Det skal et ekstra sæt øjne ind over, når tele- og bredbåndsselskaber i fremtiden køber nyt udstyr. I hvert fald hvis regeringen får flertal for sit nye forslag til Lov om leverandørsikkerhed i den kritiske teleinfrastruktur .
Loven vil give Center for Cybersikkerhed (CFCS), som er en statslig myndighed under Forsvaret, ret til at blokere for indkøb af udstyr fra bestemte leverandører, hvis de vurderes at udgøre en trussel mod statens sikkerhed.
Den nye lov omfatter alle typer teleinfrastruktur, altså både mobilnetværk som 5G, men også fibernet, kabeltv og satellit-baseret bredbånd.
Baggrunden for lovforslaget er de seneste års ophedede internationale diskussion om brugen af især kinesiske Huawei som leverandør til vestlige mobilnetværk, blandt andet det nye 5G. Frygten er, at Huawei indlægger bagdøre i mobilnetværket, som den kinesiske regering kan udnytte til spionage eller overvågning af danske borgere. Regeringen skriver i sin motivation for lovforslaget, at telesektoren i dag må betragtes som kritisk på grund af øget digitalisering i hele samfundet.
»Virksomheder, der leverer kritisk teleudstyr eller står for driften af teleudbydernes infrastruktur, kan udgøre en selvstændig trussel, fordi deres adgang til teleinfrastrukturen giver dem mulighed for at udføre sabotage eller spionage. Det er derfor helt afgørende, at der kun
anvendes pålidelige leverandører til den kritiske teleinfrastruktur,« skriver regeringen om baggrunden for forslaget.
Samtidig lyder vurderingen fra Center for Cybersikkerhed, at truslen for cyberspionage mod telesektoren er høj.
Konkret foreslår regeringen at Center for Cybersikkerhed skal kunne forbyde brugen af bestemte leverandører hvis 1) de hører til lande som Danmark ikke har sikkerhedsaftaler med, 2) de hører hjemme i lande som kan pålægge leverandøren at udføre spionage, 3) leverandøren er ejet af statslige organer, 4) hvis leverandøren tidligere er blevet afsløret i at spionere mod Danmark.
Allerede inden lovforslaget er vedtaget, erkender regeringen, at det bliver en svær opgave for Center for Cybersikkerhed at foretage en objektiv vurdering af konkrete leverandører.
»De løbende opdateringer, omfanget af softwaren samt teknologiens kompleksitet medfører, at det er meget svært løbende at verificere, at sikkerheden eller integriteten af Danmarks kritiske teleinfrastruktur ikke undergraves eller kompromitteres,« skriver regeringen.
Det er altså ikke sådan lige til at vurdere, om Huawei har lagt en bagdør ind i deres software.
Lovforslaget bliver mødt med kritik af John Foley, tidligere sikkerhedsofficer og ejer af rådgivningsvirksomheden COPITS. Han har mere end 30 års erfaring med it-sikkerhedsarbejde, blandt andet i Forsvaret, It og Telestyrelsen, Center for Cybersikkerhed ved FE.
»Center for Cybersikkerhed får frit spil til at udelukke leverandører efter forgodtbefindende, uden at offentligheden kan få indsigt i hvorfor bestemte leverandører udelukkes,« siger John Foley til Ingeniøren og henviser til at Center for Cybersikkerhed ikke er omfattet af hverken Offentlighedsloven eller Forvaltningsloven, da de hører under Forsvarets Efterretningstjeneste.
Han anerkender fuldt ud behovet for at kategorisere telesektoren som samfundskritisk, og at staten kan have behov for at følge med i, hvilke leverandører der benyttes i telesektoren. Men afgørelsen bør være civil og være baseret på klare kriterier lyder opfordringen.
Læs også:Kronik: Passes der godt nok på Danmark?
Loven udspringer oprindeligt af politiske bekymringer for de kommende 5G-netværk, og herhjemme er Huawei også mest kendt for at levere 4G-netværk til både TDC og 3. Men hvis loven bliver vedtaget er der dog ikke umiddelbart udsigt til at den skal tages i brug med udrulningen af de nye 5G-net i Danmark. Alle tre netværksoperatører, TDC NET, Telia/Telenor og 3 har valgt leverandører, og de er alle gået med enten svenske Ericsson eller finske Nokia.
Men da loven omfatter alle typer netværkskommunikation, og dermed også kabel-tv og fibernet, kan virksomheder som TDC NET komme i problemer, da de netop benytter sig af Huawei som leverandør til at få opgraderet sine coax-kabler, der bruges til at levere tv- og bredbånd over kabel-tv.
Læs også: Huawei skal opgradere TDC’s kabelnet - lover 1 Gbit/s i 2017
Tilsvarende har Huawei også godt fat i det danske marked for backbone-netværk hos teleselskaber og datacentre med deres løsninger til bølgelængdemultipleksing, kaldet coarse wavelength division multiplexing (CWDM) og dense wavelength division multiplexing(DWDM) .
Forbrugere og virksomheder skal dog ikke være bekymret for, om staten vil blande sig i hvilket mærke, router eller mobiltelefon, du køber til privaten eller kontoret. De nye regler vil kun gælde for udbydere af net med over 50.000 slutbrugere, og 500 slutbrugere, hvis de arbejder hos statslige myndigheder.
Hvis loven vedtages, gælder den for alle nye aftaler, der indgås fra december i år, og så bliver aftaler, der er indgået inden da, først omfattet om fem år i 2026. De danske selskaber får altså fem år til at rydde op og luge ud i sine leverandører, før Center for Cybersikkerhed kan kræve, at de skifter leverandør.
Regeringen anerkender at de nye regler vil have økonomiske konsekvenser for de danske tele- og bredbåndsselskaber, fordi de får indsnævret antallet af mulige leverandører, og fordi kan de pålægges at udskifte eksisterende udstyr. På 5G-området betyder det overordnet at der fremover kun er to potentielle leverandører af systemløsninger til 5G, nemlig Ericsson og Nokia.
Læs også: Fibernet tæt på at overhale kobbernettet
Danmark er langt fra det første land som forsøger at udelukke Huawei fra sine mobilnetværk. USA har længe haft et forbud mod at benytte Huawei, mens flere europæiske lande også er gået samme vej, blandt andet Storbritannien. Lande som Tyskland og Frankrig forbyder ikke direkte Huawei, men har besværliggør Huaweis adgang til deres telesektoren.
Beslutningen om hvordan man vil udelukke Huawei er op til de enkelte lande, da EU ikke har en samlet politik på området. I stedet har EU-Kommissionen udarbejdet en værktøjskasse der skal gøre det lettere for de enkelte lande at screene for potentielle trusler.
I Sverige er situationen højaktuel, efter den svenske efterretningstjeneste Säpo har afvist at lade Huawei og ZTE deltage i den svenske 5G-frekvensauktion, som skulle være sat i gang i starten af november. Dagen før auktionen skulle starte, måtte myndighederne udskyde den, fordi Huawei havde klaget over udelukkelsen til de svenske domstole.
I Danmark vil eneste mulighed for at protestere over et forbud gå forbi byretten, hvor leverandøren så vil få beskikket en særlig advokat, som må få adgang til det fortrolige materiale, der ligger til grund for forbuddet - det må leverandøren ikke selv se.
Loven er blot første skridt i en generel oprustning mod udenlandske trusler mod Danmark. Konkret varsler regeringen en ny screeningsordning og indgrebshjemmel.
»Der kan imødegå de risici, der kan være forbundet med fremmede investeringer og andre særlige økonomiske aktiviteter. Den kommende screeningsordning og indgrebshjemmel vil gøre det muligt at gribe ind over for udenlandske investeringer og andre særlige økonomiske aktiviteter, der kan udgøre en trussel mod den nationale sikkerhed eller den offentlige orden,« skriver regeringen i bemærkningerne til det nye lovforslag rettet mod telesektoren.
