Granskningsudvalget 2022-23 (2. samling)
GRA Alm.del Bilag 45
Offentligt
2740281_0001.png
Redegørelse om data i sensornetværket
Center for Cybersikkerhed (CFCS) under Forsvarets Efterretnings-
tjeneste (FE) underrettede på et møde den 16. juni 2023 For-
svarsministeriet om, at CFCS i forbindelse med arbejdet om at
belyse CFCS’ muligheder for at genskabe slettede SMS-beskeder
mv. er blevet opmærksom på, at CFCS i forbindelse med imple-
mentering af en ændring af CFCS-loven i 2019 har begået en be-
klagelig fejl.
Fejlen består i, at CFCS for en myndigheds vedkommende har an-
vendt en forkert slettefrist i forhold til data fra denne myndighed
i sensornetværket.
Omvendt har CFCS for visse andre myndigheders vedkommende
ikke udnyttet den forlængede slettefrist, som den pågældende
lovændring medførte.
Forsvarsministeren bad på det pågældende møde om, at CFCS
skulle udarbejde en samlet redegørelse vedrørende forløbet.
Der redegøres nærmere for forløbet herunder. Pkt. 1 handler om
opbygningen af sensornetværket, i pkt. 2 redegøres der for de
relevante regler i CFCS-loven, pkt. 3 handler om de omfattede
sikkerhedsmyndigheder (og fejlen i den forbindelse), i pkt. 4 om-
tales CFCS’ egenkontrol og det eksterne tilsyn, og CFCS’ lærings-
punkter er beskrevet i pkt. 5.
1. Sensornetværket
1.1.
CFCS har bl.a. til opgave at drive et sensornetværk med hen-
blik på at varsle myndigheder og visse virksomheder, der beskæf-
tiger sig med f.eks. kritisk infrastruktur, om cyberangreb. Formå-
let med sensornetværket er at detektere ondartet trafik og under-
støtte CFCS’ opgaveløsning og ikke i anden forbindelse at logge
aktiviteter på de monitorerede netværk.
Dato: 19. juli 2023
Sagsnr.: 2023/002920
Dok. nr.: 28230
Forsvarets Efterretningstjeneste
Kastellet 30
2100 København Ø
Tlf.: 33 32 55 80
E-mail: [email protected]
www.cfcs.dk
Side 1 af 8
 GRA, Alm.del - 2022-23 (2. samling) - Bilag 45: Brev vedr. CFCS redegørelse om data i sensornetværket, fra forsvarsministeren.
Sensornetværket virker ved, at en række sensorer via automati-
serede processer monitorerer datatrafikken ind og ud af de på-
gældende myndigheders og virksomheders netværk. Der holdes
løbende øje med, om malware eller anden mistænkelig data ind-
går i trafikken, og hvis dette er tilfældet, går en alarm hos CFCS.
CFCS kan herefter tilgå de pågældende data på sensoren og un-
dersøge den mistænkelige trafik nærmere.
Sensornetværket monitorerer ikke data, som sendes via mobil-
netværk fra f.eks. en telefon. Hvis telefonen imidlertid har været
koblet på et wifi-netværk, der er tilsluttet sensornetværket, og
der har været anvendt en internetbaseret chatfunktion som f.eks.
iMessage, vil data knyttet hertil blive lagret i sensornetværket.
Data fra sensornetværket opbevares på de sensorer, der monito-
rer datatrafikken, og i et vist omfang også på en særskilt data-
analyseplatform (DAP), jf. herom nedenfor.
1.2.
På sensorerne opbevares såkaldt pakkedata og trafikdata.
Pakkedata er indholdsdata, f.eks. indholdet af en e-mail. Trafik-
data er metadata, som f.eks. er oplysninger som IP-adresser og
tidspunktet for eventuel trafik til og fra disse adresser.
En sensor kan godt dække mere end en myndighed, og der opbe-
vares under alle omstændigheder betydelige datamængder på
sensorerne. Data fra én myndighed kan desuden være fordelt over
flere sensorer. Lagringskapaciteten på de enkelte sensorer bliver
derfor reelt den begrænsende faktor i forhold til, hvor længe data
opbevares
.
Når 95 pct. af sensorens lagringskapacitet er nået, bli-
ver ældste data således overskrevet af ny data og dermed slettet,
selv om den absolutte slettefrist endnu ikke måtte være nået.
Til illustration kan oplyses, at ældste data på de sensorer, som
bl.a. dækker Statsministeriet, pr. 28. juni 2023 er fra den 3. juni
2022. Den tilsvarende dato for Justitsministeriet er den 7. novem-
ber 2022.
Slettet data fra sensorerne kan ikke genskabes.
1.3.
Ud over i sensornetværket opbevares visse data som nævnt
også på DAP, som CFCS anvender til at foretage tværgående ana-
lyser af mønstre i datatrafik.
Side 2 af 8
 GRA, Alm.del - 2022-23 (2. samling) - Bilag 45: Brev vedr. CFCS redegørelse om data i sensornetværket, fra forsvarsministeren.
Mens sensorerne anvendes til at opbevare pakkedata og trafik-
data, benyttes DAP alene til at opbevare trafikdata, dvs. metadata
med oplysninger om den måde, som kommunikationen er sket på.
Denne data anvendes til at analysere datastrømmene, og kun hvis
der er mistanke om en IT-sikkerhedshændelse (cyberangreb
mv.), tilgår CFCS pakkedata på sensoren, som så i relevant om-
fang kan flyttes midlertidigt via DAP og herefter til særlige PC’er
med henblik på nærmere analyse. Analytikerne kan ikke se pak-
kedata i DAP, og det slettes på de særlige PC’er efter endt analyse.
Hvis CFCS konstaterer, at der er tale om en IT-sikkerhedshæn-
delse, vil CFCS varsle den tilsluttede myndighed eller virksomhed,
der er ramt.
Udgangspunktet er, at data på DAP slettes automatisk, når slet-
tefristerne i CFCS-loven på henholdsvis 13 måneder og 3 år ind-
træder, mens der gælder særlige slettefrister for data, der knytter
sig til konkrete sikkerhedshændelser.
Ligesom for data på sensorerne gælder det for slettede data fra
DAP, at disse ikke kan genskabes.
2. CFCS-loven
2.1.
Det fremgår af slettefristerne i CFCS-loven, at data, som
stammer fra myndigheder, der i særlig grad beskæftiger sig med
udenrigs-, sikkerheds- og forsvarspolitiske forhold (sikkerheds-
myndigheder), og virksomheder og organisationer, hvis aktivite-
ter har særlig betydning for disse forhold, som udgangspunkt kan
opbevares i højst 3 år.
Data fra andre myndigheder mv. end sikkerhedsmyndighederne
må som udgangspunkt højst opbevares i 13 måneder.
Slettefristen på 3 år blev indført ved en lovændring pr. 1. juli
2019, jf. nærmere herunder. Inden da var slettefristen 13 måne-
der for alle.
Der gælder særlige slettefrister for data, der knytter sig til kon-
krete sikkerhedshændelser.
Det bemærkes, at slettefristerne i CFCS-loven regulerer, hvor
længe CFCS må opbevare data, og ikke hvor længe data skal op-
bevares.
2.2.
Forlængelsen af slettefristen for sikkerhedsmyndigheder
mv. blev indført ved lov nr. 555 af 7. maj 2019, som trådte i
Side 3 af 8
 GRA, Alm.del - 2022-23 (2. samling) - Bilag 45: Brev vedr. CFCS redegørelse om data i sensornetværket, fra forsvarsministeren.
2740281_0004.png
kraft den 1. juli 2019. Begrundelsen for lovændringen var et øn-
ske fra CFCS om at kunne beholde data i længere tid for visse
særligt udsatte myndigheder, virksomheder og organisationer for
derved at forbedre mulighederne for at detektere avancerede cy-
berangreb.
Hvilke myndigheder, virksomheder og organisationer, som
denne den forlængede slettefrist gælder for, er uddybet i lov-
forslagets bemærkninger
1
, hvor der bl.a. er anført følgende:
”Der er tale om en ny bestemmelse, som etablerer en
særlig ordning for data, der hidrører fra en mindre gruppe
af myndigheder, virksomheder og organisationer. Det vil
eksempelvis dreje sig om udvalgte ministerier og om or-
ganisationer, herunder forskningsinstitutioner, der bidra-
ger til den danske udenrigspolitik eller varetager opgaver i
den forbindelse, og virksomheder, der leverer materiel og
ydelser til Forsvaret.
Der er tale om særligt sensitive data for staten, og det er
data, der i særlig grad kan være af interesse for statsstøt-
tede aktører, der spionerer mod Danmark. Den længere
slettefrist indebærer en forbedring af mulighederne for at
undersøge længerevarende eller ældre sikkerhedshændel-
ser. Der kan således særligt i forbindelse med opdagelse
af avancerede cyberangreb fra statsstøttede aktører opstå
behov for at tilgå ældre data med henblik på at afdække
angrebets iværksættelse og varighed, herunder eventuelt
identificere andre ofre for angrebet.
Det vil fremgå af tilslutningsaftalen med centerets netsik-
kerhedstjeneste – eller i tilfælde af påbud om tilslutning,
af afgørelsen herom – hvorvidt centeret anser den pågæl-
dende myndighed eller virksomhed for omfattet af be-
stemmelsen.”
CFCS betragter bl.a. sikkerhedsministerierne (Statsministeriet,
Forsvarsministeriet, Udenrigsministeriet og Justitsministeriet),
PET og Forsvaret som sådanne sikkerhedsmyndigheder.
Det bemærkes, at TET fører tilsyn med, at CFCS overholder slet-
tereglerne i CFCS-loven. Således gennemførte TET i 2022 en stik-
prøvekontrol af en sensor med data fra en række enheder i For-
svaret, herunder Forsvarskommandoen, og havde i den forbin-
delse ingen bemærkninger.
De specielle bemærkninger til forslaget til § 17, stk. 2, nr. 2, i lov-
forslag nr. L 215 af 27. marts 2019
1
Side 4 af 8
 GRA, Alm.del - 2022-23 (2. samling) - Bilag 45: Brev vedr. CFCS redegørelse om data i sensornetværket, fra forsvarsministeren.
2740281_0005.png
3. Omfattede sikkerhedsmyndigheder
3.1.
Betingelsen for at anvende slettefristen på 3 år er for det
første, at myndigheden mv. kan anses for omfattet af den pågæl-
dende bestemmelse i CFCS-loven, og at dette for det andet også
fremgår af den tilslutningsaftale, som CFCS indgår med myndig-
heden mv.
2
Da CFCS er IT-sikkerhedsmyndighed for Forsvarsmi-
nisteriets område, er der dog ikke noget krav om tilslutningsafta-
ler for myndigheder på dette område.
En samlet liste over myndigheder, virksomheder og organisatio-
ner, som CFCS har indgået sådanne aftaler med, er klassificeret.
Men det kan oplyses, at både Statsministeriet, Udenrigsministe-
riet og Justitsministeriet er blandt disse myndigheder.
3.2.
CFCS er i forbindelse med arbejdet om at belyse centrets
muligheder for at genskabe slettede SMS-beskeder mv. blevet op-
mærksom på, at CFCS i forbindelse med implementering af lov-
ændringen i 2019 har begået en beklagelig fejl.
Fejlen består i, at CFCS uberettiget har implementeret den 3-årige
slettefrist i forhold til data fra Danmarks Meteorologiske Institut
(DMI). Der blev således den 6. januar 2021 indgået en ændret
tilslutningsaftale med DMI med en slettefrist på 3 år. Fristen blev
manuelt forlænget fra 13 måneder til 3 år i DAP den 30. juni 2021.
Efterfølgende blev CFCS opmærksom på, at DMI ikke kan anses
for omfattet af kredsen af myndigheder mv., som den 3-årige slet-
tefrist gælder for.
På den baggrund blev tilslutningsaftalen den 8. december 2021
ændret tilbage til en slettefrist på 13 måneder, men ved en bekla-
gelig fejl blev slettefristen ikke manuelt ændret igen i DAP.
En forlængelse af slettefristen til 3 år forudsætter som nævnt
ovenfor, at dette også er aftalt med DMI og således fremgår af
tilslutningsaftalen. CFCS har dermed opbevaret data fra DMI en
længere periode, end hvad der er berettiget efter CFCS-loven.
Det kan oplyses, at CFCS pr. 17. juni 2023 opbevarede trafikdata
fra DMI på DAP, som var knap 3 år gammel (den ældste pakke-
og trafikdata fra DMI på sensorerne var på grund af kapacitetsbe-
grænsningen knap 4 måneder gammel).
Jf. også § 1, stk. 3, i bekendtgørelse nr. 896 af 21. august 2019 om
tilslutning til Center for Cybersikkerheds netsikkerhedstjeneste
2
Side 5 af 8
 GRA, Alm.del - 2022-23 (2. samling) - Bilag 45: Brev vedr. CFCS redegørelse om data i sensornetværket, fra forsvarsministeren.
CFCS har den 17. juni 2023 underrettet DMI og TET om fejlen og
har samme dag rettet slettefristen tilbage til 13 måneder og slet-
tet de data, som er for gamle.
CFCS har gennemgået de øvrige myndigheder mv., hvor slettefri-
sten er sat til 3 år i DAP, og har ikke konstateret yderligere fejl i
den forbindelse. Alle de pågældende myndigheder mv. må således
anses for omfattet af bestemmelsen i CFCS-loven om forlænget
slettefrist i overensstemmelse med de respektive tilslutningsafta-
ler.
3.3.
CFCS er i samme forbindelse blevet opmærksom på, at CFCS
i forhold til visse myndigheder ikke har fået fulgt tilfredsstillende
op på de forbedrede muligheder for at opbevaredata i længere tid,
som lovændringen i 2019 medførte.
Det er således CFCS’ opfattelse, at den forlængede slettefrist på
3 år i hvert fald burde have været anvendt for de myndigheder,
som direkte beskæftiger sig med regeringens sikkerhedssager.
Dette er også sket for en række af disse myndigheder, herunder
Udenrigsministeriet og PET, men ikke i forhold til f.eks. Statsmi-
nisteriet og Justitsministeriet. For disse to myndigheders vedkom-
mende er der således hhv. 10. marts 2020 og 21. januar 2021
ændret i tilslutningsaftalerne, så den forlængede slettefrist frem-
går heraf, men ændringen er ikke blevet implementeret i DAP.
Dette har haft betydning for, hvor længe CFCS har haft trafikdata
fra de to myndigheder, idet disse data er blevet slettet automatisk
fra DAP efter 13 måneder. Det har derimod ikke haft betydning
for, hvor længe CFCS har haft pakkedata, idet lagringskapaciteten
på de enkelte sensorer som nævnt ovenfor reelt har været den
begrænsende faktor i forhold til, hvor længe data har været op-
bevaret.
CFCS har den 17. juni 2023 ændret slettefristen fra 13 måneder
til 3 år for Statsministeriet og Justitsministeriet.
Det bemærkes i øvrigt, at CFCS den 19. juni 2023 ligeledes æn-
drede slettefristen fra 13 måneder til 3 år for Forsvarsministeriet,
således er den forlængede slettefrist nu implementeret korrekt for
alle sikkerhedsministerierne.
CFCS vil desuden hurtigst muligt følge op på at få ændret tilslut-
ningsaftaler og implementeret den forlængede slettefrist for andre
Side 6 af 8
 GRA, Alm.del - 2022-23 (2. samling) - Bilag 45: Brev vedr. CFCS redegørelse om data i sensornetværket, fra forsvarsministeren.
myndigheder, virksomheder og organisationer, som efter CFCS’
opfattelse bør være omfattet heraf.
CFCS har ikke indikationer på, at den utilstrækkelige implemen-
tering af den forlængede slettefrist har haft betydning for detek-
tionen af konkrete cyberangreb mv. CFCS kan imidlertid i sagens
natur ikke udelukke, at det kunne have været tilfældet.
4. Egenkontrol og tilsyn
4.1.
CFCS fører en omfattende egenkontrol for at sikre overhol-
delse af CFCS-lovens regler. Der er i den forbindelse en særlig
opmærksomhed på data i sensornetværket.
Egenkontrolplanen udarbejdes på baggrund af et risikostyringssy-
stem på tværs af FE. De juridiske risici identificeres og vurderes
løbende og prioriteres med hensyn til kontroltryk og audits. I for-
hold til sensordata er fokus navnlig på, at data ikke opbevares
længere, end slettefristerne tillader. Egenkontrolplanen deles med
TET.
Det kan i den forbindelse oplyses, at CFCS i henhold til egenkon-
trolplanerne i 2023 og årene før har udført en række kontroller
med hensyn til sensordata både på sensorerne og i DAP. Kontrol-
lerne har primært bestået i stikprøvevis gennemgang af sensorer,
hvor tidspunktet for indsamling af data har været kontrolleret og
i tilsvarende kontroller i DAP.
Fejlen vedr. DMI blev ikke konstateret gennem egenkontrollerne,
men kunne muligvis være blevet opdaget tidligere, hvis der ved
stikprøven havde været udtaget data fra DMI.
I henhold til den juridiske risikostyring og den aktuelle egenkon-
trolplan er rettidig sletning og procedurerne herfor et fortsat fo-
kusområde i 2023.
4.2.
TET fører bl.a. tilsyn med, at CFCS overholder slettereglerne
i CFCS-loven og fører hvert år stikprøvevis kontrol med slettefri-
sterne i DAP og/eller sensorer.
TET udførte senest i 2022 en sådan kontrol og kontrollerede bl.a.
om slettefristerne i loven overholdes på visse data i sensornet-
værket, hvilket TET ikke havde bemærkninger til.
TET-kontrollerne har i lighed med CFCS’ egenkontrol ikke konsta-
teret fejlen med DMI.
Side 7 af 8
 GRA, Alm.del - 2022-23 (2. samling) - Bilag 45: Brev vedr. CFCS redegørelse om data i sensornetværket, fra forsvarsministeren.
5. Læringspunkter
Som det fremgår ovenfor, har CFCS i forbindelse med implemen-
tering af en ændring af CFCS-loven i 2019 begået en beklagelig
fejl. Fejlen består i, at CFCS for DMI har anvendt en for lang slet-
tefrist i forhold til data herfra i sensornetværket.
Som det ligeledes er beskrevet ovenfor, fører CFCS en omfattende
egenkontrol på området med en særlig fokus på, at sensordata
slettes senest, når slettefristerne i CFCS-loven indtræder. Dette
fokus har imidlertid navnlig rettet sig mod efterfølgende data-
håndtering (back end) og mindre mod sikring af korrekt registre-
ring af data i henhold til de indgåede tilslutningsaftaler (front
end).
Den konstaterede fejl skyldtes manglende klare procedurer og i
det konkrete tilfælde opmærksomhed på, hvilke lovkrav der skulle
være opfyldt, før slettefristen kunne forlænges i det konkrete til-
fælde. Fejlen er nu rettet, og data, som ikke længere må opbeva-
res, er nu slettet.
Som nævnt ovenfor har CFCS herudover i forhold til visse myn-
digheder ikke fulgt tilfredsstillende op på de forbedrede mulighe-
der for at beholde opbevare data i længere tid, som lovændringen
i 2019 medførte.
CFCS vil på baggrund af ovenstående nu styrke governance på
området, herunder sikre, at der udarbejdes fyldestgørende pro-
cesbeskrivelser for tilslutning til sensornetværket, og at de indgå-
ede aftaler implementeres korrekt.
Desuden vil CFCS styrke det ledelsesmæssige fokus på at få rettet
og modvirke den pågældende type af fejl, ligesom egenkontrollen
i højere grad også vil rette sig mod front end.
Side 8 af 8