Det amerikanske valg belyser behovet for digital suverænitet
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
Det amerikanske valg er afgjort. Trump bliver USA’s næste præsident, og man må sige, at udnævnelsen introducerer en høj grad af uforudsigelighed i samarbejdet på tværs af Atlanten.
Derfor er det vigtigt, at danske og europæiske virksomheder overvejer deres valg af teknologileverandører og spørger sig selv, om deres kunder, samarbejdspartnere og det juridiske rammeværk omkring datadeling kan stå på mål for risikoen for at dele data med amerikanske sikkerhedstjenester.
I en tid præget af global uro og hyppige cyberangreb mod nationale og kritiske infrastrukturer bliver digital suverænitet en stadig vigtigere brik i strategiske beslutninger for både offentlige og private aktører. Digital suverænitet forstået som evnen til at sikre, at data og kontrollen med systemer forbliver i en juridisk kontekst, hvor der reelt kan udøves kontrol.
Vi må indse, at vi kun kan opbygge robust sikkerhed ved at sikre, at kontrollen over vores data og systemer forbliver på dansk og europæisk jord.
En række tidligere danske tiltag illustrerer, at bekymring for udenlandsk afhængighed ikke er et nyt fænomen.
For nyligt meddelte Vejdirektoratet, at de ville udskifte kameraudstyr fra kinesiske Hikvision for at få bedre styr på cybersikkerheden. Center for Cybersikkerhed opfordrede tidligere i år danske virksomheder og myndigheder til at lade være med at bruge antivirus fra russiske Kaspersky på grund af bekymring for russisk spionage. Og sidste år pålagde de TDC at droppe deres aftale med kinesiske Huawei, fordi den udgjorde en ”væsentlig trussel mod statens sikkerhed”.
I lyset af det amerikanske præsidentvalg er danske virksomheder nu også nødt til at forholde sig til amerikanske leverandører ud fra et sikkerhedsperspektiv. I princippet er det ikke nyt, det er bare blevet meget tydeligere end det var før valget.
Tidligere i år blev Sektion 702 i den amerikanske Foreign Intelligence Surveillance Act, også kaldet spionloven, forlænget med to år og udvidet til at omfatte enhver amerikansk virksomhed med internetforbundet infrastruktur.
Sektion 702 blev oprindeligt vedtaget for at styrke amerikansk national sikkerhed efter terrorangrebet på World Trade Center den 11. september 2001.
Loven giver amerikanske efterretningstjenester vidtrækkende overvågningsbeføjelser og gør det muligt for dem at indsamle, bruge og videregive elektronisk kommunikation, der er lagret hos amerikanske organisationer, uden retskendelse.
Loven skelner ikke mellem hvor vidt data lagres i USA eller i tredje lande. Det er alene spørgsmålet om, hvorvidt data opbevares ved en amerikansk leverandør. Selvom loven tjener amerikanske interesser, har det vidtrækkende konsekvenser for europæisk databeskyttelse.
Fra global afhængighed til regional kontrol
Nu er Trump så blevet præsident i USA, og danske myndigheder, organisationer og borgere må se i øjnene, at risikoen for overvågning uden tilstrækkelig juridisk beskyttelse kan føre langt alvorligere konsekvenser med sig.
Det er nemlig uklart, om Trump vil tilnærme sig Europas ønsker om privacy og retsstatsprincipper for overvågning eller føre en mere egenrådig doktrin.
Derfor er der et stort behov for, at danske virksomheder revurderer deres teknologiske afhængigheder, så de i videst mulige omfang ikke anvender løsninger fra virksomheder, der er underlagt Sektion 702. Og det er et spørgsmål, danske virksomheder bør udvise rettidig omhu ved at besøge nu.
Øvelsen er ikke uden udfordringer, men de langsigtede fordele ved en sådan omstilling, herunder forbedret datasikkerhed, overholdelse af lovgivning og uafhængighed fra udenlandsk overvågning, gør det dog til et mål, der er værd at forfølge.
Ægte digital suverænitet kræver betydelige investeringer i teknologi og infrastruktur fra regional og national side. Der er områder, hvor de europæiske alternativer ikke findes. Alphabet, Amazon, Apple, Meta og Microsoft, der alle er amerikanske, sidder næsten uden konkurrence indenfor grundlæggende teknologier som cloud og operativsystemer.
Indtil EU kommer på banen med regulering i forhold til disse, er det svært at forestille sig, at europæiske alternativer opstår og får succes.
Heldigvis er der også områder, hvor det er muligt og hvor det gør en forskel. Det første skridt på rejsen mod digital suverænitet er at identificere dem. Det handler for eksempel om teknologier inden for cybersikkerhed, som i den grad har adgang til organisationer og myndigheders mest kritiske data, og som giver mulighed for at opdage, hvis ens systemer ikke opfører sig som de skal.
Det at styrke den digitale suverænitet handler i bund og grund om at sikre, at Danmark kan beskytte de mest kritiske data og systemer i en usikker verden. Det gør os langt mindre sårbare over for globale kriser og nye politiske spændinger.
