Kinesiske entreprenørmaskiner med potentielle dataopsamlingssystemer ruller uhindret ind på militære og følsomme byggepladser i Danmark – mens mennesker og mobiltelefoner screenes nøje.
Det korte svar
Kinesiske grave- og anlægsmaskiner har i dag fri adgang til militære anlæg og anden kritisk infrastruktur i Danmark. Det sker, selv om de samme anlæg har strenge adgangskontroller for personer og elektronik som mobiltelefoner. Maskinerne kan indeholde indbyggede sensorer, kameraer og kommunikationsmoduler, der i princippet kan opsamle og videresende data om anlæggenes indretning, aktivitet og sårbarhed. Der er ingen systematisk kontrol, ingen krav om sikkerhedsgodkendelse af maskinerne, og ingen myndighed der har et samlet overblik. Det er et konkret og dokumenteret hul i Danmarks beredskab – og det lukkes ikke af sig selv.
Baggrund
Danmark bruger store summer på at beskytte sine militære anlæg, efterretningsfaciliteter og kritiske infrastrukturer mod udefrakommende trusler. Adgangskort, sikkerhedsgodkendelser, forbud mod private mobiltelefoner i sikrede zoner – listen over foranstaltninger er lang. Logikken er enkel: jo mere følsom et anlæg er, jo strammere kontrol med, hvad og hvem der kommer ind.
Men der er en blind vinkel.
Når der skal graves, støbes og bygges på disse anlæg, hentes maskinerne typisk hos de billigste udbydere på markedet. Og de billigste maskiner er i stigende grad kinesiske. Mærker som XCMG, Sany og LiuGong har de seneste år vundet betydelige markedsandele i Europa, herunder i Danmark, fordi de tilbyder konkurrencedygtige priser og et bredt sortiment.
Ingen stiller spørgsmål til maskinerne.
Det er præcis det problem, som fagmediet Ingeniøren satte fokus på i en artikel om kinesiske maskiner på følsomme byggepladser. Artiklen dokumenterer, at der ikke eksisterer systematiske krav om kontrol eller godkendelse af det tunge entreprenørmateriel, der anvendes på anlæg med høje sikkerhedskrav – hverken fra Forsvaret, politiet eller andre myndigheder.
Hvad sker der
Moderne entreprenørmaskiner er ikke længere bare mekaniske redskaber. De er i stigende grad udstyret med digitale systemer: GPS-trackere til flådestyring, kameraer til operatørassistance og kollisionsundgåelse, telematikmoduler der løbende sender driftdata til producentens servere, og i nogle tilfælde avancerede sensorer til terrænregistrering og maskinstyring.
Alt dette er i og for sig legitimt og har produktionsmæssige formål. Men de samme systemer kan – bevidst eller som utilsigtet biprodukt – indsamle data om omgivelserne. En gravemaskine med kamera og GPS ved en militær facilitet kan i princippet kortlægge anlæggets fysiske udformning, registrere bevægelsesmønstre og sende det hele til en ekstern server.
Spørgsmålet er ikke, om det sker. Det ved vi ikke. Spørgsmålet er, om nogen overhovedet har tjekket det – og svaret er nej.
Det er ikke en hypotetisk risiko plukket ud af den blå luft. Politiets Efterretningstjeneste (PET) vurderede i sin trusselsvurdering fra 2023, at Kina udgør en af de mest alvorlige efterretningsmæssige trusler mod Danmark, og at der kan være en trussel mod kritisk infrastruktur fra kinesisk efterretningsvirksomhed. PET peger specifikt på, at kinesiske aktører benytter sig af en bred vifte af metoder, herunder tekniske midler.
Trusselsvurderingen af cybertruslen mod Danmark fra 2024 understreger desuden, at dansk kritisk infrastruktur og Forsvaret er i fremmede staters søgelys – og at truslen ikke kun kommer via klassiske cyberangreb, men også via fysisk tilstedeværelse og hardware med ukendt indhold.
De centrale spørgsmål
Sagen rejser mindst fire spørgsmål, som endnu ikke har fået et tilfredsstillende svar fra myndighederne:
1. Hvem har ansvaret? Det er uklart, hvilken myndighed der har ansvar for at vurdere og kontrollere det tekniske udstyr, der bringes ind på følsomme anlæg. Forsvaret, Center for Cybersikkerhed, Beredskabsstyrelsen og PET har alle berøringsflader til problemet – men ingen ejer det.
2. Hvad kan maskinerne faktisk? Det er teknisk komplekst at fastslå, hvilke data specifikke maskiner indsamler, og hvor de sendes hen. Producenter er ikke forpligtet til at oplyse dette i detaljer, og der er ingen dansk myndighed med mandat og ressourcer til at foretage systematiske tekniske analyser af det udstyr, entreprenørerne møder op med.
3. Er problemet begrænset til kinesiske maskiner? Ikke nødvendigvis. Telematik og dataopsamling er en global tendens i maskinbranchen. Men den politiske og efterretningsfaglige vurdering er, at kinesisk produceret udstyr udgør en særlig risiko, fordi kinesisk lovgivning – herunder den nationale sikkerhedslov fra 2017 – forpligter kinesiske virksomheder til at samarbejde med efterretningstjenesterne, hvis de bliver bedt om det. Det er en strukturel forskel sammenlignet med udstyr fra lande med retsstatsprincipper og uafhængige domstole.
4. Hvorfor er der ingen regler? Det korte svar er sandsynligvis, at problemet er nyt og komplekst. Den teknologiske udvikling i maskinbranchen er gået stærkere end lovgivernes og myndighedernes evne til at følge med. Regulering af menneskelig adgang til følsomme anlæg er veletableret. Regulering af maskiners dataopsamlingskapacitet er et uopdyrket felt.
Analyse
Et klassisk asymmetrisk problem
Sagen er et godt eksempel på et sikkerhedsmæssigt asymmetriproblem: truslen er billig og let at udnytte, mens forsvaret er dyrt og kompliceret at etablere.
For en fremmed efterretningstjeneste er der ingen direkte investering forbundet med at udnytte et hul som dette. Hvis kinesiske maskiner allerede er på markedet, allerede bruges af danske entreprenørvirksomheder, og allerede har adgang til følsomme anlæg – så er der intet behov for at rekruttere agenter, købe adgangskort eller hacke computersystemer. Informationen flyder potentielt af sig selv.
For den danske stat er løsningen derimod ikke enkel. Man kan ikke uden videre forbyde kinesiske maskiner på alle byggepladser – det vil kræve lovhjemmel, EU-koordinering og sandsynligvis et opgør med udbudsregler, der bygger på laveste pris som primært kriterium. Man kan heller ikke teknisk certificere alle maskiner ved grænsen – det forudsætter ekspertise og ressourcer, som ikke findes i dag.
Analogien til teleudstyr
Den nærmeste analogi er diskussionen om kinesisk teleudstyr – særligt Huawei og ZTE – i mobilnetværk og kritisk infrastruktur. Her tog det mange år, men de vestlige lande nåede til sidst til en fælles vurdering: risikoen er reel, og udstyret bør udfases eller holdes ude af de mest følsomme dele af infrastrukturen.
For telekommunikationsudstyret var processen langsom og politisk kompliceret, men den var mulig, fordi udstyret var veldefineret, og fordi der var klare tekniske standarder at arbejde ud fra. For entreprenørmaskiner er situationen mere kaotisk. Markedet er fragmenteret, maskinerne er mange og forskelligartede, og der er ingen etableret branchestandard for, hvad maskinerne må og ikke må kommunikere.
Udbudssystemets rolle
En del af forklaringen på, at kinesiske maskiner overhovedet befinder sig på følsomme anlæg, er udbudssystemets logik. Når offentlige bygherrer – herunder Forsvaret – udbyder anlægsopgaver, er prisen typisk det afgørende konkurrenceparameter. Entreprenørvirksomhederne, der vinder opgaverne, vælger naturligt det billigste materiel, der opfylder de tekniske krav til opgaven.
Sikkerhedsgodkendelse af maskinparken er ikke et krav. Det er heller ikke et kriterium, der indgår i udbudsevalueringen. Resultatet er forudsigeligt: de billigste maskiner vinder, og de billigste maskiner er i stigende grad kinesiske.
Her er der et politisk valg, der skal træffes. Vil man acceptere en omkostningsstigning for at reducere sikkerhedsrisikoen? Og hvis ja, hvem betaler – den offentlige bygherre, entreprenøren, eller begge?
Allierede landes tilgang
Danmark er ikke alene om problemet, men andre lande er kommet længere i at adressere det. I USA har der været øget opmærksomhed på kinesiske kraner i havne – Kina-producerede portalkraner fra ZPMC dominerer mange amerikanske havne, og det amerikanske forsvar har udtrykt bekymring for deres dataopsamlingskapacitet. Processen med at vurdere og håndtere risikoen er i gang.
I Danmark har debatten ikke nået samme modenhed. Det skyldes delvis, at trusselsbilledet om kinesisk spionage er nået op i den offentlige bevidsthed relativt sent – og at maskinspørgsmålet er endnu mere teknisk og abstrakt end teleudstyrsspørgsmålet.
Hvad vi ikke ved
Det er vigtigt at understrege, hvad vi faktisk ikke ved. Vi ved ikke, om kinesiske maskiner på danske militæranlæg faktisk har opsamlet og videresendt følsomme data. Vi ved ikke, om kinesiske producenter bevidst har designet deres maskiner til efterretningsformål. Og vi ved ikke, om det er et problem, der aktuelt udnyttes aktivt.
Det, vi ved, er at PET vurderer kinesisk efterretningsvirksomhed som en reel trussel mod Danmark og kritisk infrastruktur. Og vi ved, at der ingen systematisk kontrol er med det udstyr, der bringes ind på de mest følsomme anlæg.
Fraværet af dokumenterede hændelser er ikke det samme som fraværet af risiko. Det kan lige så vel afspejle fraværet af systematisk eftersyn.
Konklusion
Der er et reelt og dokumenteret hul i Danmarks sikkerhedsarkitektur. Kinesiske entreprenørmaskiner med potentielle dataopsamlingssystemer har uhindret adgang til militære anlæg og kritisk infrastruktur, mens mennesker og elektronik screenes nøje. Ingen myndighed har samlet ansvar for problemet, ingen regler regulerer det, og ingen systematisk kontrol udføres.
Det er ikke en teoretisk fremtidsrisiko. PET har vurderet, at Kina udgør en alvorlig efterretningsmæssig trussel mod Danmark og kritisk infrastruktur. Den kinesiske nationale sikkerhedslov forpligter kinesiske virksomheder til at bistå efterretningstjenesterne. Og markedskræfterne trækker i en retning, der gør problemet større, ikke mindre.
Hvad der er behov for, er konkret:
- Et klart myndighedsansvar – én myndighed der ejer problemet og har mandat til at handle på det.
- Reviderede udbudskrav – så sikkerhedsgodkendelse af maskinpark indgår som kriterium ved udbud på følsomme anlæg.
- Teknisk kapacitet – til at vurdere, hvad konkrete maskiner kan indsamle og kommunikere.
- Koordinering med allierede – så Danmark ikke opfinder løsningerne alene, men trækker på erfaringer fra lande der er kommet længere.
Problemet er ikke uløseligt. Men det løser sig ikke af sig selv.