11/02/2019 -

Myndighedernes beskyttelse mod cyberangreb rejser en ny diskussion om tillid og tilsyn


I Japan vil myndighederne hacke 200 mio. digitale devices for at påpege dårlig it-sikkerhed. Herhjemme vil Forsvarets Efterretningstjeneste og Center for Cybersikkerhed have adgang til virksomheders data uden retskendelse. Ifølge it-advokat peger begge eksempler på en tendens, der kræver en diskussion om tilsynet med myndighedernes behandling af borgernes data.

Rasmus Lehmann Hylleberg


I denne artikel kan du finde henvisninger til forvaltningsloven og Grundlovens §72. Følg linket og læs mere i den oprindelige lovtekst

Hvordan sikrer man bedst borgerne mod cyberangreb, samtidig med at man fra myndighedernes side på bedste vis skaber en sikker og transparent databehandling?

Med verserende skandaler om datalæk og storstilede hackerangreb rundt om i verden er datasikkerhed for alvor rykket frem i bussen som et af de emner, der optager ministerier, virksomheder og offentlige myndigheder, og det har fået flere instanser til at skabe forskellige værn mod hackerangreb og datatyveri. 

Blandt andet i Japan, hvor myndighederne ifølge japantimes.co.jp forud for OL i Tokyo i 2020 vil lave et forsøg med såkaldt 'friendly hacking' - her vil myndighederne forsøge at hacke 200 mio. forskellige devices, som alle er tilkoblet nettet (smarte køleskabe, voice assistents, webcams osv.), alt sammen for at teste sikkerheden på disse. Kommer myndighedernes hackere igennem på grund af f.eks.  dårlige firewalls eller for simple passwords bliver ejerne af disse devices adviseret om, at de er blevet hacket med en opfordring til at lave et nyt og stærkere password.

På den anden side af Østersøen har Estland taget kvantespring mod en gennemgribende digitalisering af myndighedernes dataarkitektur. Her er størstedelen af befolkningen såkaldte 'digitale statsborgere', og borgernes digitale ID-kort gør det muligt altid at have indsigt i, hvilke instanser, der har tilgået personlige oplysninger. 

I hjemlige rammer kunne regeringen i sidste uge fremlægge et nyt udspil, der skal give Forsvarets Efterretningstjeneste og Center for Cybersikkerhed adgang til virksomheders data og systemer uden retskendelse. Det fik flere erhvervsledere til at påpege flere retsmæssige udfordringer ved uspillet. I et høringsvar fra Dansk Industri fremhæver man bl.a., at udspillet er:

"en tilsidesættelse af Grundlovens §72, der værner om privatlivets fred og sætter grænserne for, hvilke indgreb offentlige myndigheder kan tillade sig i folks privatliv uden retskendelse, der som udgangspunkt kun er mulig gennem en særegen lovhjemmel."

 

De rette intentioner

De mange forskellige tiltag er alle sammen led i en verdensomspændende bevægelse, der har fået myndighederne til at arbejde aktivt på at skabe nye rammer for, hvordan virksomheder og det offentlige i samspil arbejder og behandler data. Det europæiske GDPR har for alvor sat skub i udviklingen og bevidstheden blandt de europæiske aktører, men også sager om påvirkning af det amerikanske valg, og frygten for påvirkning af det kommende danske, fra russiske hackere spiller ind, når myndighederne skal lave de nye digitale sikkerhedsvægge, der skal holde hackerne ude.

En 'friendly hacking', der afslører brugen af et forudsigeligt password kan få brugeren til at ændre det og vælge et mindre forudsigelig

Tendensen ses også på den anden side af Europas grænser, dels med initiativet i Japan, mens også med henblik på Kinas behandling af borgernes data, der i flere sammenhænge må siges at være noget mere lemfældig end hvad tilfældet er med GDPR. Store virksomheder verden over har ligeledes taget datasikkerhed til sig, og bl.a. Apples CEO Tim Cook har udtalt, at han gerne så et verdensomspændende GDPR.

Generelt er der mange gode intentioner og forsøg på at sikre borgerne. Det mener it-advokat hos Bach Law Mandeep Singh Ratour. Han har kigget nærmere på initiativet fra Japan, og ifølge ham er ideen egentlig god nok.

"Den letteste hacking er den, hvor en udenforstående får adgang til et IT-system ved at gætte passwords, f.eks. ”password” eller ”1234”. En 'friendly hacking', der afslører brugen af et forudsigeligt password kan få brugeren til at ændre det og vælge et mindre forudsigeligt og måske endda et stærkt passwords, som ikke kan gættes. I det mindste får man væsentligt begrænset gruppen af personer, der kan få adgang til ens systemer, da det nu vil skulle være nogen med større kundskab og mere avancerede værktøjer", siger han.

 

En diskussion om tillid og tilsyn

Men hvordan hænger 'friendly hacking' i Japan sammen med digitale statsborgerskaber i Estland og øget adgang til virksomheders datastrukturer i Danmark? Ifølge Mandeep Singh Ratour kalder de mange initiativer på diskussion om tillid. 

Mennesker er mennesker uanset om de er ansat i det offentlige, kommercielle virksomheder eller velgørende organisationer – og sandsynligheden for misbrug på det menneskelige plan er derfor særdeles høj

"Stoler man på, at myndigheden der hacker éns udstyr eller får adgang til ens data, eller rettere den eller de konkrete fysiske personer hos myndigheden, der forestår hackingen, ikke også vælger at bruge det gættede password til andet. Mennesker er mennesker uanset om de er ansat i det offentlige, kommercielle virksomheder eller velgørende organisationer – og sandsynligheden for misbrug på det menneskelige plan er derfor særdeles høj", siger han.

Er man som offentlig myndighed de facto en sikker kilde i denne sammenhæng?

"Nej! Umiddelbart har en forvaltningsmyndighed ingen anden motivation end at sikre overholdelse af loven, men som i en hvilken som helst organisation kan den enkelte afdeling, leder eller medarbejder have egne politisk, karrieremæssig eller endda økonomisk motivation til ikke at gøre tingene på en saglig måde. Et tilsyn er derfor nødvendigt, herunder ultimativt fra domstolenes side." 

Del denne fra K-NEWS

Skal vi holde dig opdateret?

Få besked om nye artikler og podcast direkte i din mailboks ved at tilmelde dig herunder.

Vi indsamler ikke data om dig – og journalistikken, vi leverer, er gratis.

Nyhedsmail. Ja tak