Trods tiltagende international afstandtagen til kinesiske it-produkter, benytter Forsvaret sig fortsat af omkring 2.500 computere leveret af Lenovo, der er delvist ejet af den kinesiske stat. Det er der ikke noget odiøst i, mener Forsvaret, men en ekspert i teleindustrien er uenig i den vurdering.

Vestlige stater bør vægre sig ved at købe udstyr hos kinesiske producenter, hvis de vil værne om deres datasikkerhed. Det er budskabet fra flere fremtrædende Nato-partnerlande, anført af Storbritannien og USA, hvis efterretningstjenester og forsvarsstyrker i stigende grad aktivt fravælger kinesiske leverandører som Huawei, DJI og Lenovo.

Helt samme påpasselighed finder man ikke herhjemme. Produkter fra både DJI og Lenovo bruges således stadig af det danske forsvar, og særligt sidstnævnte fylder ganske meget på inventarlisterne i Forsvaret og Forsvarsministeriet. Faktisk findes der i skrivende stund cirka 2.500 Lenovo-pc’er på koncernens område, fortæller pressechef Svend Olaf Vestergaard fra Forsvarsministeriets Materiel- og Indkøbsstyrelse i en mail til OLFI. Det bekymrer ikke styrelsen synderligt, at vores partnerlande har voldsomme betænkeligheder ved den kinesiske it-producent.

»Grundet netværkskonstruktionen og den specifikke brug af maskinerne, vurderes der ikke umiddelbart at være risiko forbundet med anvendelsen. Vi er opmærksomme på debatten om bl.a. Lenovo-produkter og følger selvsagt udviklingen tæt. Der foretages løbende vurderinger af produkter, services og leverandørers evne til at understøtte Forsvarets særlige behov og vilkår,« skriver Svend Olaf Vestergaard og fortæller, at styrelsen ikke har aktuelle planer om nyanskaffelser fra Lenovo.

Øger risikoen for spionage og cyberangreb

I udlandet er den ringe tiltro til statsejede kinesiske virksomheder imidlertid kommet til udtryk i en noget mere konsekvent indkøbspolitik. Lenovo placeres i dag i samme kategori som en række andre kinesiske leverandører, man for længst har sortlistet af frygt for såkaldte back doors – en betegnelse for elektroniske kattelemme, der muliggør spionage og hackerangreb. Derfor vakte det også politisk furore i USA, da det sidste år kom frem, at det amerikanske forsvar alligevel havde foretaget tvivlsomme indkøb hos netop Lenovo og en række andre leverandører, som har det tilfælles, at de vurderes at udgøre en potentiel trussel mod amerikanske interesser.

Forsvaret i Danmark har heller ikke været helt forskånet for kontroverser. Kameraproducenten Hikvision blev for nyligt genstand for debat, da det for nylig kom frem, at man har købt overvågningsudstyr, som beviseligt bruges til overvågning af den kinesiske befolkning og den forfulgte etniske minoritet uighurerne. I den forbindelse var forsvarsminister Trine Bramsen (S) klar i mælet:

»Selvfølgelig skal Forsvaret ikke handle med leverandører, der forbryder sig mod menneskerettighederne,« skrev hun i en mail til Jyllands-Posten, der var først med historien.

Mens den danske forsvarsminister lægger vægt på det moralske angribelige ved at handle med de kinesiske virksomheder, er det dog stadig særligt datasikkerheden og risikoen for statsspionage, der har ansporet britiske og amerikanske efterretningstjenester til at forbyde anskaffelser hos de kinesiske producenter.

Det gælder ikke mindst DJI, som det amerikanske militær allerede i 2017 placerede på sin ”sorte liste”. Igen viste Danmark sig at være mindre bekymrede end vores alliancepartner, og i 2019 kom det i Berlingske frem, at det danske forsvars købte ind hos den kinesiske droneproducent. Militæranalytiker Hans Peter Michaelsen udtalte i den forbindelse til Berlingske:

»Hvis du køber den her teknologi til statens sikkerhedsformål, så løber du en stor risiko. For modsat militært udviklede droner er der ikke samme styr på dataene med de her droner.«

Også dengang var Forsvarets egen forklaring, at dronerne alene blev brugt til operative formål. Man vurderede derfor, at der ikke var nogen sikkerhedsrisiko forbundet med indkøbene og brugen af de kinesiske droner.

Udenlandske efterretningstjenester forbyder Lenovo

Hvad angår Lenovo, er forklaringen cirka den samme. Skal man tro vores samarbejdspartnere i udlandet, er Lenovo imidlertid ikke stort bedre end førnævnte kamera- og droneproducenter. Trods materieltjenestens forsikringer om netværkskonstruktioner og lav risiko, bør man derfor genoverveje, om Lenovo også fremover skal have plads på kontorerne i Forsvarsministeriet og på tjenestestederne.

Det mener teleanalytiker John Strand, der driver rådgivningsvirksomheden Strand Consult og herunder sitet ChinaTechThreat. Han har gennem mange år fulgt udviklingen på tele- og it-markedet og den tilsyneladende noget ubekymrede danske tilgang til indkøb af it og materiel. Ligesom de amerikanske og britiske efterretningstjenester, mener John Strand, at Lenovo hører til i samme tvivlsomme kategori som de øvrige statsejede kinesiske virksomheder.

»Der har været en lang række sager rundt omkring i verden, der involverer Lenovo. Der er en lang række myndigheder, som gennem rigtig mange år har advaret mod brugen af Lenovo, og der er mange myndigheder, som forbyder deres medarbejdere at bruge Lenovo-pc’er og -servere. Det er blandt andet dele af forsvaret og Department of State i USA (det amerikanske udenrigsministerium, red.), men det er også efterretningstjenesten MI6 i England og mange andre myndigheder verden over.«

John Strand drager paralleller til den længerevarende samfundsdebat om, hvorvidt telegiganten Huawei skal have lov at levere 5G-teknologi.

»Igennem de sidste par år har der i medierne været meget fokus på brugen af kinesisk udstyr i telenetværkene ud fra en betragtning om, at telenetværk er en del af den vitale infrastruktur i vores samfund. Derfor skal vi naturligvis ikke lade vores egen infrastruktur bygge på basis af kinesisk infrastruktur, på samme måde som vi ikke bruger kinesiske kampfly i Flyvevåbnet eller russiske ubåde i flåden,« siger John Strand.

Ikke relateret til Trumps handelskrig

Lenovo-problematikken er på mange måder analog til den omfattende Huawei-debat, mener John Strand, der peger på, at det er de samme kinesiske statsinteresser, der er på spil i begge tilfælde. Derfor bør Forsvaret også udvise større agtpågivenhed over for Lenovo.

»Lenovo var fra starten ejet 55 pct. af den kinesiske regering – nu er det kun 29 pct. – og er i bund og grund en del af det kinesiske system,« siger han.

John Strand forklarer videre, at den amerikanske modstand mod Lenovo ikke har med Trumps handelskrig mod Kina at gøre. Forbeholdet mod Lenovo går mere end et årti tilbage i tiden og altså langt forud for Trumps økonomiske sabelraslen. Det er alene sikkerhedshensyn, ikke storpolitik og økonomisk protektionisme, der har fået USA til at slå sig i tøjret. Det bør Danmark notere sig, argumenterer han.

»Når jeg ser det omfattende materiale, der findes fra myndigheder rundt om i verden og er lavet inden for de sidste 10 år, må jeg sige, at det ikke ser særlig godt ud. Det er altså nogle seriøse statements,« siger John Strand, der dog noterer sig, at Forsvarsministeriets Materiel- og Indkøbsstyrelse følger den løbende debat om Lenovo.

»Det er meget betryggende, at man i Forsvaret er opmærksomme på de her ting og på, at der er et problem i relation til Lenovo. Ud fra de svar, du har fået, må vi konstatere, at Forsvaret erkender, at der er en udfordring. Det er lidt underligt, at man så bruger dem, men det kan være, at man ikke har haft det kendskab, man har i dag, og det ser ikke ud til, at Forsvaret har tænkt sig at købe det her udstyr fremadrettet,« bemærker John Strand, der dog understreger, at man i hans optik bør starte en udskiftningsproces og købe udstyr uden tråde til det kinesiske diktatur.

Myndighederne gennemfører selv risikovurdering

For nylig kunne man i Forsvarets Efterretningstjenestes årlige vurdering af cybertruslen mod Danmark læse, at truslen mod Danmark vurderes at være meget høj, og at risikoen for cyberangreb fra blandt andre Kina er en væsentlig del af denne trussel. Derfor kontaktede OLFI Forsvarets Efterretningstjenestes Center for Cybersikkerhed (CFCS) for at høre, hvordan de mange Lenovo-pc’er harmonerer med en erkendt trussel fra deres oprindelsesland. I det skriftlige svar til OLFI, forholder CFCS sig ikke konkret til Lenovo, men man skriver:

»CFCS godkender ikke indkøb af almindeligt it-udstyr i Forsvaret. Såfremt der er tale om klassificerede it-systemer, skal it-systemet imidlertid sikkerhedsgodkendes af CFCS, som foretager en konkret vurdering af it-systemet for at sikre, at it-systemet opfylder gældende sikkerhedskrav inden ibrugtagning. Der kan i den forbindelse være tale om, at en it-producent skal leve op til en række krav for at blive godkendt som leverandør, ligesom der kan være en række sikkerhedsmæssige krav, som it-produkterne skal overholde.«

Det er dog Forsvarsministeriets Materiel- og Indkøbsstyrelse selv, der i sidste ende træffer beslutning om, hvorfra man køber it-udstyr:

»Med afsæt i bl.a. CFCS’ trusselsvurdering skal den enkelte myndighed selv gennemføre sin egen risikovurdering som en del af arbejdet med cybersikkerhed, herunder i forbindelse med leverandørvalg og indkøb af it-produkter. CFCS kan ikke med baggrund i gældende lovgivning forbyde en offentlig myndighed at indkøbe eller bruge udstyr fra en specifik leverandør.«