Angreb med personsøgere i Libanon udstiller, hvordan fjendtlige magter kan infiltrere vores kritiske infrastruktur

Huawei har gentagne gange afvist disse anklager, men debatten understreger den mistillid, som supply chain attacks kan skabe, og den potentielle trussel, der ligger i at være afhængig af udenlandske aktører for kritisk teknologi.

I lyset af disse eksempler står det klart, at EU ikke er selvforsynende på mange af de kritiske områder. EU er dybt afhængig af andre store magter som USA, Kina og Rusland, når det gælder både software, hardware og råmaterialer.

Det gør os sårbare. Hvis en magt beslutter sig for at trække i håndbremsen eller udnytte denne afhængighed til politiske eller økonomiske formål, kan det have alvorlige konsekvenser.

Hvis en magt beslutter sig for at trække i håndbremsen eller udnytte vores afhængighed til politiske eller økonomiske formål, kan det have alvorlige konsekvenser.

Niels Bertelsen

Et område, hvor denne sårbarhed er tydelig, er produktionen af chips. Chips, som driver alt fra smartphones til militært udstyr, er blevet en essentiel del af vores moderne liv.

Størstedelen af verdens chips produceres i Asien. EU er i de seneste år begyndt at anerkende vigtigheden af at have en selvstændig chipproduktion for at sikre sin teknologiske suverænitet.

Initiativer som EU's "Chips Act" er blevet lanceret for at fremme produktionen af halvledere inden for Europas grænser. Men vi er stadig langt fra fuld selvforsyning, og mange af de vigtigste komponenter og teknologier kommer stadig fra lande uden for Europa.

Vi behøver næppe være fuldt selvforsynende, men vi kunne starte med de chips, som udgør det kritiske grundlag for it-sikkerheden.

Et af de store spørgsmål i denne sammenhæng er, om open source-teknologi kan være en del af løsningen på disse forsyningskædeproblemer.

Open source-software er kendetegnet ved, at kildekoden er offentligt tilgængelig, og at alle kan gennemgå, ændre og distribuere den. Dette skaber en gennemsigtighed, som kan gøre det sværere for ondsindede aktører at skjule bagdøre eller kompromittere systemer.

Ved at satse på open source-løsninger kan EU potentielt mindske afhængigheden af udenlandske leverandører. Hvis flere øjne har mulighed for at gennemgå koden, kan det være lettere at opdage og neutralisere forsøg på at infiltrere kritiske systemer.

Open source giver også mulighed for internationalt samarbejde, selv med lande, som man ikke stoler 100 procent på, fordi alle parter kan have indsigt i og bidrage til teknologien.

Der er stadig risiko for, at ondsindede aktører kan udnytte sårbarheder, hvis de opdager dem før de øvrige parter. Men gennemsigtigheden gør det sværere at skjule sådanne sårbarheder, hvilket kan styrke sikkerheden.

En anden kritisk diskussion handler om EU's suverænitet over cloud-tjenester. Mange af de store cloud-udbydere som Amazon Web Services (AWS), Microsoft Azure og Google Cloud er baseret i USA.

Selvom EU har strenge datalove som GDPR, er det i praksis vanskeligt at kontrollere, hvor og hvordan data opbevares og behandles.

Vi risikerer, at vores teknologiske afhængighed bliver en brik i storpolitiske spil, hvor vores sikkerhed og suverænitet står på spil.

Niels Bertelsen

Juridisk set har EU nogle stærke redskaber til at sikre datasuverænitet, men i praksis er situationen mere udfordrende. Uden en stærk europæisk cloud-udbyder er vi fortsat afhængige af udenlandske virksomheder, og det giver store magter som USA indflydelse på vores datahåndtering.

I lyset af USA's lovgivning, såsom Cloud Act og i særdeleshed Fisa 702, kan amerikanske virksomheder potentielt blive tvunget til at udlevere data, selvom de opbevares på europæisk jord. Det viser, at EU stadig mangler den nødvendige praktiske kontrol over sin cloud-infrastruktur.

Supply chain attacks er ikke en hypotetisk trussel – de er virkelighed. Eksempler som personsøgerne hos Hizbollah, SolarWinds og Huawei viser, hvor sårbare vi er, når vi lægger vores sikkerhed i hænderne på andre.

For EU er det derfor afgørende at styrke sin egen produktion og kontrol over kritiske infrastrukturer, såsom chips og cloud-tjenester, og at udnytte teknologier som open source til at skabe større gennemsigtighed og samarbejde.

Chips og cloud-udbydere er allerede i EU's kikkert med European Chip Act og Gaia-X. Men det halter noget mere, når vi taler software. Et lille skridt her kunne være, at EU vedtager, at den software, som EU finansierer udviklingen af, skal være open source, som man har gjort i Schweitz. På den lange bane vil det måske give mening at lade det være en del af NIS2.

Ellers risikerer vi, at vores teknologiske afhængighed bliver en brik i storpolitiske spil, hvor vores sikkerhed og suverænitet står på spil.