Der er ikke noget alternativ til at tænke kommunerne med ind i et nationalt cyberforsvar, mener forsvarsordfører for Venstre Mads Fuglede.

Lige nu står kommunerne som det svageste led i kæden og risikerer at blive bagdøren ind til hele det offentlige Danmark, lød det for nylig i et debatindlæg fra formand for KL’s Arbejdsmarkeds- og Borgerserviceudvalg Peter Rahbæk Juel. 

Netop fordi kommunerne ikke bliver betragtet som en del af det danske cyberforsvar, pointerede han.

Og der er plads til forbedring, mener Mads Fuglede. 

Meget af den kritiske infrastruktur er i den borgernære del af samfundet, påpeger han.

- Beskytter man ikke det, som kommuner har med at gøre, får vi et ringe cyberforsvar, siger han.

- Og når vi har oplevet Rusland agere som fjendtlig stat overfor vesten, er det nødvendigt at gøre endnu mere, end vi gør nu.

Forsvarsordfører: Nødvendigt at gøre mere

I det gældende forsvarsforlig er forligspartierne enige om at prioritere en styrkelse af Danmarks cyberforsvar, men til KL’s fortrydelse blev der ikke sat penge af til kommunernes cybersikkerhed i finanslovsudspillet. 

- Vi håber stadigvæk, at der sker noget i forbindelse med udmøntningen af pengene i forsvarsforliget, siger kontorchef i KL Pia Færch.

Det følger af sektoransvarsprincippet, at hver sektor står for sin egen cybersikkerhed. Men medmindre staten stiller udtrykkelige krav til kommunerne om at højne deres cybersikkerhed, og lader pengene følge penge med, kan den prioritering se vanskelig ud i kommuner, hvor man i forvejen må spare på velfærden.  

- Jeg vil gerne medgive, at det kan se svært ud, siger Mads Fuglede og bemærker, at et mere ensartet sikkerhedsberedskab vil indebære, at man stiller krav til kommunerne.

Skal man øge sikkerhedsniveauet, vil det kræve, at man laver en aftale med KL, mener han. 

- Det kunne meget vel være en model, men det må bero på en forhandling, siger han og pointerer, at det vigtigste ikke er hvordan, men at man får styrket sikkerheden. 

- Og når man stiller krav, skal der følge penge med, siger han. 

- Det er jeg bevidst om.

Umuligt at gardere sig uden underretninger

Når KL ønsker, at kommunerne skal være en del af det nationale cyberforsvar, handler det især om, at de skal inddrages i kredsen af offentlige myndigheder, der modtager efterretninger fra Center for Cybersikkerhed, CFCS, om, hvad der foregår på internettet, fortæller kontorchef Pia Færch. 

Så længe de ikke gør det, har de ikke en chance for at gardere sig mod de udfordringer, der opstår, fortæller hun.

Moderaternes forsvarsordfører Peter Have kan godt se det smarte i at have en fælles strategi på cybersikkerhed, men han vil ikke umiddelbart stille krav om, at kommunerne skal indgå i det nationale cyberforsvar. Han er dog åben for at se på, hvordan et styrket samarbejde mellem kommunerne, regionerne og CFCS, kan skrues sammen.

- Vi kan godt kigge på, om der er en mulighed for at trække noget af det ind i rammeforliget, men jeg vil ikke sige, at selvfølgelig skal det det, siger han. 

Kombit skal stå for fælles cyberværn

Der er behov for at bygge et ekstra lag oven på det informations- og cybersikkerhedsarbejde, som kommunerne i forvejen laver, mener KL. Det skal ske gennem opbygning af et fælles cyberværn forankret i Kombit.  

- Den enkelte kommune har ikke ressourcer til at overvåge nettet og foretage store dataanalyser på unormal aktivitet, siger Pia Færch. 

Det vil både være dyrt og svært for den enkelte kommune at stå alene med.

- Det vil øge uligheden mere, hvis vi ikke gør det i fællesskab. Dem, der i forvejen står svagt, vil stå svagere ved ikke at gøre det i fællesskab, siger hun.

Et forsigtigt estimat lyder på, at det vil koste minimum 100 mio. kr. årligt at drive en fælles kommunal cyberovervågningsenhed. 

- Det er en meget stor driftsopgave, siger Pia Færch og understreger, at det er svært at sige præcis, hvad det vil koste. 

Estimatet omfatter indkøb, drift og vedligeholdelse af teknologi i den fælles enhed, ligesom man i hver enkelt kommune også vil få brug for flere folk med kompetencer på området. 

S-ordfører: Vi skal tage ansvar for bredere samarbejde

Mens alle statslige myndigheder skal implementere den internationale informationssikkerhedsstandard ISO 27001, er kommunerne alene forpligtet til at følge principperne i den. 

Som Kommunen.dk tidligere har beskrevet, bliver der ikke fulgt op på, i hvilket omfang de gør det. Når man ikke har overblik over kommunernes informationssikkerhedsniveau kan det betyde, at man som samfund ikke er så godt beskyttet mod angreb, som man tror, man er, advarede professor ved Cyber Security Group på Aalborg Universitet Jens Myrup Pedersen i den forbindelse.

Og cybertruslen mod Danmark er vedvarende, ligesom hackerangreb på kritisk infrastruktur og myndigheder er blevet hverdag, skriver Socialdemokratiets forsvarsordfører Simon Kollerup i et mailsvar til Kommunen.dk. 

Kommunerne er et vigtigt digitalt led i den offentlige sektor, anerkender han, og det er en central ambition i forsvarsforliget at styrke indsatsen på cyberområdet. Han påpeger desuden, at der allerede eksisterer et godt samarbejde mellem kommunerne og staten.

Hvad hans holdning er til at bruge forsvarspenge på at styrke kommunernes cybersikkerhed, svarer han ikke på, men skriver i stedet, at “fra politisk side skal vi sørge for at tage ansvar for et bredere samarbejde med kommunerne om den her store sikkerhedstrussel.” 

De 143 mia. kr. fra forsvarsforliget vil løbende blive udmøntet i en række delforlig.