It-forening: Tiltag mod cyberkriminalitet truer retssikkerheden

Af Jesper Lund
Formand for IT-Politisk Forening

I dag er så godt som alle it-systemer på internettet.

Det er billigere og mere effektivt end de lukkede netværk, som man tidligere brugte til at forbinde it-systemer. Men internettet er et globalt netværk, og det skaber en række nye trusler. En af de hastigst voksende forbrydelser internationalt set er identitetstyveri, og grundlaget for identitetstyveri er ofte persondata fra indbrud i it-systemer. 

Hackerangrebet mod CSC i 2012 demonstrerede denne nye virkelighed med al ønsket tydelighed. Fra en computer i en lejlighed i Cambodja brød hackere ind i CSC's systemer og kopierede data fra blandt andet CPR-registeret og kørekortregisteret. Og måske mere. Det vides reelt ikke.

Offentlige og private it-systemer i fare
På moderne dansk kaldes disse problemer cybersikkerhed, og det er ikke kun noget som truer offentlige it-systemer. Private virksomheder oplever også en øget interesse fra hackere, der prøver at trænge ind i deres it-systemer. Her kan motivet også være industrispionage. Truslen kommer ikke alene fra kriminelle organisationer, men også fra statslige aktører.

Alt dette betyder at cybersikkerhed i dag skal have en central placering i det politiske landskab. Staten har et direkte ansvar for at beskytte de offentlige it-systemer, og når cybertruslen mod private virksomheder ligefrem kan komme fra fremmede stater, er det naturligt at den danske stat også her træder til med hjælp.

Strategi truer retssikkerheden
Umiddelbart lyder det helt ukontroversielt, at selvfølgelig skal staten gøre noget, når danske interesser trues på den måde. Men statens valg af strategi på dette område griber ind i borgernes ret til privatliv og virksomhedernes ret til selvbestemmelse, og derfor bliver cybersikkerhed også et spørgsmål om retssikkerhed. Mange af de dilemmaer, som kendes fra terrorbekæmpelsen, dukker op i forbindelse med cybersikkerhed.

Næsten alle it-systemer vil have en eller anden form for overvågning, som vil indebære, at der indsamles oplysninger om brugerne. Det kan være logfiler på en webserver, virusscanning af emails, eller "intrusion detection"-systemer, som analyserer al ind- og udgående trafik. Disse systemer vil registrere oplysninger om borgernes adfærd på internettet, men der er to formildende omstændigheder.

For det første sker registreringen decentralt hos den enkelte virksomhed eller offentlige institution, så der skabes ikke en samlet registrering om den enkelte borger. For det andet kan personoplysninger, for eksempel IP-adresser, normalt hurtigt anonymiseres.

Data samles ét sted
Der kan være gode argumenter for at centralisere overvågningen af it-systemer, fordi viden om angrebsforsøg mod en virksomhed eller offentlig institution kan bruges andre steder. Men centraliseringen betyder også, at oplysninger om borgernes adfærd på internettet samles et sted. Det er mere indgribende i borgernes privatliv, fordi det er nemmere at lave præcise profiler af borgernes adfærd, og fordi oplysningerne videregives til en tredjepart uden at borgerne har givet samtykke til det.

Loven om Center for Cybersikkerhed (CfCS) fra 2014 bygger på netop denne konstruktion. For de offentlige institutioner og private virksomheder som tilsluttes netsikkerhedstjenesten, får CfCS adgang til at foretage indgreb i meddelelseshemmeligheden via en undtagelse fra grundlovens § 72. Oplysninger om indgående og udgående internettrafik, både indhold og metadata, kan CfCS gemme i 13 måneder.

Væk fra FE?
Selv om CfCS-loven begrænser anvendelsen af disse oplysninger til undersøgelse af cybersikkerhedshændelser, er de brede beføjelser til CfCS på mange måder bekymrende. Det gælder ikke mindst fordi CfCS hører under Forsvarets Efterretningstjeneste og dermed er undtaget fra eksempelvis persondataloven, forvaltningsloven og offentlighedsloven.

Når cybersikkerhed skal diskuteres politisk i de kommende år, bør det overvejes, om den centralistiske model bag CfCS er den rette balance mellem sikkerhed og borgernes privatliv, og om statens institution for cybersikkerhed fortsat skal ligge under Forsvarets Efterretningstjeneste.