneden, vil det generere et atypisk trafikmønster. En anden begrundelse er muligheden for at spore cyberangreb, som ikke tidligere er opdaget.
For så vidt angår muligheden for at tegne et normalbillede af aktiviteten, har IT-Politisk Forening meget vanskeligt ved at se behovet for at gemme pakkedata i 13 måneder. Myndighederne bør være klar over hvornår der foretages backup, så denne trafik eventuelt helt kan undtages. Under alle omstændigheder må aggregerede statistikker for ind- og udgående trafikmængder være tilstrækkelige til at tegne et normalbillede. Det er slet ikke nødvendigt med hverken trafik- eller pakkedata her.
Selvfølgelig er der altid en teoretisk mulighed for at nye oplysninger gør det muligt at opdage cyberangreb, som tidligere blev overset, men IT-Politisk Forening synes ikke at der er den fornødne proportionalitet i forhold til at pakkedata (indholdsdata) kan opbevares i op til 13 måneder. Lovforslaget siger samtidig at 13 måneder er den maksimale opbevaringsperiode, og at data skal slettes når formålet med behandlingen er opfyldt. Men hvis et af formålene er at kunne opdage sikkerhedshændelser tilbage i tid, bliver data aldrig slettet før udløbet af fristen på 13 måneder.
IT-Politisk Forening mener, at de eksisterende opbevaringsfrister skal bevares, og i særdeleshed at pakkedata kun skal opbevares kortvarigt.
Behandling af krypterede pakkedata
Efter den nuværende GovCERT-lov sker der ikke nogen behandling af krypterede pakkedata eller forsøg på at de-kryptere disse. Denne begrænsning forslås ikke videreført.
IT-Politisk Forening skal bemærke, at det i praksis vil medføre et krav om at den statslige netsikkerhedstjeneste får adgang til private krypteringsnøgler for de tilsluttede myndigheder og virksomheder. Hvis HTTPS trafik skal overvåges af monitoreringsudstyr før webserveren, skal dette udstyr reelt foretage et (kontrolleret) man-in-the-middle angreb på trafikken.
Problemet med den type indgreb i end-to-end krypteringen mellem afsender og modtager er at man risikerer, at der skabes nye sikkerhedshuller som kan udnyttes af andre. I det konkrete tilfælde kan en overvågningsmulighed for krypteret webtrafik (HTTPS) indebære en risiko for at en ekstern angriber (for eksempel ”cyberkriminelle”) også får mulighed for at skaffe sig adgang til trafikken, og derved kompromittere personlige oplysninger for danske borgere.
Denne risiko bør nøje overvejes inden initiativer mod krypteret trafik igangsættes. Det bør præciseres i bemærkningerne til lovforslaget, at analyse af krypterede pakkedata ikke under nogen omstændigheder må medføre nye sikkerhedsrisici for borgerne.
Indarbejdelse af borgerbeskyttelse fra persondataloven
Forsvarets Efterretningstjeneste er ikke omfattet af persondataloven, men lovforslagets kapitel 6 indeholder en beskyttelse der formelt svarer til persondatalovens regler om behandling af personoplysninger. Denne beskyttelse er dog ikke reel, da netsikkerhedstjenesten primært behandler personoplysninger fra indgrebet i meddelelseshemmeligheden efter kapitel 4, og disse oplysninger er eksplicit undtaget fra beskyttelsen i §§ 10-12.
Oplysninger om hvilke myndigheder og virksomheder der er tilsluttet
GovCERT har i forbindelse med evalueringen af GovCERT-loven offentliggjort en liste med de myndigheder og virksomheder som er tilsluttet den eksisterende varslingstjeneste.
Det er ikke klart for IT-Politisk Forening, om disse oplysninger fortsat vil være tilgængelige for offentligheden? Det fremgår nemlig af lovforslaget, at Center for Cybersikkerhed er undtaget fra offentlighedsloven.
IT-Politisk Forening mener, at det er særdeles vigtigt, at borgerne altid kan få oplyst hvornår deres trafik- og pakkedata risikerer at blive registreret af Forsvarets Efterretningstjeneste.
På trods af den generelle undtagelse fra offentlighedsloven, bør Center for Cybersikkerhed være forpligtet til løbende at offentliggøre hvilke myndigheder og virksomheder der er tilsluttet ordningen. Det bør også gælde for virksomheder, som er midlertidigt tilsluttet efter § 6 og § 7.
Tilsynet med behandlingen af personoplysninger
Efter den nuværende GovCERT-lov skal der være et uafhængigt tilsyn med GovCERT, som desværre først er oprettet i september 2013, mere end to år efter GovCERT-lovens ikrafttræden. Forsvarsministeriet vil med lovforslaget overdrage denne opgave til Tilsynet med Efterretningstjenesterne.
Forsvarsministeriet bemærker selv, at tilsynet med Center for Cybersikkerhed vil adskille sig fra de tilsynsopgaver, som allerede udføres af Tilsynet med Efterretningstjenesterne.
I den forbindelse skal man være opmærksom på at PET's beføjelser i forhold til borgerne generelt er reguleret af retsplejeloven med domstolskontrol, og at FE's aktiviteter primært er rettet mod udlandet og ikke direkte mod danske borgere (medmindre forsvarslovens § 17 er i anvendelse). Center for Cybersikkerhed får derimod beføjelser til at foretage indgreb i meddelelseshemmeligheden i forhold til danske borgere uden nogen domstolskontrol.
Udover det ret vidtgående indgreb i meddelelseshemmeligheden, skal tilsynet med Center for Cybersikkerhed kontrollere, at de indsamlede oplysninger kun anvendes til formål der vedrører cybersikkerhed, og ikke inddrages i FE's almindelige arbejde, jf. afsnit 3.5.3 i lovforslagets bemærkninger.
IT-Politisk anbefaler, at det nøje overvejes, om Tilsynet med Efterretningstjenesterne har de kompetencer, som er nødvendige for at føre et effektivt tilsyn med Center for Cybersikkerhed. Den nuværende GovCERT-lov anfører i § 7, stk. 2 de kompetencer som skal være til stede i det eksisterende tilsyn.
Foruden de kompetencer som er nævnt i § 7, stk. 2 i GovCERT-loven, bør Tilsynet også foretage en vurdering af konsekvenserne for borgernes ret til privatliv, herunder en løbende vurdering af nødvendighed og proportionalitet i forhold til EMRK artikel 8.
Årlig redegørelse fra Tilsynet
Efter lovforslagets § 24 skal Tilsynet udgive en årlig redegørelse, som skal offentliggøres. IT-Politisk Forening mener, at det er vigtigt at denne redegørelse indeholder aggregerede oplysninger, som giver Folketinget og borgerne mulighed for at vurdere omfanget af indgrebet i meddelelseshemmeligheden samt omfanget af videregivelse af oplysninger efter kapitel 7.
Det kunne for eksempel være en skønsmæssig vurdering af hvor mange danske IP adresser (”borgere”) der er berørt af henholdsvis indgrebet i meddelelseshemmeligheden og videregivelse af oplysninger til eksterne samarbejdspartnere i ind- og udland.
Som anført ovenfor bør det også fremgå hvem der er tilsluttet den statslige netsikkerhedstjeneste.