Cyberkrig: Dømt uden beviser

EU-parlamentet har ved afstemning i sidste uge sendt et politisk signal om, at en international leverandør af bl.a. antivirusprogrammer ikke bør anvendes som leverandør til EU’s offentlige myndigheder. Sagen er opsigtsvækkende, fordi den sker, uden der er fremlagt konkrete beviser.

USA forbød tidligere på året myndigheder at bruge virksomhedens løsninger, og UK fulgte trop nogle måneder senere. Og overraskende hurtigt derefter kom så signalet fra EU-parlamentet.

Som afledt konsekvens af dette afbryder man et mangeårigt samarbejde med bl.a. Europol om Cyber-kriminalitetsbekæmpelse. Samtidig skader hele forløbet den pågældende virksomheds omdømme og mulighed for at fastholde og få europæiske kunder.

Virksomheden, Kaspersky, er russisk stiftet, men globalt engageret. Kritikkere er bekymret over, at russisk lovgivning kan give adgang til de data, virksomheden behandler i Rusland.

Samme bekymringer har været rejst i EU omkring elementer af amerikansk lovgivning, der kan kræve adgang til oplysninger behandlet af amerikanske virksomheder.

Mulighed for at forsvare sig

Som erhvervsliv ser vi bekymret til. En virksomhed idømmes de facto et berufverbot, og der opsættes handelsbarrierer mod brugen af deres løsninger.

Men anklageskriftet er ukonkret, og virksomheden har derfor ringe mulighed for at forklare sig – eller endnu vigtigere – at reagere med eksempelvis ekstra dokumentation og sikrende tiltag for derefter at blive renset.

Det er diskriminerende og konkurrenceforvridende. Uanset hvor stor du er som virksomhed, er du meget lille, når du først sidder indeklemt i et magtspil mellem store nationer og samfundsalliancer.

I dag har det ramt en russisk virksomhed. I morgen rammer det måske en amerikansk virksomhed, og næste gang kan danske virksomheder stå for skud.

Normalt er vi stolte af, at vi i Danmark og den vestlige verden har et retssystem, hvor du er uskyldig indtil det modsatte er bevist. Vi lover en fair rettergang. Vi arbejder for åben og lige konkurrence.

De principper skal vi værne om.

Klare regler og fair ”rettergang”

Som brancheforening vil vi ikke acceptere politisk diskriminering, der underminerer vores retssikkerhed og frie handel.

Vi efterlyser derfor klare regler for, hvordan en sådan proces bør forløbe.

Er der en ”smoking gun” mod en navngiven virksomhed, så må myndighederne præsentere den.

Virksomheden skal have mulighed for, gennem en på forhånd accepteret proces, at rense sig for mistanke eller rette op på problemerne.

Myndighederne må i særlige tilfælde gerne stille ekstra sikkerhedskrav til virksomheder, der er under begrundet mistanke – det kan fx være særlige kontrollerende tilsyn, krav om transparens eller selfcleaning-principper.

Disse særlige sikkerhedskrav skal kun opsættes, hvor det er samfundsmæssigt bydende nødvendigt. Ellers, frygter vi, vil omkostningerne blive store, og det vil blive for let at udøve politisk diskriminering, der underminerer vores retssikkerhed og den frie handel.

Hvis myndighederne stiller særlige sikkerhedskrav, så skal virksomhederne have mulighed for at forholde dig til, om de vil acceptere kravene, eller om de imødekomme bekymringen på anden vis.

F.eks. ved at tilrette databehandling så der gives ekstra tryghed for, at eks. følsomme data ikke opbevares eller behandles i lande, myndighederne ikke har tillid til.

Og vigtigst af alt: Når denne proces er gennemført uden anmærkning, skal virksomhederne vide, at de er renset, og at deres løsninger kan benyttes igen.

Med en opblussende handelskrig på det økonomiske marked har vi ikke brug for, at konflikterne breder sig til it-virksomhedernes verden.

Her skal vi hellere stå bredt sammen om forsvaret af vores såvel økonomiske som demokratiske værdier.