uanset - så bør kameraerne vel forbindes til et isoleret netværk - evt. endda uden adgang til internettet. Så er problemet jo ikke så stort!
menu close Teknologiens Mediehus
person Konto arrow_drop_down
De bliver brugt på biblioteker, krigsskibe og i kommunale havne flere steder i Danmark. Overvågningskameraer fra den kinesiske Hikvision er udbredte i Danmark og kan købes hos flere danske forhandlere.
Men sidste sommer opstod der bekymring om brugen af Hikvision og virksomhedens tilknytning til den kinesiske regering og militær. Ikke mindst fordi firmaet i 2019 blev sortlistet som leverandør til offentlige institutioner i USA, da sikkerhedstjenesten Homeland Security fortalte, at man havde fundet en bagdør i det kinesiske udstyr.
Det fik forsvarsminister Trine Bramsen (S) til at bede forsvaret om at redegøre for brugen af de kinesiske overvågningskameraer, og hvorvidt de tilsvarende skulle sortlistes i Danmark. Den redegørelse er nu afleveret, oplyser Materiel- og Indkøbsstyrelsen til Ingeniøren.
Læs også: Aarhus fravælger termisk kamera fra Kina
En af dem, der meget gerne vil læse rapporten, er Aarhus Kommunes informationssikkerhedschef, Simon Sørensen Winther, da Aarhus Kommune også benytter sig af Hikvision-kameraer, blandt andet på Dokk1, hvor der er 69 kameraer fra Hikvision i drift.
Kort før jul oplyste kommunen, at den på grund af mistanken mod Hikvision havde droppet seks kameraer fra Hikvision, som skulle bruges til at forhindre drukneulykker i havnen. Men kommunen må ikke læse den rapport, som Center for Cybersikkerhed (CFCS, red.) har udarbejdet til forsvarsministeren. Den er nemlig klassificeret og hemmelig.
»Vi har haft en dialog med CFCS om deres konklusioner vedrørende brugen af Hikvision- og andre kinesiske kameraer. De var lydhøre over for vores henvendelse, men rapporten er klassificeret, og konklusionen kunne ikke deles. CFCS kan hverken be- eller afkræfte, at der er problemer forbundet med Hikvision-kameraerne,« fortæller Simon Winther Sørensen.
Foreløbig har han anbefalet de aarhusianske kommunalpolitikere, at man fremover ikke køber overvågningsudstyr fra kinesiske producenter. Samtidig er Aarhus Kommune i fuld gang med at kortlægge alle kameraer på alle lokationer. Ud over Aarhus Kommune har også forsvaret, Aalborg Havn og Aalborg Kommune indkøbt lignende udstyr fra Hikvision.
Mistanken om bagdøre, som vil gøre spionage teknisk muligt, er blevet afvist af Hikvision, og der er ingen offentligt tilgængelig dokumentation for bagdøre i hverken udstyrets software eller hardware. Hikvision udvikler også software til ansigtsgenkendelse, og en bekymring er, at billeder fra overvågningskameraer i Danmark kan bruges til at overvåge personer, som er kritiske over for Kina.
Forsvarsministeriets pressetjeneste skriver i en mail til Ingeniøren, at undersøgelsen blev igangsat på grund af en mistanke om manglende integritet hos Hikvision:
»Det er selvsagt vigtigt, at Forsvaret ikke handler med leverandører, hvor der kan sås tvivl om deres integritet eller forhold til menneskerettigheder. Det er baggrunden for, at forsvarsministeren har bedt FMI (Forsvarsministeriets Materiel- og Indkøbsstyrelse, red.) undersøge, i hvilket omfang der anvendes Hikvision-produkter i Forsvaret.«
Forsvarsministeriet oplyser yderligere, at hverken Materielstyrelsen eller Ejendomsstyrelsen har indgået kontrakter direkte med Hikvision, men at Materielstyrelsen gennem andre leverandører har indkøbt udstyr fra Hikvision, og Ejendomsstyrelsen kan ikke udelukke, at det samme kan være tilfældet hos dem.
Ministeriet svarer dog ikke på, om det vil fjerne det nuværende Hikvision-udstyr, eller hvorfor Center for Cybersikkerhed ikke vil dele sin viden. Centret ikke vil dele de konkrete oplysninger om Hikvision, så har det ydet vejledning til kommunen, skriver Forsvarsministeriet i en mail:
»Center for Cybersikkerhed stiller sin rådgivning om cyber- og informationssikkerhed til rådighed for virksomheder og offentlige myndigheder, herunder også kommuner. Center for Cybersikkerhed har oplyst, at de konkret har rådgivet Aarhus Kommune om informationssikkerhed i systemer til videoovervågning, og at Aarhus Kommune desuden har fået en vurdering omkring leverandørvalg og indkøb af it-produkter.«
Hos Det Konservative Folkeparti Konservative er retsordfører Naser Khader (K) ikke imponeret over mørklægningen af sagen.
»Det er uhensigtsmæssigt, hvis en offentlig myndighed ikke kan blive delagtiggjort i en anden myndigheds undersøgelse, når emnet omhandler mistanke om spionage eller brud på menneskerettighederne. Det bør være muligt, at myndigheder på tværs deler den form for oplysninger og stadig opretholder et højt sikkerhedsniveau. Både forsvaret og kommunen har en retmæssig interesse i at sikre, at indkøb af elektronikudstyr ikke udgør en risiko for spionage,« siger Naser Khader.
En af forklaringerne på, at Forsvaret har mørkelagt sine undersøgelser kan være, at det teknisk er yderst besværligt at be- eller afkræfte mistanker om bagdøre i software.
»Der er flere metoder til at finde bagdøre og sårbarheder i både software og hardware. Men det er tæt på umuligt at bevise, at der ikke er indlagt bagdøre, fordi de ikke nødvendigvis er aktive og dermed sporbare,« siger Jens Myrup Pedersen, professor i cybersikkerhed ved Aalborg Universitet.
Med samme begrundelse har Forsvarsministeriet da også selv opgivet tanken om at finde tekniske beviser for bagdøre, fremgår det af et nyt lovforslag om leverandørsikkerhed i kritisk teleinfrastruktur:
»De løbende opdateringer, omfanget af softwaren samt teknologiens kompleksitet medfører, at det er meget svært løbende at verificere, at sikkerheden eller integriteten af Danmarks kritiske teleinfrastruktur ikke undergraves eller kompromitteres,« skriver regeringen om forslaget.
Lovforslaget udspringer, ligesom sagen om Hikvision, også af den globale handelskrig mellem Kina og USA og handler konkret om bekymring for, at Huaweis produkter i de vestlige telenet kan bruges til at spionere for den kinesiske regering eller i værste fald slukke for telenettet eller dele af det.
I stedet for tekniske beviser, lægger lovforslaget op til, at Center for Cybersikkerhed skal kunne udelukke bestemte leverandører, hvis de holder til i lande, som Danmark ikke har sikkerhedsaftaler med, hvis leverandøren kan pålægges at spionere mod Danmark eller er ejet af statslige organer.
Jens Myrup Pedersen vil ikke direkte vurdere, hvor effektivt det er at udelukke leverandører på baggrund af hjemsted, men peger på, at meget elektronik produceres med komponenter fremstillet i mange lande.
Han forstår dog godt, at kommuner som Aarhus og Aalborg helt fjerner kameraer, fordi de mistænkes for at være forbundet med Kina.
»Det er helt fornuftigt med forsigtighedsprincipper. Men det er også en balancegang mellem sikkerhed og retssikkerhed, når regeringen f.eks. foreslår at udelukke bestemte leverandører på grund af ejerforhold. Det kan være et stort indgreb for både operatører og leverandører,« siger Jens Myrup Pedersen.
Som det er tilfældet i USA, ser Naser Khader gerne en sortliste over virksomheder, som offentlige myndigheder skal undgå. Han anerkender, at den måde at sortliste bestemte virksomheder kan være i strid med konkurrenceregler.
»Men i tilfælde med kritisk infrastruktur bør der gælde helt særlige regler, fordi omkostninger ved et brud på sikkerheden er forbundet med stor skade for indkøber, f.eks. Aarhus kommune. Aarhus kommunes beslutning er den helt rette: Er man i tvivl, må man operere ud fra et forsigtighedsprincip,« siger Naser Khader.
