Claus Hjort til kritikere: Ny cyberlov skaber ikke et udemokratisk Danmark

Af Claus Hjort Frederiksen (V)
Forsvarsminister

Alvorlige cybertrusler er desværre blevet et grundvilkår for vores samfund, og vellykkede angreb mod den digitale infrastruktur kan få helt kolossale konsekvenser. Grundlæggende samfundsfunktioner kan bryde fuldstændig sammen. Og angribere vil kunne misbruge, ødelægge og stjæle meget store mængder følsomme oplysninger, herunder personoplysninger.

Det er virkeligheden. Det er det følgende også – og deri ligger paradokset:

Danmark er nemlig et af verdens mest digitaliserede lande. Hvilket giver os rigtig mange fordele. Digitalisering bidrager til at skabe et attraktivt og effektivt arbejdsmarked. Det skaber mulighed for udveksling af tanker og ideer i et omfang, vi aldrig før har været vidne til. Det skaber vækst og velstand – og det understøtter samfundsvigtige funktioner i Danmark.  

I sidste ende er digitalisering en forudsætning for Danmarks fortsatte position og placering. Men, ja, der er risici forbundet med digitaliseringen: Den gør os ekstra sårbare.

Derfor er jeg så glad for, at regeringen sammen med Socialdemokratiet, Dansk Folkeparti og Radikale Venstre – altså forsvarsforligskredsen – har indgået en aftale om at tilpasse den gældende lov om Center for Cybersikkerhed, så den står mål med de alvorlige trusler.

Jeg ser da meget gerne, at vi bliver kendt for, at vi i Danmark har en høj grad af cybersikkerhed, og at staten hjælper virksomhederne med at beskytte mod alvorlige cyberangreb.

Claus Hjort Frederiksen (V)
Forsvarsminister

Har skabt debat
Lovforslaget har skabt debat. Hvilket er godt. For det skærper vores opmærksomhed og styrker vores viden. Og debat sætter fokus på den trussel, vi står over for som borgere og som samfund. God cybersikkerhed starter ude hos den enkelte borger og den enkelte virksomhed, som skal sikre sig mod cyberangreb. De offentlige myndigheder har også selv en vigtig opgave med at beskytte sig.

Center for Cybersikkerhed har særlig ekspertise og kan give et ekstra lag af sikkerhed med den viden, som centeret har om trusler, som kan ramme samfundets kritiske infrastruktur. Det er viden, som alene er tilgængelig for Center for Cybersikkerhed, fordi centeret er en del af Forsvarets Efterretningstjeneste.

Jeg vil gerne kvittere de mange organisationer, der har bidraget med høringssvar om lovforslaget. For så godt som alle har bemærket, at det er nødvendigt at styrke indsatsen mod cybertruslerne. Vi har også lyttet til den fair kritik, som er blevet fremført, og vi har justeret lovforslaget for at imødekomme de vigtigste ønsker, der er blevet fremført.

Med lovforslaget gennemfører vi en række initiativer til yderligere styrkelse af cybersikkerheden i Danmark. Tiltagene styrker først og fremmest arbejdet i Center for Cybersikkerheds netsikkerhedstjeneste. Det er den del af Center for Cybersikkerhed, der opsætter de særlige alarmenheder, som monitorerer internetkommunikation til og fra de tilsluttede myndigheder og virksomheder. Alarmenhederne gør det muligt at slå alarm, når der opdages tegn på avancerede cyberangreb.

Vigtige nyskabelser
Blandt de vigtigste nyskabelser i loven er:

Vi fjerner helt det nuværende gebyr for tilslutning til netsikkerhedstjenesten, så myndigheder og samfundsvigtige virksomheder gratis kan blive tilsluttet netsikkerhedstjenesten. Det er nødvendigt, så vi kan øge beskyttelsen mod angreb og vores viden om truslerne.

Det glæder mig, at flere organisationer i debatten har fremført, at med en gratis tilslutning vil langt flere virksomheder tage imod det gode tilbud om beskyttelse mod de mest avancerede cyberangreb. Det er også min forventning.

I helt særlige tilfælde vil visse myndigheder og virksomheder, der er en del af Danmarks kritiske infrastruktur, desuden kunne få påbud om tilslutning til netsikker­hedstjenesten. Det forventer vi i praksis vil ske meget sjældent. Og et påbud vil kun kunne omfatte opsætning af alarmenhederne for ind- og udgående internetkommunikation.

Vi vil altså ikke kunne give påbud om adgang til virksomhedernes interne netværk, pc’er eller servere, som der var lagt op til i den udgave af lovforslaget, der har været i høring.

Muligheden for i sjældne tilfælde at give påbud om tilslutning er rettidig omhu. Jeg er enig med kritikerne i, at det er vidtgående at give mulighed for påbud til en virksomhed. Men hvad hvis et elselskab eller et teleselskab bliver ramt af et angreb, der kunne være undgået, hvis selskabet havde tilsluttet en alarmenhed?

Hvis det selskab for eksempel har en udenlandsk ejer, som nægter at lade sig tilslutte, skal vi så acceptere det? Vi taler jo netop om, at vi risikerer, at der ikke kommer strøm ud af kontakterne, eller at vi ikke kan ringe til 112.

På disse samfundsvigtige områder skal det svageste led i kæden ikke kunne sætte Danmarks sikkerhed i fare. Og slet ikke hvis der er en særlig høj trussel mod virksomheden.

Aktivt cyberforsvar
Et andet tiltag i lovforslaget er, at vi giver Center for Cybersikkerhed mulighed for at levere et aktivt cyberforsvar, hvor angreb kan stoppes, inden de når at anrette skade. Igangværende cyberangreb vil dermed kunne standses ved at blokere eller omdirigere skadelig trafik. Denne ordning, der udvider brugen af alarmenhederne, vil dog altid være frivillig for den enkelte myndighed eller virksomhed.

Derudover vil vi også give mulighed for at installere såkaldt sikkerhedssoftware, lidt på samme måde som med den antivirus-software, de fleste af os har på vores pc’ere. Mere og mere kommunikation bliver krypteret, også af hackerne. Det betyder, at cyberangreb i stigende grad kan passere alarmenhederne uden at blive opdaget.

Malwaren kan altså blive installeret og for eksempel sende bestemte filtyper ud af systemet og tilbage til hackerne, uden at det bliver opdaget. Den teknologiske udvikling udhuler dermed muligheden for effektivt at opdage angreb, og med lovforslaget får Center for Cybersikkerhed derfor mulighed for at supplere med sikkerhedssoftware, der installeres på for eksempel servere og pc’er hos tilsluttede myndigheder eller virksomheder.

I den udgave af lovforslaget, der har været i høring, var der lagt op til, at Center for Cybersikkerhed i sjældne tilfælde kunne give påbud om installation af sikkerhedssoftware.

Men som nævnt har vi i regeringen og partierne bag aftalen lyttet til kritikken fra høringsparterne og taget denne mulighed ud af lovforslaget. Ordningen vil altså altid være helt frivillig.

Lyttet til kritik
Med lovforslaget åbner vi endvidere op for, at Center for Cybersikkerhed vil kunne gennemføre forebyggende sikkerheds­tekniske undersøgelser. Det betyder, at centeret kan lede efter sårbarheder og vurdere robustheden af it-systemer, så sårbarhederne kan opdages, før de udnyttes af ondsindede hackere. Igen er der tale om en fuldstændig frivillig ordning for myndighederne og virksomhederne.

I den udgave af lovforslaget, der har været i høring, var der lagt op til, at Center for Cybersikkerheds afrapportering om en undersøgelse kunne indeholde oplysninger om sikkerhedsbrud begået af de enkelte medarbejdere. Også her har vi lyttet til kritikken og taget den mulighed ud af forslaget, så afrapporteringen vil være anonymiseret. Oplysninger om identiteten på medarbejdere, der for eksempel har begået et sikkerhedsbrud, kan altså ikke udleveres.

Vi har således lyttet til den kritik, der har været af den første udgave af lovforslaget, og vi har tilpasset forslaget på centrale punkter.

Men jeg synes også, at visse dele af kritikken og debatten har været præget af misforståelser og fejlopfattelser, både omkring de konkrete initiativer i lovforslaget og omkring Center for Cybersikkerhed i bredere forstand.

Retssikkerhed og fællesskabets sikkerhed
Når man hører noget af debatten, kan man jo nærmest få det indtryk, at vi vil skabe et udemokratisk Danmark, hvor efterretningstjenesten uhindret og ukontrolleret kan tvinge sig adgang til virksomhedernes data. Jeg ved ærlig talt ikke, hvor kritikerne får den slags fra.

Som liberal politiker ligger det mig uendelig fjernt at indføre et eneste indgreb over for borgerne eller virksomhederne uden, at balancen mellem retssikkerheden og hensynet til fællesskabets sikkerhed først er vejet på en guldvægt. Det er netop, hvad vi har gjort med dette lovforslag.

Lad mig derfor slå et par ting fast om det nye lovforslag og om Center for Cybersikkerhed.

Lovforslaget giver Center for Cybersikkerhed en række nye, vigtige værktøjer, som skal beskytte Danmark mod de alvorligste cybertrusler. Men lovforslaget ændrer ikke ved de grundlæggende rammer for Center for Cybersikkerheds arbejde.

Centeret må således kun kigge efter præcis den ondartede aktivitet, som kan være del af et cyberangreb, og intet andet. Center for Cybersikkerheds analytikere må kun kigge på en forsvindende lille del af virksomhedernes og myndighedernes data. Sådan er det i dag, og sådan vil det også være i fremtiden.

Vi ændrer selvfølgelig heller ikke ved, at Center for Cybersikkerhed er underlagt en uafhængig kontrol, der er væsentligt mere intensiv end for stort set alle andre myndigheder.

Tilsynet med Efterretningstjenesterne (TET) udfører således en omfattende og intensiv kontrol med Center for Cybersikkerheds behandling af personoplysninger. TET har ret til at kræve enhver oplysning og alt materiale, der kan have betydning for TET’s arbejde, udleveret af Center for Cybersikkerhed.

TET har til enhver tid adgang til Center for Cybersikkerheds lokaler og it-systemer, og TET kan selv søge i centerets it-systemer og data.