Sidste år blev hver fjerde kommune ramt af hundredvis af ugentlige angreb. Guldborg-sund Kommune har været ramt af et hackerangreb, hvor kommunen blev svindlet for 1,4 mio. kr., og hackere har foretaget såkaldte DDoS-angreb på flere kommuner, blandt andet Thisted og Aarhus.

I Norge blev flere it-systemer i en kommune angrebet af hackere, og flere måneder efter var alle systemer stadig ikke oppe at køre, hvilket betød, at hjemmesygeplejersker i månedsvis ikke kunne dokumentere deres arbejde.

Eksempler på hackerangreb på kommuner er talrige. 

Der er dog stor forskel på ressourcerne hos it-afdelingerne i kommunerne, og især de små kommuner føler sig pressede. De mangler ansatte, kompetencer til sikkerhed og ressourcer.

Ud af 34 kommuner mangler cirka 40 pct. ansatte, viser en undersøgelse fra Kommunen.dk og DK Nyt.

Faaborg-Midtfyn mangler fem ansatte, Næstved mangler fire til fem, Sorø mangler tre til fire, og listen bliver ved. 

Ærø mangler to ansatte, og den mangel samt de mange krav har ramt arbejdsmiljøet.

- Det har påvirket vores arbejdsmiljø. Vores afdeling har været ramt af langtidssygdom på grund af stress. Når vi er sådan en lille afdeling, og trivslen måske ikke er, som den bør være, så skal jeg som chef sørge for, at det hele fortsat hænger sammen, siger it-chef på Ærø Bettina Rosenbæk.

Med det ekstra fokus på cybersikkerhed i de seneste år øger det yderligere presset på kommunerne. Ifølge professor i cybersikkerhed Jens Myrup Pedersen er cybersikkerhed også en udfordring for kommunerne.

- Vi har en udfordring i forhold til at få løftet cybersikkerheden i kommunerne. Det, som jeg særligt kan være bekymret for, er, at vi ikke kommer i gang. Der sker simpelthen for lidt, og det går for langsomt, siger han.

Stress i Ærø

I Ærø Kommune er der fem ansatte i it-afdelingen, og ikke alle arbejder på fuld tid. De få ansatte skal løbe ekstra stærkt for at kunne nå det hele, og når man allerede er bagud med implementeringen af forskellige krav, bliver det sværere at skulle implementere nye.

- Jeg tror, at man nogle gange glemmer, at der sidder nogle afdelinger derude, som lige knap kan få det til at køre rundt. Vi har ikke de samme ressourcer som større kommuner, men vi er omfattet af de samme krav, siger Bettina Rosenbæk.

Forskellen på ressourcerne til it-afdelingerne kan også ses i en nylig opgørelse af kommunernes investeringer i it. Sidste år investerede kommunerne tilsammen 6,6 mia. kr. I toppen ligger Københavns Kommune, der investerede lige under 700 mio. kr. i it, og i bunden ligger Læsø, som investerede cirka 6,5 mio. kr. 

På Ærø er it-chefen bekymret for, at små kommuner bliver ladt i stikken, hvis der ikke kommer fokus på forskellen på ressourcerne blandt kommunerne.

- It er blevet et vitalt område. Det har det selvfølgelig altid været, men de seneste år er det blevet endnu mere tydeligt, siger Bettina Rosenbæk, som ønsker et større politisk fokus på it, ligesom man med rette har på kommunaløkonomi. 

Med et større fokus følger også flere krav – både fra EU og Christiansborg. Det er specielt krav om cybersikkerhed, som er en udfordring i kommunerne. 

I over et år har KL kæmpet for, at kommunerne bliver en del af det danske cyberforsvar, da KL frygter, at kommunerne bliver en åben flanke for hacker-angreb.

Hvis KL vinder kampen om cyberforsvaret, og kommunerne omfattes, vil det dog også betyde yderligere krav til de pressede it-afdelinger. 

- Det er rigtigt, at det er ekstra opgaver til kommunerne, og der er brug for en stor indsats for at sikre, at it-systemer og samfundet er beskyttet mod cybertrusler, siger Pia Færch, der er KL’s kontorchef i digitalisering og teknologi.

Men de små kommuner skal ikke være bekymrede, mener hun, da KL også kæmper for, at kommunerne vil få den nødvendige hjælp.

- Vi vil kæmpe for, at kommunerne bliver en del af cyberforsvaret, men også at de skal have økonomisk kompensation for at løse den opgave, og vi skal samarbejde om at sørge for, at der er de rigtige kompetencer til det, siger Pia Færch.

Kommuner kan blive en bagdør

KL er bekymret, hvis cybersikkerheden i kommunerne ikke forbedres.

- Vi frygter, at kommuner kan blive den bagdør, der kan stå åben ind til den offentlige sektor. Vi mener, at kommunerne er en kritisk del af det danske samfund, og det kan vi ikke se, at regeringen reflekterer over i sin cyberpolitik, siger Pia Færch.

Senest har regeringen  udeladt kommunerne i NIS2-direktivet fra EU, som skal være med til at sikre et højere cybersikkerhedsniveau i medlemslandene. Der er dog ikke sket meget, siden KL begyndte at fokusere på cyberforsvaret. Det er NIS2 bare endnu et eksempel på.

- Regeringen har ikke ønsket at omfatte kommunerne i NIS2-direktivets implementering i Danmark. Så nej, vi synes ikke, at der er sket særlig meget, og det er vi ret uforstående overfor. Vi bliver ikke hørt i forhold til behovet for at beskytte det samlede offentlige Danmark, fortæller Pia Færch. 

Jens Myrup Pedersen mener også, at kommunerne bør blive omfattet af NIS2-direktivet, for krav kan åbne vejen til bedre cybersikkerhed.

- Vi skal yde hjælp til kommunerne, men man bør også begynde at stille krav, som virkelig flytter på tingene. Her ville det være oplagt at lade kommunerne være omfattet af NIS2. Der ville måske være dele, som ikke er samfundskritiske, og dem kunne man så undtage, siger han.

Vi mangler kompetencer og viden

Flere kommuner beretter om udfordringer med kompetencer særligt i forhold til sikkerhed. 

Ifølge Jens Myrup Pedersen findes der heller ikke et reelt overblik over, hvordan det står til med it-sikkerheden i kommunerne. Sikkerhedsbilledet er baseret på den enkelte kommunes situation.

For små ø-kommuner som Ærø, er det generelt svært at tiltrække medarbejdere. Høje lønninger for it-folk er svære at matche, og geografien besværliggør det yderligere. 

- Mange, der arbejder med it, er enten ikke uddannet i it-sikkerhed, eller de er uddannet engang, hvor trusselsbilledet var et andet. Derudover har vi været for langsomme til at uddanne specialister inden for cybersikkerhed, og der er også en generel tendens til, at det er svært at tiltrække unge til især de mere tekniske dele af it-fagene, siger Jens Myrup Pedersen.

Manglen på viden er ikke kun et problem i kommunerne, men også for staten. I sommer udkom Statens it-råds statusrapport for 2023, hvor rådet gør status for it-projekter i staten. I rapporten oplyser rådet, at der findes 85 samfundskritiske it-systemer. 

Selvom der både sikkerhedsmæssigt og i forhold til forretningsunderstøttelse er sket en forbedring siden 2022 i de samfundskritiske systemer, halter det stadig bagefter i forhold til teknisk viden. Der er faktisk sket en lille tilbagegang siden 2022.

I rapporten for 2022 var der ikke tilstrækkelig viden for 16 pct. af de samfundskritiske systemer. I 2023 lyder den nu på 18 pct. 

Håb forude

Selvom kommunerne ikke er en del af cyberforsvaret og NIS2-direktivet, og de føler sig pressede, er der dog ifølge professoren håb forude.

- Det er jo ikke raketvidenskab, og langt hen ad vejen ved vi godt, hvad vi skal gøre. Derfor er min konklusion, at der er håb forude, hvis vi begynder at agere på det, siger Jens Myrup Pedersen.

Ligesom it-chefen på Ærø mener, at man glemmer, at ikke alle it-afdelinger har lige mange ressourcer, mener Jens Myrup Pedersen, at vigtigheden af it også går i glemmebogen. Flere ting har en direkte forbindelse til it-systemer, som mange nok glemmer.

Danmark er et meget digitaliseret land og er derfor meget afhængig af, at de mange it-systemer fungerer. Men mange it-systemer gør angrebsfladen for hackere større. Derfor er det vigtigt, at cybersikkerheden er i orden – både statsligt og kommunalt, fastslår Jens Myrup Pedersen.

- Kommunerne sidder på mange opgaver, som er vigtige for at få hverdagen til at fungere i Danmark, og det kan man godt overse. Hvad har ældrepleje og børnehaver med it-sikkerhed at gøre? Her glemmer man bare, at der er en masse systemer inde bagved, der får dagene til at hænge sammen, siger han.