DI og DI ITEKs vejledning om overvågning og beskyttelsesmuligheder af danske virksomheders data
Danske virksomheders data udsættes i takt med den til stadighed mere omfattende digitalisering over for væsentlige risici. Blandt de nye trusler, virksomhederne skal beskytte sig imod, er risikoen for, at virksomhedernes data overvåges af fremmede landes efterretningstjenester via internettet. Denne vejledning viser, at mange lande har lovgivning, som - når en række betingelser er opfyldt - muliggør overvågning af datatrafik, som krydser de nationale grænser. Virksomhederne skal være opmærksom på de nye risici, der opstår, når man behandler og udveksler data på nettet. Virksomhederne skal derfor lave en løbende og opdateret risikovurdering, som fastslår, hvilke trusler virksomhederne står overfor. Der anbefales en periodisk opdatering hvert år. Desuden anbefales løbende opdatering i takt med, at nye trusler afsløres. Det anbefales desuden, at virksomhederne laver en dataklassifikation, hvor man som minimum klassificerer de data, der betyder mest for virksomheden. Det drejer sig bl.a. om de data, som er vigtigst for virksomhedens overlevelse og vækst. Det skal vurderes, hvilke risici virksomhedens står overfor, hvis disse data overvåges og deres fortrolighed kompromitteres. Hvis de pågældende data er af afgørende vigtighed for virksomheden, skal det sikres, at de gældende data ikke behandles via digitale services på internettet eller med adgang til internettet. Det skal ligeledes sikres, at det udstyr, som behandler data, ikke kan kommunikere trådløst på anden måde end internettet. Alternativt kan virksomheden anvende stærk og sikker kryptering i en implementering, som virksomheden stoler på. Baggrund Denne vejledning har til formål at bidrage til en vurdering af risici for overvågning af virksomhedernes data fra fremmede landes efterretningstjenester via internettet. For hvert enkelt land gennemgås kortfattet lovgrundlaget for overvågning af tele- og datatrafik. Særligt i det omfang, hvor overvågningen ikke er målrettet en mistænkt, men tager form af at være masseovervågning, er der risiko for, at virksomhedernes data falder i fremmede hænder. Herefter gennemgås i en vis udstrækning lovgivningens implikationer for cloud computing. Lovgivning Lovgivningen i en række lande lægger op til, at data indenfor og udenfor landets grænser kan overvåges af landets forskellige myndigheder. I praksis har de fleste lande i verden en eller flere efterretningstjenester, hvis formål er at indhente efterretninger, som har til formål at beskytte landets interesser mod bl.a. terrorisme. Desuden er der mulighed for, at politiet og andre myndigheder kan få adgang til data. Denne vejledning giver nogle udvalgte eksempler på lovgivning i lande, som Danmark har væsentlig samhandel med og/eller som det er sandsynligt, at dansk internettrafik krydser. Danmark Danmark har to efterretningstjenester: Politiets Efterretningstjeneste (PET) og Forsvarets Efterretningstjeneste (FE). Lovgrundlaget er henholdsvis Lov om Politiets Efterretningstjeneste 1 og Lov om Forsvarets Efterretningstjeneste 2. I Lov om Politiets Efterretningstjeneste hedder det i 1: "Politiets Efterretningstjeneste har til opgave at... forebygge, efterforske og modvirke forbrydelser mod statens selvstændighed og sikkerhed samt forbrydelser mod statsforfatningen og de øverste statsmyndigheder m.v., jf. straffelovens kapitel 12 og 13". 1 https://www.retsinformation.dk/forms/r0710.aspx?id=152182 2 https://www.retsinformation.dk/forms/r0710.aspx?id=152195
Tilsvarende i Lov om Forsvarets Efterretningstjeneste, 1: "Forsvarets Efterretningstjeneste... har til opgave at... tilvejebringe det efterretningsmæssige grundlag for dansk udenrigs-, sikkerheds- og forsvarspolitik [og]... medvirke til at forebygge og modvirke trusler mod Danmark og danske interesser og... i den forbindelse indsamle, indhente, bearbejde, analysere og formidle oplysninger om forhold i udlandet af betydning for Danmark og danske interesser, herunder for danske enheder m.v. i udlandet". Omfanget af FE's virksomhed uddybes i bemærkningerne til lovforslaget: "FE løser sin opgave ved at indsamle, indhente, bearbejde og analysere alle former for kilder. Oplysningerne indhentes således fra en bred vifte af informationskilder, der strækker sig fra åbne kilder, f.eks. massemedier, tidsskrifter, bøger, offentlige databaser m.v., til anvendelse af lukkede kilder, f.eks. personkilder (fysisk indhentning), elektronisk indhentning af f.eks. militante netværks og andre staters kommunikation. Dette sker fra tjenestens installationer i ind- og udlandet og via samarbejde med andre landes sikkerheds- og efterretningstjenester" 3. Tilsvarende udveksler FE også efterretninger med kolleger i udlandet: "FE s udveksling af oplysninger med udenlandske myndigheder søges altid gennemført inden for rammerne af et etableret, gensidigt samarbejde, således at den modtagende myndighed i udlandet som led i dette samarbejde på tilsvarende måde vil stille oplysninger til rådighed for FE, når sådanne oplysninger kan have særlig betydning for f.eks. vurderingen af truslen mod Danmark og danske interesser" 4. Det er altså en grundliggende betingelse for efterretningstjenesternes virke, at de skal beskytte den danske stat. Foruden efterretningstjenesterne har politiet i medfør af retsplejelovens regler visse muligheder for at få adgang til data. For det første kan politiet 5 ved mistanke om kriminelle forhold iværksætte aflytning med dommerkendelse, og for det andet kan politiet med dommerkendelse få adgang til de trafikdata om kommunikation, som udbydere af elektroniske kommunikationsnet og -tjenester har pligt til at indsamle og opbevare. Såfremt der er adgang til data fra Danmark, kan politiet med dommerkendelse få adgang til data, som behandles af en cloududbyder desuagtet, at serveren befinder sig i udlandet. Hvis der ikke kan opnås adgang til data via nettet, afhænger mulighederne for adgang til data af det juridiske samarbejde som landene har 6. Sverige I Sverige er der mere vidtgående lovgivning, som muliggør overvågning i højere grad, end vi kender det i Danmark. Den svenske efterretningstjeneste, Försvarets Radioanstalt (FRA), har mulighed for at bruge datamining software til at søge i al tele og internetkommunikation, som krydser Sveriges grænser. Søgningen må iværksættes, hvis der er emner som "military threats, terrorism, IT security, supply problems, ecological imbalances, ethnic and religious conflicts, and migration to economic challenges in the form of currency and interest speculation" 7 involveret. Lovgivningen har været genstand for betydelig debat i Sverige, og er på den baggrund blevet ændret. I dag kræves der dommerkendelse, førend FRA kan 3 http://www.ft.dk/ripdf/samling/20121/lovforslag/l163/20121_l163_som_fremsat.pdf, p. 11. 4 Ibid, p. 17. 5 jvf., retsplejelovens kapitel 71, https://www.retsinformation.dk/forms/r0710.aspx?id=157953 6 http://m.hoganlovells.com/files/news/c6edc1e2-d57b-402e-9cab- 5888433b292d/Revised%20Government%20Access%20to%20Cloud%20Data%20Paper%20(18%20July%2012).pdf, pp. 7-8 7 https://www.privacyinternational.org/reports/sweden/ii-surveillance-policies
iværksætte søgninger, og det er præciseret, at kommunikationen ikke må involvere en modtager eller afsender i Sverige, men altså kun Sveriges omverden 8. Denne ændring er af særlig interesse for Danmark, fordi en ikke ubetydelig del af dansk tele- og internet trafik krydser den svenske grænse. Trafikken søger den hurtigste og billigste vej gennem netværkene - og det er i praksis ofte over Sverige. Der er dermed en potentiel risiko for, at kommunikationen overvåges i Sverige af den svenske efterretningstjeneste, såfremt betingelserne for søgningen er til stede. Storbritannien I Storbritannien er der i henhold til RIPA-lovene (Regulation of Investigatory Powers Act) vidtgående mulighed for, at myndighederne under indenrigsministeriet kan få adgang til trafikdata for tele- og internettrafik uden dommerkendelse. Desuden er det en administrativ beslutning, når der skal iværksættes overvågning af indhold af trafikken. Tilsvarende er der krav om, at internetudbyderne skal logge trafikdata 9. Storbritannien kan ydermere kræve, at personer, som er under mistanke for kriminelle handlinger, skal dekryptere information og udlevere krypteringsnøgler. Endelig er al trafik, som krydser Storbritanniens grænser, omfattet af masseovervågning i henhold til RIPA-lovene 10. Overvågning af trafik kan ske, hvis det "is 'necessary' in the interest of national security; for the prevention or detection of a serious crime; to safeguard the economic well-being of the UK; or in response to a request under an international mutual legal assistance agreement" 11. Myndighederne kan også kræve at få adgang til en række data hos cloududbydere. Såfremt det vurderes, at det kan skade efterforskningen at bede cloududbyderen om at give adgang til data, kan der gives mulighed for, at myndighederne selv henter data gennem aflytning, hacking eller razzia. Det er ikke nogen forhindring, at serveren eventuelt står i udlandet, såfremt der skal skaffes adgang til data fra Storbritannien. Aflytning kan ske uden en dommerkendelse, men der skal gives en kendelse fra en såkaldt statssekretær 12. Frankrig I henhold til LOPPSI 2 (loi d orientation et de programmation pour la performance de la sécurité intérieure) kan politiet med en dommerkendelse få adgang til optage, indsamle og kopiere informationer fra forskellige IT-systemer via spyware. Herudover skal ISP'er logge trafikdata, og politiet og efterretningstjenesterne kan få adgang til disse logs uden dommerkendelse. Konkret har myndighederne gennem flere år haft systemer, hvor de kan søge direkte i disse logs og kortlægge, hvem der har kommunikeret med hvem. I Frankrig er det en skærpende omstændighed at bruge kryptering, og franske myndigheder kan kræve at informationer dekrypteres, ligesom de kan kræve nøgler udleveret 13. 8 http://data.riksdagen.se/dokument/gx01f%c3%b6u3 9 https://www.privacyinternational.org/reports/united-kingdom/ii-surveillance-policies 10 Omtalt overordnet: http://en.wikipedia.org/wiki/mass_surveillance_in_the_united_kingdom og uddybet yderligere i selve loven: http://www.legislation.gov.uk/ukpga/2000/23/section/1 11 http://m.hoganlovells.com/files/news/c6edc1e2-d57b-402e-9cab- 5888433b292d/Revised%20Government%20Access%20to%20Cloud%20Data%20Paper%20(18%20July%2012).pdf, p. 11 12 http://m.hoganlovells.com/files/news/c6edc1e2-d57b-402e-9cab- 5888433b292d/Revised%20Government%20Access%20to%20Cloud%20Data%20Paper%20(18%20July%2012).pdf, pp.11-12 13 https://www.privacyinternational.org/reports/france/ii-surveillance-policies
Franske myndigheder kan med en dommerkendelse kræve at få adgang til cloudservere i hjemlandet såvel som i udlandet 14. Tyskland I Tyskland giver G-10-loven adgang til automatisk overvågning af national og international kommunikation foretaget af efterretningstjenesterne uden dommerkendelse. ISP'erne skal sikre, at det er muligt for efterretningstjenesterne at foretage denne overvågning. Dele af lovgrundlaget for denne overvågning er siden udvidet således, at dele af politiet også har mulighed for at foretage overvågning og installere overvågningssoftware (Bundestrojaner) på it-udstyr. Med en domstolskendelse må visse tyske myndigheder få adgang til data lagret i clouden. Ligeledes må tysk politi få adgang til metadata uden en domstolskendelse. Adgangen er i begge tilfælde begrænset til servere, der befinder sig i Tyskland. Såfremt der ønskes adgang til data, der befinder sig på servere i udlandet, må politiet forlade sig på bilaterale aftaler med myndigheder i andre lande 15. USA I USA er der et omfattende regelsæt, som sætter vide grænser for overvågning. Den megen omtalte USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) bygger på en række eksisterende love. Politiets adgang til at overvåge i USA er bl.a. reguleret i Electronic Communications Privacy Act (ECPA). Politiet skal have en dommerkendelse for at kunne foretage aflytning. Overvågning uden for USA s grænser er reguleret i Foreign Intelligence Surveillance Act (FISA). Kravet er her, at der skal være mistanke om, at en kommunikerende part er relateret til terrorisme. Den såkaldte FISA-domstol kan så give tilladelse til overvågning. Domstolen skal ikke vurdere nogen form for dokumentation for mistanke om relation til terror. Amerikanere kan også overvåges under FISA-loven, idet det alene er en forudsætning, at den ene kommunikerende part skal befinde sig i udlandet. ISP'er har pligt til at indrette deres udstyr således, at overvågning kan finde sted. En af de ændringer, som PATRIOT Act førte med sig, var, at FBI selv kunne udstede National Security Letters, som giver ret til at få adgang til kundedata hos banker, ISP'er, m.v. 16. Den væsentligste lov, som sikrer, at amerikanske myndigheder kan få adgang til cloudservices, er ECPA. I henhold til denne lov kan myndighederne få adgang til data, som hostes hos online service udbydere. Dette kan være et alternativ til at få adgang til data ved at henvende sig til ejeren af data. Adgangen til data er uafhængig af, hvor serveren, som data befinder sig på, er placeret geografisk. Amerikanske myndigheder kan kræve adgang til data, uanset om data kan tilgås fra USA. Der kan således også kræves adgang til data lagret i f.eks. Europa. Faktisk kræves det kun, at en virksomhed har en tilstedeværelse i eller kontakt med USA 17. 14 http://m.hoganlovells.com/files/news/c6edc1e2-d57b-402e-9cab- 5888433b292d/Revised%20Government%20Access%20to%20Cloud%20Data%20Paper%20(18%20July%2012).pdf, p. 8 15 http://m.hoganlovells.com/files/news/c6edc1e2-d57b-402e-9cab- 5888433b292d/Revised%20Government%20Access%20to%20Cloud%20Data%20Paper%20(18%20July%2012).pdf, pp. 8-9 16 https://www.privacyinternational.org/reports/united-states-of-america/ii-surveillance-policies og https://ssd.eff.org/foreign/fisa 17 Covington & Burling LLP: "The USA PATRIOT Act and the Use of Cloud Services: Q&A", http://www.insideprivacy.com/patriotactqa.pdf
Traktater mv. Foruden den nationale lovgivning findes en række internationale aftaler og reguleringer. Et eksempel er EU s direktiv om logning, Data Retention Directive 18, som har til formål at harmonisere reglerne for logning af trafikdata for tele- og internetkommunikation. Direktivet er indført i en række EUlande og fastsætter dels, hvilke data ISP'erne skal logge, og hvilke myndigheder, der skal have adgang til data hvordan. Direktivet har bl.a. den konsekvens, at alle virksomheders trafikdata logges, og med en dommerkendelse kan man derfor se, hvem der har kommunikeret med hvem hvornår og hvordan. Der findes herudover en række aftaler om gensidig juridiske bistand mellem lande (Mutual Legal Assistance Treaties og court-to-court samarbejde). Disse aftaler giver mulighed for, at myndighederne i to eller flere lande kan samarbejde om at tilvejebringe relevante data for en sag, der undersøges i et andet land. Mangel på anvendelse af ny teknologi er en trussel Risikoen for virksomhedens data opstår i forbindelse med deres anvendelse af moderne digitale teknologier og services. Det er på den anden side også en trussel for virksomhedernes økonomiske udvikling, hvis de ikke bruger moderne teknologier mv. Således vil manglende anvendelse af moderne tiltag som cloud computing, mobile tjenester, sociale tjenester, big data analyse og internet of everything udsætte den enkelte virksomhed for potentielt tab af konkurrencekraft. Dette dilemma skal risikovurderingen tage højde for, og der må laves en afvejning mellem beskyttelsestiltag for at forhindre, at de vigtigste datas fortrolighed kompromitteres og gevinsterne, som de moderne teknologier giver. Sikringstiltag På baggrund af ovenstående kan det konkluderes, at der i en række lande findes hjemmel til at foretage overvågning af datatrafik - særligt datatrafik, der krydser nationale grænser. En illustration kan findes i bilag 1. Virksomhederne bør gennemføre en risikovurdering, hvor de kortlægger, hvilke trusler virksomhederne står overfor. Truslen om aflytning og tab af datas fortrolighed er kun en del af det samlede trusselsbillede. Virksomhedens risici udvikler sig løbende, og den konkrete risikovurdering skal derfor løbende opdateres i takt med, at vigtigere nye trusler afsløres. Desuden bør virksomhederne lave en dataklassifikation, hvor man som minimum klassificerer de data, der betyder mest for virksomheden. Til dette formål kan man søge inspiration i statsministeriets sikkerhedscirkulære 19. De data, som er vigtigst for virksomhedens overlevelse og vækst, kan klassificeres som "top hemmelige". Det skal vurderes, hvilke risici virksomhedens står overfor, hvis disse data overvåges og deres fortrolighed kompromitteres. Hvis de pågældende data er af afgørende vigtighed for virksomheden, har virksomheden to muligheder: 1. Enten skal det sikres, at de gældende data ikke behandles via digitale services på internettet eller med adgang til internettet, ligesom det skal sikres, at det udstyr, som behandler data, ikke kan kommunikere trådløst på anden måde end internettet. De pågældende data kan der evt. være krav om kun behandles på papir, bæres med kurer, etc. 2. Eller også skal virksomhederne bruge en kryptering, som er tilstrækkelig stærk (nøglelængde) og som de selv stoler på (uden bagdøre) og evt. selv implementerer. 18 http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=oj:l:2006:105:0054:0063:en:pdf 19 http://www.stm.dk/_p_5431.html
De øvrige data, som virksomheden vurderer, er af mindre betydning for virksomhedens overlevelse og vækst, kan, hvis det er i overensstemmelse med risikovurderingen, måske med fordel behandles hos outsourcing- eller cloudleverandører. Bilag 1 I figuren fremgår det, hvordan data transporteres rundt på nettet og hvor truslerne findes. 1. Når kommunikationen går fra en dansk virksomhed til en dansk outsourcingpartner, er det ganske sandsynligt, at trafikken går over Sverige, hvor den vil blive opsamlet. 2. Det samme sker, hvis virksomhedens bruger en outsourcingpartner eller en cloududbyder et sted i Europa. Her vil trafikken dog krydse flere lande og kan dermed blive opsamlet af flere efterretningstjenester. 3. Yderligere vil man opnå samme risikobillede ved at bruge en cloududbyder placeret i USA, som ved at benytte en cloududbyder eller outsourcingpartner i Europa. 4. Både outsourcingpartnere og cloududbydere i USA og Europa kan benytte sig af underleverandører i Asien. I fald dette sker, kan der åbnes op for, at endnu flere landes efterretningstjenester kan få adgang til data.