Regeringen: Embedsmænd skal have lov til at narre medarbejdere for at teste IT-sikkerhed

Et nyt lovforslag fra regeringen vil give Center for Cybersikkerhed, der er en del af Forsvarets Efterretningstjeneste, en række nye værktøjer til at bekæmpe hacker-angreb mod samfundsvigtige virksomheder og myndigheder. Forslaget definerer ikke nærmere, hvilke virksomheder og institutioner forslaget dækker.

Centret vil bl.a. få mulighed for at udføre testangreb på virksomheder og offentlige myndigheder, der giver deres tilladelse til det, ved hjælp af såkaldt ”social engineering”. Det er en hackermetode, hvor man i stedet for at gå efter tekniske sikkerhedsbrister går efter menneskelige fejl.

Metoden møder kritik fra bl.a. Dansk Magisterforenings formand og medlem af Dataetisk Råd, Camilla Gregersen.

”Skjulte social engineering-test vil være en enorm krænkelse af ansattes privatliv og retssikkerhed, og jeg opfatter det som uetisk at forsøge at narre medarbejdere til uforvarende at bryde en virksomheds egne regler eller en myndigheds retningslinjer”, siger hun.

Som eksempel på social engineering nævnes det i lovforslaget, at Center for Cybersikkerhed uden retskendelse må analysere medarbejderes profiler på sociale medier og bruge de informationer til for eksempel at gætte deres adgangskoder, da mange bruger navne på ægtefæller, husdyr eller fødeby som adgangskode.

Et andet eksempel, der nævnes i forslaget, er, at centret kan sende mails til medarbejdere og udgive sig for at være deres kollega for på den måde at ”franarre medarbejdere bestemte oplysninger”, som der står i lovforslaget.

Et tredje eksempel er, at der bliver plantet USB-nøgler rundt omkring på virksomhederne, som kan give fjernadgang til computere, hvis medarbejderne begår den fejl at bruge dem.

På den måde vil man teste, om medarbejderne følger retningslinjerne for god IT-sikkerhed.

Camilla Gregersen mener, at man med forslaget også risikerer at krænke medarbejdernes retssikkerhed.

”Medarbejdernes retssikkerhed står til at lide et alvorligt knæk med dele af det forslag, der er lagt frem. Jeg finder det dybt problematisk, at Center for Cybersikkerhed vil få mulighed for at lægge fælder ud for medarbejderne i forbindelse med deres arbejde”, siger hun.

Jurist Birgitte Kofod Olsen, der blandt andet rådgiver indenfor privacy og persondatabeskyttelse i Carve Consulting, har set nærmere på lovforslaget. Hun mener, at det i nogle tilfælde kan være legitimt at bruge social engineering som værktøj, men at der er retslige krav, som centret vil skulle leve op til – bl.a. menneskerettighederne og den arbejdsretslige regulering om overvågning af medarbejdere.

”Derudover er der også nogle etiske overvejelser, som vi må tage. Er det her en vej, vi gerne vil ned af? Vil vi gerne have denne her form for ’snyd’ i vores demokrati? Det er en uoplyst monitorering og ikke rigtig noget, vi har gjort før. Det er en ny tendens, som vi ser mere og mere”, siger hun.

Forsvarsministeriet oplyser i en mail til Magisterbladet som svar på kritikken, at de efter den offentlige høring har ændret lovforslaget, så medarbejdernes navne ikke vil fremgå af en eventuel rapport til arbejdsgiver, og at det ifølge dem er en almindeligt anerkendt metode til at teste den generelle sikkerhedsbevidsthed.

Overvågning af computere

Social engineering er imidlertid ikke det eneste værktøj, som Center for Cybersikkerhed vil få i sin værktøjskasse. Centret får også mulighed for at behandle det data, som virksomheder og myndighederne eksempelvis har på PC’er, netværk, i skyen og på servere uden retskendelse.

Det gælder kun for de virksomheder og myndigheder der er en del af centrets ”netsikkerhedstjeneste”. I modsætning til social engineering-angrebene vil det imidlertid ikke altid være frivilligt for virksomhederne og myndighederne, om de vil være en del af tjenesten.

”Center for Cybersikkerhed kan i særlige tilfælde påbyde virksomheder, der har særligt samfundsvigtig karakter, samt regioner og kommuner at blive tilsluttet netsikkerhedstjenesten med henblik på monitorering af netværkskommunikation”, står der i lovforslaget. Desuden kan det kun omfatte de dele af virksomheden eller myndigheden, der har væsentlig betydning for Danmarks kritiske infrastruktur.

Ifølge jurist og medlem af tænkehandletanken DataEthics Catrine Søndergaard Byrne er det uklart, hvad samfundsvigtig karakter og kritisk infrastruktur præcist vil sige.

”Det er stadig uklart, hvad der menes med virksomheder af særlig samfundsvigtig karakter. Er Novo Nordisk af særlig samfundsvigtig karakter? Hvis Novo Nordisk bliver angrebet, kan det være meget alvorligt for samfundet både økonomisk, i forhold til medicinforsyning og i forhold til unik knowhow. Vil Novo så kunne tvangspålægges overvågning?”, siger hun.

Hun mener, at lovforslaget i yderste konsekvens f.eks. betyder, at medarbejdere risikerer at få tvangsovervåget deres arbejdscomputer og arbejdsmobiltelefoner.

”Det kan være meget krænkende for medarbejderne. Selv medarbejdere har ret til privatliv. Mange tager for eksempel deres arbejdscomputere med sig hjem, og så sidder Forsvarets Efterretningstjeneste reelt med ved spisebordet. De er også med, når medarbejderen er til massage, børnetandlæge eller psykolog, fordi mange har deres arbejdsmobiler med sig hele tiden; måske endda har pligt til det, fordi de skal kunne tilkaldes”, fortæller hun.

Forsvarsministeriet oplyser som svar på denne kritik, at Center for Cybersikkerhed kun kigger efter den ondartede malware, som kan blive brugt i et cyberangreb, og at et særligt tilsyn skal holde øje med, om dette bliver overholdt.

Ifølge Birgitte Kofod Olsen vil man imidlertid, når man leder efter malware, også for eksempel kunne gå ind at læse e-mails, som medarbejderne sender eller modtager, hvis en algoritme spotter noget mistænkeligt i dem.

”Det er nogle gode folk, der sidder i Center for Cybersikkerhed, så jeg tror ikke, at de vil misbruge det. Men det er det, at man giver muligheden og lovhjemlen til at gøre det, som jeg synes er problematisk”, fortæller hun.

Skader loyalitet

Catrine Søndergaard Byrne mener, at det vil kunne skade medarbejderens loyalitet at blive udsat for sådan en kontrol og skabe unødig mistro og usikkerhed.

”GDPR har allerede højnet opmærksomheden på datasikkerhed, og medarbejdere har generelt loyalt taget det til sig. Misbruger man den loyalitet, så risikerer man, at den ændrer sig til mistro. Man bør i stedet træne dem og hjælpe dem”, fortæller hun.

Tina Øllgaard Bentzen, der forsker i tillid og kontrol i offentlig ledelse på Roskilde Universitet, vurderer også, at sådan en kontrol potentielt vil kunne medføre et dårligere arbejdsmiljø og øget mistro fra medarbejderne.

”Det sker, hvis de oplever kontrollen som for grov og for meningsløs. Medarbejdernes oplevelse er helt afgørende. Det betyder dog samtidigt, at man kan slippe afsted med ret omfattende kontrol, hvis medarbejderne er indforståede med den. Teoretisk set kan sådan en kontrol derfor også godt fungere”, siger hun.

Der vil være mange konsekvenser, hvis medarbejderne føler, at kontrollen går for vidt, mener hun.

”I det offentlige er medarbejderne for eksempel ofte drevet af et ønske om ”public service”. De vil gerne lave et godt stykke arbejde og på den måde hjælpe borgerne. Den motivation skaber stor værdi, men man sætter den over styr med unødvendig kontrol. Der er også en stor risiko for, at man begynder at handle strategisk og bruger energi på at gardere sig mod kontrollen frem for på at udføre sit arbejde”, fortæller Tina Øllgaard Bentzen.

Forsvar for lovforslaget

Der ser ud til at være bred opbakning til lovforslaget i Folketinget. Blandt andre støtter forsvarsordfører for Socialdemokratiet, Henrik Dam Kristensen, sammen med sit parti op om lovforslaget.

”Det her forslag har ikke noget med arbejdscomputere eller personlige ting og sager at gøre. Det handler om at beskytte os fra nogen, der vil os det ondt, og som både har viljen og kapaciteten til det”, fortæller han.

Han nævner angreb fra russiske efterretningstjenester eller angreb som det, man så mod det engelske sundhedssystem NHS, som eksempler. Center for Cybersikkerhed har også for nyligt udgivet en trusselsvurdering, der siger, at truslen fra cyberspionage og -kriminalitet er meget høj.

Så Center for Cybersikkerhed ville altså ikke få mulighed for at se, hvad der for eksempel foregår på min arbejdscomputer?

”Nej, ikke på din computer. Og det ville også være fuldstændig uinteressant. De der teorier om, at nu kan vi komme ind at læse folks sygejournaler, og nu kan vi overvåge enkeltpersoners trafik, det er slet ikke det, det her lovforslag handler om”, fortæller Henrik Dam Kristensen.

Han fremhæver, at centret vil blive underlagt et særligt tilsyn, der kontrollerer, at alt foregår efter bogen.

”På den måde synes jeg faktisk, at vi styrker borgernes retssikkerhed, fordi der kommer den ekstra kontrol, som man ikke har med andre statslige myndigheder”, siger han.

Men er det muligt med det her forslag at se, hvad der foregår på den enkelte medarbejders computer?

”Det er der nogle regler for, hvordan og hvorledes man gør. Det er slet ikke det, der er formålet”.

Men giver det muligheden, teoretisk set?

”Så skal det have en relevans i forhold til et cyber-angreb. Og det er det, centret skal kontrolleres for”, fortæller Henrik Dam Kristensen.

Han anerkender, at det kan være krænkende, hvis medarbejder for eksempel får undersøgt deres sociale medier.

”Man skal selvfølgelig passe meget på med det. Men vi må huske på, at medarbejderne og deres sunde fornuft er fuldstændig afgørende for cyber-sikkerheden. Vi danskere skal være mere tænksomme, for vi er i en ny virkelig med cyber-kriminalitet. Bare tænk på, hvor mange der har fået stjålet deres identitet”, siger Henrik Dam Christen.

Lovforslaget er pt. blevet førstebehandlet og er under udvalgsbehandling.