Hvordan får vi cybersikkerhed med respekt for grundlæggende rettigheder?
Hvor går balancen mellem beskyttelse af den enkeltes rettigheder og behovet for at beskytte os mod cyberangreb?
Cybersikkerhed hacking

Vigtige og fortrolige oplysninger i samfundet er blevet digitaliseret hos mange firmaer og offentlige institutioner. Derfor bliver hackerangreb en stadig mere udbredt forbrydelse, der kan have alvorlige konsekvenser. (Foto: Shutterstock)

Det er ofte rart, at man er fri for at skulle hele vejen ned i banken for at lave en overførsel, eller at man med et klik kan aflevere sin eksamensopgave på universitetet, uanset hvor i landet – eller i verden – man befinder sig.   

Men når mange funktioner er afhængige af et centralt it-system, for eksempel NemID, kan et systemnedbrud hurtigt lamme store dele af samfundet.

Tidligere var it-sikkerhed mest et teknisk anliggende for it-sikkerhedsspecialister i private virksomheder og den offentlige sektor. Men sådan er det ikke længere.

Når hele samfundet er dybt afhængigt af velfungerende it-systemer, kan det politiske system ikke undgå at beskæftige sig med området. Under betegnelsen cybersikkerhed er det i stigende grad blevet knyttet til national sikkerhed.

Men hvordan håndterer vi bedst spørgsmålet om cybersikkerhed?

I denne artikel vil vi give vores bud på, hvad problemerne er, og hvilken retning vi skal gå i for at forsøge at løse dem.

Derfor bliver dine oplysninger logget

Når du bruger et it-system, bliver din IP-adresse registreret i en logfil.

Grunden til at virksomheder og organisationer gør det, er for at beskytte sig mod hackere – hvis man kan se adressen på hackerangrebet, kan man hurtigere spore, hvor det er kommet fra for at stoppe det. Og dermed kan man bedre beskytte værdifulde data.

Til gengæld har du krav på, at den organisation, der logger dine data, overholder databeskyttelsesforordningen (GDPR).

Logningen skal altså opfylde kravene til god behandlingsskik og være lovlig, rimelig og gennemsigtig for den person, der besøger hjemmesiden.

Cybersikkerhed i det brede samfundsperspektiv

I forhold til de besøgende personers privatliv udgør logfiler på webservere et relativt lille problem. Det skyldes først og fremmest, at registreringen sker separat for hver webserver, og at oplysningerne derfor ikke umiddelbart kan bruges til at lave en samlet profil af brugerens adfærd på internettet.

Men hvor trusler mod it-sikkerheden typisk retter sig mod en organisation og dens specifikke interesser, retter trusler mod cybersikkerheden sig i højere grad mod samfundets kritiske infrastruktur.

Her kan et hackerangreb medføre tyveri af forretningshemmeligheder (industrispionage), som kan medføre store økonomiske tab og koste arbejdspladser. Eller det kan give uønskede personer indsigt i offentlige myndigheders oplysninger, som knytter sig til den nationale sikkerhed eller andre interesser såsom forskning og sundhed.

Hacker cyber security

Hackerangreb kan have store konsekvenser for både firmaer og offentlige institutioner. (Foto. Shutterstock)

Stjålne personlige oplysninger fra et hackerangreb mod offentlige myndigheder eller private virksomheder kan bruges til identitetstyveri og bedrageri. Eller til afpresning ved trussel om at offentliggøre følsomme personoplysninger om sygdomme, seksuel adfærd, eller medlemskab af politiske eller religiøse foreninger.

Cyberbagmænd kan være svære at spore

Cybersikkerhed handler ikke kun om at beskytte information mod uautoriseret adgang. Overbelastningsangreb (DDoS-angreb) er et stigende problem, som rammer både offentlige myndigheder og private virksomheder.

Selv om der ved sådanne angreb ikke er permanente skader, kan den manglende tilgængelighed af centrale it-systemer i en kortere eller længere periode medføre store økonomiske tab.

Forestil dig, at du er butiksejer og bliver tvunget til at holde biksen lukket i timevis. Så får du ikke solgt meget.

Bagmændene for cyberangreb er både kriminelle organisationer og statslige aktører, typisk efterretningstjenester i andre lande.

Det er ikke nogen nem opgave at finde ud af, hvem der står bag et cyberangreb, fordi professionelle bagmænd bevidst prøver at lægge falske spor, for eksempel ved at bruge servere i andre lande som mellemstation for deres angreb.  

Så hvad forsøger vi i Danmark at gøre for at takle problemet?

... Eller følg os på Facebook, Twitter eller Instagram.

Center for Cybersikkerhed til undsætning!

I Danmark spiller Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste en stor rolle, specielt i den offentlige sektors it-sikkerhed.

Offentlige institutioner og private virksomheder, der arbejder med vigtige funktioner i samfundet, kan blive tilsluttet Netsikkerhedstjenesten hos Center for Cybersikkerhed.

Det betyder, at Netsikkerhedstjenesten overvåger netværkstrafikken til og fra den tilsluttede offentlige institution eller private virksomhed.

Konkret opsættes en alarmenhed, som indsamler oplysninger om netværkstrafikken og analyserer den for at kunne opdage sikkerhedsproblemer.

Kritikere: CFCS-loven går for vidt

Da CFCS-loven blev vedtaget i 2014 var der en del en del kritik. Bekymringen gik blandt andet på, at man centraliserer overvågningen af trusler mod den civile infrastruktur hos Forsvarets Efterretningstjeneste.

Modsat den normalt decentrale overvågning af it-systemer (beskrevet ovenfor) kan der blive indsamlet rigtig mange oplysninger om den enkelte borger, og CFCS-loven tillader at både metadata og indholdet af netværkstrafikken gemmes i lang tid.

Fordi Center for Cybersikkerhed er en del af Forsvarets Efterretningstjeneste, har centeret vigtige undtagelser fra den lovgivning, som skal sikre borgernes retssikkerhed i den offentlige sektor (forvaltningsloven, offentlighedsloven og databeskyttelsesforordningen).

Center for Cybersikkerhed kan komme til at vide ret meget om borgerne, og borgerne kan ikke få indsigt i, hvor mange oplysninger der er indsamlet, og hvad de bruges til.

Det betyder, at borgernes beskyttelse af deres privatliv og persondata kommer under pres.

Eksponeret

Denne artikel bygger på en artikel i antologien ’Eksponeret’, der udkom hos Gads Forlag tidligere på året.

Det overordnede spørgsmål er: Hvordan sikrer vi vores privatliv i en digital tid?

Derudover debatteres det, hvad det betyder, når staten, kommunerne og virksomhederne ved alt om os. Læs mere her.

Borgernes grundrettigheder skal stadig opfyldes

Retten til privatliv og beskyttelse af personlige oplysninger er sikret af Den Europæiske Menneskerettighedskonvention og EU’s Charter om Grundlæggende Rettigheder.

Men disse rettigheder er ikke absolutte. Staten kan begrænse retten til privatliv, hvis det sker ved lov for at opfylde en samfundsmæssig interesse, og hvis det er nødvendigt og proportionalt.

Beskyttelse af kritisk infrastruktur mod cyberangreb er en samfundsmæssig interesse, som utvivlsomt kan berettige et indgreb i form af en vis overvågning af borgerne. Men kravene om nødvendighed og proportionalitet skal også være opfyldte.

Kravene betyder, at der ved overvågningen skal indsamles så få oplysninger om netværkstrafikken som muligt og i så kort tid som muligt.

Derudover udgør centraliseret overvågning alt andet lige en større udfordring i forhold til kravet om proportionalitet, fordi der indsamles flere oplysninger om en større gruppe af borgere. Ultimativt om hele befolkningen.

Kan Center for Cybersikkerhed dække hele sikkerhedsbehovet?

I foråret 2017 blev der gennemført en evaluering af CFCS-loven. I Center for Cybersikkerheds eget bidrag til denne evaluering fortælles det, at stadig mere internettrafik er krypteret.

Det er et problem for Netsikkerheds-tjenestens alarmenheder, fordi de ikke kan analysere indholdet af krypteret netværkstrafik.

Den stærkt centraliserede model for Center for Cybersikkerhed skaber en række problemer for borgernes ret til privatliv, fordi der er indsamlet så mange oplysninger et enkelt sted.

Samtidig bliver opbygningen af Netsikkerhedstjenesten med alarmenheder mindre effektiv, når internettrafikken krypteres mere og mere.

Begge punkter rejser et spørgsmål: Kan den organisatoriske model for Center for Cybersikkerhed komme til at dække hele samfundets behov for cybersikkerhed?

Indtil videre kan det konstateres, at det næsten udelukkende er offentlige institutioner, som er tilsluttet Center for Cybersikkerhed, selv om det med CFCS-loven i 2014 var hensigten, at flere private virksomheder skulle tilslutte sig. Og det er alt andet lige et problem, hvis hele samfundets behov skal dækkes af Center for Cybersikkerhed.

Forskerzonen

Denne artikel er en del af Forskerzonen, som er stedet, hvor forskerne selv kommer direkte til orde. Her skriver de om deres forskning og forskningsfelt, bringer relevant viden ind i den offentlige debat og formidler til et bredt publikum.

Forskerzonen er støttet af Lundbeckfonden.

Cybersikkerhed er en fælles opgave

Den offentlige debat om cybersikkerhed vil fortsætte i de kommende år.

Med det uoverskuelige globale trusselsbillede i ’cyberspace’, hvor kriminelle hackere og statslige aktører konkurrerer om at udgøre den største trussel mod det danske samfund, er det ikke utænkeligt, at alvorlige begivenheder vil gøre debatten endnu mere nærværende, end den allerede er.

Uanset hvad der sker, er det vigtigt, at den offentlige debat og politikerne ikke skubber ansvaret for den danske cybersikkerhed fuldstændigt over på Center for Cybersikkerhed.

Det vil føre til en centraliseret overvågning af store dele af internettet og det digitale samfund med alvorlige negative konsekvenser for borgernes ret til privatliv.

Det primære ansvar for cybersikkerheden er nødt til at ligge hos de respektive offentlige myndigheder og private virksomheder.

Kun på den måde kan det sikres, at it-systemer designes med cybersikkerhed for øje, og at cybersikkerhed opfattes som en forebyggende opgave, hvor alle har et ansvar.

Videnskab.dk Podcast

Lyt til vores seneste podcast herunder eller via en podcast-app på din smartphone. 'Vov at vide'-serien er produceret med økonomisk støtte fra og i samarbejde med Danmarks Frie Forskningsfond.