DEBAT: Både Forsvarsministeriet, Forsvarets Efterretningstjeneste og dets Center for Cybersikkerhed har med sin inaktivitet båret ved til, at sms-sagen i dag fremstår uløselig. Selvom sagen efter alt at dømme ikke udmønter sig i klare svar om sms’ernes indhold, er skandalen langt fra slut, skriver cybersikkerhedsekspert John Foley i dette debatindlæg.
De fleste har nok i de seneste dage fulgt med i historien om de slettede sms’er fra minkskandalen, hvor statsminister Mette Frederiksen (S) og Statsministeriets departementschef, Barbara Bertelsen, var hovedpersoner. Senest har B.T. i sidste uge afsløret og kastet lys over, hvad der egentligt er sket med hensyn til de slettede sms’er via aktindsigt. BT’s journalistiske gravearbejde er rosværdigt og fortjener en pris, efter min mening.
Det viser sig, at det er Forsvarets Efterretningstjeneste (FE) og Center for Cybersikkerhed (CFCS), der har trådt i spinaten og indirekte været årsag til, at de famøse sms’er ikke mere kan tilgås og dermed lukker for muligheden for at komme videre i sagen – i hvert fald teknisk, men måske ikke politisk.
Havde CFCS kendt sin besøgelsestid og været proaktiv, ville de slettede sms’er kunne gendannes og afsløre, hvad der egentlig gik forud for beslutningen om at slå millioner af mink ihjel og dermed nedlæggelsen af en hel branche. Det viser sig, at CFCS i modstrid med deres egne regler for sletning allerede inden et år automatisk har slettet alle data og informationer, der kunne have muliggjort at sandheden kom frem.
CFCS har erkendt, at opsætningen af den automatiske sletning har gjort, at deres server, når den nåede et vist niveau, slettede alt, hvad der var lagret, længe før de sletningsfrister der tilsiger, at sletningen først må foretages efter tre år og i særlige tilfælde efter fem år. Dermed har FE og CFCS været årsagen til, at Mette Frederiksen og de øvrige involverede i minkskandalen hverken frikendes eller det modsatte, når det kommer til, hvad der egentlig gik forud for beslutningen om at slå millioner af mink ihjel trods manglende hjemmel.
Misforstået ministerbetjening fra embedsværket
Statsministeriet havde endog indskærpet, at sms’erne ikke måtte slettes og anbefalet, at serverkapaciteten, såfremt nødvendigt, også skulle udvides. Men FE og CFCS fulgte ikke ordrer eller ændrede på den automatiske sletning. Nu lukker regeringen så ned for at gøre mere for at genskabe slettede sms’er, selvom der er en teoretisk mulighed for at Apple kan hjælpe med at gendanne dem.
Justitsminister Peter Hummelgaard har i et skriftligt svar til B.T. sagt:
»Det eneste nye er ønsket om at spørge Apple, om Apple er i besiddelse af statsministerens beskeder fra november 2020. Jeg har noteret mig, at en række eksperter på forskellig vis har givet udtryk for, at det er udsigtsløst at bede Apple om at genskabe beskederne. Apple oplyser selv helt generelt, at indholdet af iMessages er beskyttet af end-to-end-kryptering, så kun afsenderen og modtageren har adgang til indholdet, og at Apple ikke kan dekryptere data.«
Tilbage i 2020 afviste FE og CFCS, at det overhovedet var muligt at gendanne sms’erne (eller mere præcist iMessages). Senere kom der dog andre meldinger, der fortalte, at det alligevel godt kunne lade sig gøre, men at det ville være vanskeligt, om ikke umuligt, at dekryptere iMessages.
B.T. har i sin aktindsigt fundet frem, til at CFCS godt kunne finde frem til iMessages med relation til minksagen, men at CFCS ikke er blevet anmodet om at gøre det. Så måske er der tale om misforstået ministerbetjening fra embedsværkets side. Man har undladt at være proaktiv og byde sig til og iværksætte foranstaltninger i Danmarks måske mest alvorlige sag. I stedet for lod man informationerne blive slettet imod de regler, der findes.
Måske meget belejligt for Mette Frederiksen og Barbara Bertelsen. Det vides ikke, men nu er det for sent via sms’erne at finde frem til, hvad er er op og ned i sagen.
Udelod del af notat i pressemeddelelse
Derudover kan B.T. også afsløre et notat fra FE, som danner grundlag for en omtalt pressemeddelelse fra Forsvarsministeriet. Men det første afsnit af notatet blev redigeret ud af meddelelsen. Pressemeddelelsen handler om mulighederne for at inddrage Center for Cybersikkerhed under FE i forsøget på at genskabe beskederne. Den slutter med ordene:
»FE kan på det foreliggende grundlag ikke pege på yderligere undersøgelser, som kunne være iværksat for at fremfinde og eventuelt genskabe de pågældende beskeder.«
Det tolkede både politikere og medier som, at Center for Cybersikkerhed ikke kunne gøre andet end det, Rigspolitiet allerede havde forsøgt. »Tjenesten kan ikke selv bidrage yderligere,« skrev nyhedsbureauet Ritzau.
Men det første afsnit af FE-notatet blev ikke medtaget i pressemeddelelsen. I notatets første afsnit står der, at Forsvarsministeriet har bedt FE udtale sig om den undersøgelse, som Rigspolitiets teknikere i NC3 allerede havde udført for at gendanne beskederne. Notatet og dermed pressemeddelelsen handler altså om FEs vurdering af politiets undersøgelse.
Læs FE-notatet bag pressemeddelelsen her
Der blev ikke anmodet om en udtalelse vedrørende Center for Cybersikkerheds muligheder for at genskabe beskederne. Muligheder, som ellers blev nævnt i de interne notater i FE. I Berlingske leder (»Berlingske mener: De slettede sms’er er væk, men det er skandalen ikke«) dateret den 20. juni, står der bl.a.:
»Den daværende S-regerings håndtering af slettede sms’er i minksagen er dybt kritisabel. Folketinget har fået svar, som stak i forskellige retninger, og nogle af svarene var decideret tågede og misvisende.«
Det synspunkt er jeg meget enig med Berlingske i, og jeg må erkende, at FE og CFCS har en stor aktie og er årsag til, at der er kastet røgslør ud. De har med deres tilbagelænede og inaktive handlinger været medvirkende til, at de slettede sms’er ikke har kunnet gendannes. Det får forhåbentligt et efterspil, når den fungerende forsvarsminister, Troels Lund Poulsen, indkaldes i samråd om sagen i den nærmeste fremtid.
CFCS kan behandle data uden retskendelse
Vær i øvrigt opmærksom på, hvad CFCS’s netsikkerhedstjeneste kan og gør 24/7/365. I Bekendtgørelse af lov om Center for Cybersikkerhed står der bla. følgende:
»Center for Cybersikkerheds netsikkerhedstjeneste kan uden retskendelse behandle trafikdata, pakkedata og stationære data hidrørende fra tilsluttede myndigheder og virksomheder, jf. § 3, stk. 2-4, med henblik på at understøtte et højt informationssikkerhedsniveau i samfundet.«
Relevante definitoner i den forbindelse:
Pakkedata: Indholdet af kommunikation, der transmitteres gennem digitale netværk eller tjenester.
Trafikdata: Data, som behandles med henblik på at transmittere pakkedata.
Stationære data: Data, som opbevares på servere, cloudtjenester, pc’er, lagerenheder, netværksenheder, mobile enheder og tilsvarende.
Ved udgangen af første halvår af 2021 havde CFCS i alt 252 tilsluttede myndigheder og virksomheder fordelt på 176 offentlige myndigheder og institutioner, 36 enheder i Forsvaret og ni private virksomheder. Hertil kommer 31 offentlige myndigheder og institutioner i Grønland.
Bemærk, at siden CFCS’s oprettelse af sensornetværket som en del af netsikkerhedstjenesten, er indenrigs- og udenrigsindhentningen og bearbejdningen af oplysninger slået sammen og udføres nu af en militær efterretningstjeneste, der også overvåger og kan monitorere inden for rigets grænser. En opgave der normalt varetages af Politiets Efterretningstjeneste.
Politisk betinget røgslør fra Mette og Co. For T dække over løgn og fejl. Skandalen vokser og vokser fordi løgn erstattes med nye løgne. Ingen har røv i bukserne til at tage ansvar og Mette er eksponent for hele miseren. Regeringen er utroværdig på snart alle parametre. Ret sygt
Henset JF meriter vil jeg da nok mene han er habil, om nogen er. Qua min egen uddannelse og tjeneste har jeg fuld tillid til JF.
Derudover undrede det mig at man ikke beslaglagde / låste diverse enheder (mobil, pda, tablet) så de kunne udrede diverse beviser, og at man sågar slettede MF’s gamle mobil efter hun midt i det hele fik en ny. Og videregav hendes mobil til anden bruger efter den var blevet renset, så var man også sikker på at evt. beviser blev helt eller delvist overskrevet.
(mobil = smartphone af en hver art 🙂 )
@ Bjørn Christensen,
Du er galt afmarcheret Bjørn Christensen. Mit firma lukkede jeg for mere end et år siden. Så dine betragtninger om min inhabilitet er skudt helt forbi.
I Weekendavisens leder af dags dato (23. juni) kommer Martin Krasnik med nogle kloge betragtninger om toppolitikerne og deres embedsmænds – ulyst til selv at bidrage til gennemsigtighed og placering af ansvar.
I lederen, står der bl.a. at sms-sagen reflekterer tendensen til at lukke for indsigt i beslutningsprocessen i, når lokummet brænder for de ansvarlige politikere. Hvad skulle de ellers gøre? Har de da ikke brug for et »fortroligt rum« til at udvikle politik, som de plejer at undskylde sig med? Jo, de kunne for eksempel – før en politisk sag bliver en skandale og sander til i kommissioner, granskninger og pressens forsøg på at afdække lagene af bortforklaringer – helt af sig selv forklare, hvad der faktisk skete? Men det er ikke »top of mind« for at bruge et udtryk fra en ledende embedsmand, da han blev spurgt om den manglende interesse for lovligheden af minknedlukningen. Top of mind er til gengæld systemets – toppolitikerne og deres embedsmænds – ulyst til selv at bidrage til gennemsigtighed og placering af ansvar. Sms-sagen viser, at de i stigende grad har succes med det.
Weekendavisens leder falder godt i tråd med min klumme publiceret i går, den 22. juni, i netavisen OLFI, hvor jeg graver et spadstik dybere og peger på at Forsvarsministeriet, Forsvarets Efterretningstjeneste og Center for Cybersikkerhed, har svigtet i sms-sagen.
Det er påfaldende at John Foley konstant kritiserer Center for Cybersikkerhed. John Foley er direktør i COPITS som måske kunne være interesseret i, at levere samme “ydelser” som CFCS. Jeg mener der med John Foleys nuværende position og interesse er indbygget en vis form for inhabilitet.
Mvh