Udtalelse fra CFCS som svar på henvendelse fra pressen angående TDC's udflytning af driftscenter
CFCS har modtaget og besvaret nedenstående spørgsmål fra journalist Sebastian Stryhn Kjeldtoft, Politiken.
25. juli, 2019 - Kl. 14.30
[Oprindeligt publiceret af Center for Cybersikkerhed]
Hvad er Center for Cybersikkerheds juridiske vurdering af de rumænske myndigheders mulighed for at foretage indgreb i oplysninger, som behandles i TDC’s NOC i Rumænien?
I modsætning til Vodafone, som er teleselskab i Rumænien, er Ericssons NOC i Rumænien et selskab, der leverer en underleverance til teleudbydere i en række andre lande bl.a. TDC, hvorfor en vurdering på baggrund af det af Politiken fremsendte Vodafone-notat grundlæggede ikke er relevant. Det fremgår af den rumænske telemyndigheds hjemmeside, hvilke virksomheder der er registreret som teleudbydere på det rumænske marked, og som dermed som udgangspunkt vil være underlagt den lovgivning om indgreb i meddelelseshemmeligheden, som Vodafone refererer til.
I hvilket omfang kan de rumænske efterretningstjenester foretage indgreb i pakke-, trafik- og stationære data, som passerer eller behandles i NOC’en?
Som nævnt er Ericssons NOC i Rumænien et selskab, der leverer en underleverance til teleudbydere i en række andre lande bl.a. TDC og ikke en erhvervsmæssig teleudbyder af teletrafik på det rumænske marked. Det er en misforståelse at tro, at dansk mobildatatrafik generelt vil passere gennem NOC’en.
Er det også Center for Cybersikkerheds vurdering, at rumænsk lov forbyder Ericsson, som drifter NOC’en, fra at oplyse andre om sådanne indgreb, såfremt de skulle finde sted?
Vodafones rapport tager som beskrevet ovenfor udgangspunkt i bestemmelser for et teleselskab og den lovgivning, der regulerer en erhvervsmæssig teleudbyders virksomhed i Rumænien. Det skal dog bemærkes, at det ved lov i mange også vesteuropæiske lande er ulovligt for teleselskaberne at oplyse om de indgreb i meddelelseshemmeligheden, som et lands myndigheder foretager.
I tilfælde af undtagelsestilstand kan rumænske myndigheder overtage kontrollen med Ericssons NOC. Hvor hurtigt kan TDC i en sådan situation genoprette en national NOC i Danmark til at styre mobilnetværket?
Spørgsmålet er hypotetisk. TDC er en væsentlig erhvervsmæssig teleudbyder i Danmark og har som sådan en forpligtelse til i videst muligt omfang at opretholde driften af sit mobilnetværk. TDC er derfor ansvarlig for at planlægge sin drift og sit beredskab således, at ovenstående understøttes bedst muligt. CFCS har løbende dialog med de danske teleudbydere om deres beredskab jf. lovgivningens bestemmelser, men der er ikke krav om, at genoprettelsen af en NOC eller driften i øvrigt nødvendigvis skal ske i Danmark.
Har Center for Cybersikkerhed eller Forsvarets Efterretningstjeneste modtaget nogen forsikringer om, at rumænske efterretningsmyndigheder ikke vil foretage elektronisk indhentning (SIGINT) i de datastrømme, der vil passere NOC’en i Rumænien?
Forsvarets Efterretningstjeneste og herunder Center for Cybersikkerhed udtaler sig af princip aldrig om et eventuelt samarbejde med andre landes efterretningstjenester.
I hvilket omfang kan Center for Cybersikkerhed gøre brug af bemyndigelserne i L215 (Initiativer til styrkelse af cybersikkerheden) over for NOC’en i Rumænien? Her tænker jeg særligt på påbud om tilslutning til netsikkerhedstjenesten, om forebyggende sikkerhedstekniske undersøgelser og mulighed for at benytte honeypots.
Dansk lovgivning gælder i Danmark. Et påbud kan således ikke komme i betragtning ift. en virksomheds installationer, der er fysisk placeret i udlandet. En virksomhed i udlandet kan heller ikke blive frivilligt tilsluttet. TDC og Ericsson og andre virksomheder kan blive tilsluttet i Danmark.
Hvad er Center for Cybersikkerheds juridiske vurdering af de rumænske myndigheders mulighed for at foretage indgreb i oplysninger, som behandles i TDC’s NOC i Rumænien?
I modsætning til Vodafone, som er teleselskab i Rumænien, er Ericssons NOC i Rumænien et selskab, der leverer en underleverance til teleudbydere i en række andre lande bl.a. TDC, hvorfor en vurdering på baggrund af det af Politiken fremsendte Vodafone-notat grundlæggede ikke er relevant. Det fremgår af den rumænske telemyndigheds hjemmeside, hvilke virksomheder der er registreret som teleudbydere på det rumænske marked, og som dermed som udgangspunkt vil være underlagt den lovgivning om indgreb i meddelelseshemmeligheden, som Vodafone refererer til.
I hvilket omfang kan de rumænske efterretningstjenester foretage indgreb i pakke-, trafik- og stationære data, som passerer eller behandles i NOC’en?
Som nævnt er Ericssons NOC i Rumænien et selskab, der leverer en underleverance til teleudbydere i en række andre lande bl.a. TDC og ikke en erhvervsmæssig teleudbyder af teletrafik på det rumænske marked. Det er en misforståelse at tro, at dansk mobildatatrafik generelt vil passere gennem NOC’en.
Er det også Center for Cybersikkerheds vurdering, at rumænsk lov forbyder Ericsson, som drifter NOC’en, fra at oplyse andre om sådanne indgreb, såfremt de skulle finde sted?
Vodafones rapport tager som beskrevet ovenfor udgangspunkt i bestemmelser for et teleselskab og den lovgivning, der regulerer en erhvervsmæssig teleudbyders virksomhed i Rumænien. Det skal dog bemærkes, at det ved lov i mange også vesteuropæiske lande er ulovligt for teleselskaberne at oplyse om de indgreb i meddelelseshemmeligheden, som et lands myndigheder foretager.
I tilfælde af undtagelsestilstand kan rumænske myndigheder overtage kontrollen med Ericssons NOC. Hvor hurtigt kan TDC i en sådan situation genoprette en national NOC i Danmark til at styre mobilnetværket?
Spørgsmålet er hypotetisk. TDC er en væsentlig erhvervsmæssig teleudbyder i Danmark og har som sådan en forpligtelse til i videst muligt omfang at opretholde driften af sit mobilnetværk. TDC er derfor ansvarlig for at planlægge sin drift og sit beredskab således, at ovenstående understøttes bedst muligt. CFCS har løbende dialog med de danske teleudbydere om deres beredskab jf. lovgivningens bestemmelser, men der er ikke krav om, at genoprettelsen af en NOC eller driften i øvrigt nødvendigvis skal ske i Danmark.
Har Center for Cybersikkerhed eller Forsvarets Efterretningstjeneste modtaget nogen forsikringer om, at rumænske efterretningsmyndigheder ikke vil foretage elektronisk indhentning (SIGINT) i de datastrømme, der vil passere NOC’en i Rumænien?
Forsvarets Efterretningstjeneste og herunder Center for Cybersikkerhed udtaler sig af princip aldrig om et eventuelt samarbejde med andre landes efterretningstjenester.
I hvilket omfang kan Center for Cybersikkerhed gøre brug af bemyndigelserne i L215 (Initiativer til styrkelse af cybersikkerheden) over for NOC’en i Rumænien? Her tænker jeg særligt på påbud om tilslutning til netsikkerhedstjenesten, om forebyggende sikkerhedstekniske undersøgelser og mulighed for at benytte honeypots.
Dansk lovgivning gælder i Danmark. Et påbud kan således ikke komme i betragtning ift. en virksomheds installationer, der er fysisk placeret i udlandet. En virksomhed i udlandet kan heller ikke blive frivilligt tilsluttet. TDC og Ericsson og andre virksomheder kan blive tilsluttet i Danmark.