Artikel top billede

Statsovervågning af danske virksomheder: Center for Cybersikkerhed har ulovligt kigget med i filer

Center for Cybersikkerhed har handlet i strid med loven, der er opkaldt efter centeret selv. Det slår Tilsynet med Efterretningstjenester fast i ny rapport.

Forsvarets Efterretningstjenestes digitale forsvarsenhed Center for Cybersikkerhed (CFCS), har igen handlet i strid med CFCS-loven i centerets arbejde med de virksomheder, der er tilknyttet centerets sensornetværk.

Det slår Tilsynet med Efterretningstjenesterne (TET) fast i dens seneste årsrapport - redegørelser for 2020 - som tilsynet netop har offentliggjort.

I den årlige opgørelse har det uafhængige tilsyn både gjort status over Politiets Efterretningstjeneste (PET), Forsvarets Efterretningstjeneste (FE) og altså Center for Cybersikkerhed (CFCS).

En af de ting, som tilsynet har undersøgt, er CFCS's sensornetværk, som flere danske virksomheder er tilsluttet, og som giver centeret adgang til al indgående og udgående datatrafik for de pågældende virksomheder.

I CFCS-rapporten konstaterer tilsynet, at "centret behandlede sensordata på to af de tilfældigt udtrukne sensorer på sensornetværket i strid med CFCS-lovens § 17, stk. 2."

Præcist hvor mange sensorer, der er i CFCS's sensornetværk er ikke offentligt tilgængeligt, og CFCS har før nægtet at svare Computerworld på, hvor mange virksomheder, der er tilknyttet netværket.

13 filer i strid med loven

Også kontroller med CFCS's it-miljøer foretog TET under tilsynet. Ét af disse miljøer, var særligt problematisk.

Her konstateres det, at "13 filer blev behandlet i strid med CFCS-lovens § 17, stk. 1, hvilket CFCS erklærede sig enig i," konstaterer TET.

"Endvidere viste kontrollen af analyseværktøjer, at oplysningerne i begge analysesystemer behandles i strid med tilsynets fortolkning af CFCS-loven [...]," lyder det videre.

Derfor henstiller tilsynet til, at CFCS ikke fortager en løbende vurdering af, om der fortsat er behov for at behandle sensordata i analysesystemet.

CFCS og TET er god uenige om fortolkningen af CFCS-loven, og TET har derfor forelagt spørgsmålet for forsvarsministeren, som de to instanser nu venter svar fra.

Hertil kommer, at TET, under sit tilsyn har iagtaget en medarbejder behandle data udenfor den behandlingsramme, som CFCS selv har opgivet som formålet emd behandlingen.

I forbindelse med dette bemærker TET, at "behandling af personoplysninger til andre formål, efter at det oprindelige formål med behandlingen er afsluttet, efter tilsynets opfattelse vil være i strid med CFCS-loven".

Manglende logning

Tilsynet har i 2020 ikke foretaget den planlagte kontrol af CFCS’ videregivelse af
data indeholdende personoplysninger til andre myndigheder, virksomheder og
udenlandske samarbejdspartnere med fokus på centrets overholdelse af CFCSlovens §§ 10 og 16.

Tilsynet anmodede i januar 2020 CFCS om, at etablere logning af systemer, som anvendes til videregivelse af personoplysninger med henblik på at anvende logudtræk fra disse til kontrol af centrets videregivelse af data indeholdende personoplysninger til andre myndigheder, virksomheder og udenlandske samarbejdspartnere i 2020.

CFCS oplyste i oktober 2020, at centret ikke har etableret den logning, som tilsynet
anmodede om i januar 2020. I maj 2021 har CFCS fremsendt logmateriale for de pågældende systemer

Dette har altså forhindret tilsynet i arbejdet med at kontrollere CFCS's videregivelser af personoplysninger til nævnte instanser.

Tilsynet med Efterretningstjenesterne er et uafhængigt kontrolorgan, hvis formål er at føre tilsyn med Center for Cybersikkerhed (CFCS), Politiets Efterretningstjeneste (PET), Forsvarets Efterretningstjeneste (FE) og Rigspolitiets PNR-enhed i forhold til disses behandling af personoplysninger.

Læs hele årsredegørelsen her.