En tidlig morgen den 6. juli 2021 blev det tyske forvaltningsdistrikt Anhalt-Bitterfeld ramt af et lammende cyberangreb, der tvang distriktet offline. 

“Landkreis Anhalt-Bitterfeld, you are fucked. Do not touch anything,” stod der på skærmen, da en af forvaltningens ca. 900 medarbejdere åbnede sin computer.

Et såkaldt ransomware-angreb havde inficeret flere servere, og en stor mængde data, herunder følsomme persondata på flere af distriktets mere end 158.000 borgere, var med ét krypteret og taget som gidsel. Ukendte gerningsmænd krævede en løsesum på 500.000 euro, som distriktsadministrator Andy Grabner (CDU) dog nægtede at betale.

I stedet erklærede han landets første cyber-katastrofesituation. 

Er kommuner væsentlige?

Cybersikkerheden i EU skal styrkes. Det står klart med det såkaldte NIS2-direktiv, som EU-Kommissionen foreslog i december 2020 og som EU's Ministerråd og EU-Parlamentet Store Bededag nåede frem til en politisk aftale om.

Hvad der imidlertid er mindre klarhed om, er, i hvilken udstrækning regionale og lokale offentlige forvaltninger, og dermed danske regioner og kommuner, ender med at blive omfattet af de nye lovkrav, som skal beskytte medlemslandenes kritiske infrastruktur. 

Kommissionens forslag omfatter ”væsentlige enheder”, der opererer inden for blandt andet sektorerne energi, transport, sundhed, drikkevand, spildevand, digital infrastruktur og offentlig forvaltning. Desuden ”vigtige enheder”, der opererer inden for fx post- og kurertjenester og affaldshåndtering. 

Efter forslaget skal hvert land selv beslutte, om regioner og kommuner som sådan skal omfattes. Bliver de det, vil de blive pålagt at træffe “passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at håndtere de cybersikkerhedsrisici, der er forbundet med sikkerheden i net- og informationssystemer.” Det kan ifølge eksperter blive omfattende. 

Væsentlige enheder vil desuden blive underlagt proaktivt tilsyn, mens vigtige enheder alene bliver genstand for reaktive tilsyn. 

Siden 2016 har kommuner og regioner været forpligtet til at underrette Center For Cybersikkerhed, CFCS, om “større sikkerhedshændelser”. Det har siden 2018 ført til i alt 18 underretninger fra kommuner. Som noget nyt foreslår Kommissionen, at også hændelser, som potentielt kunne have haft væsentlige konsekvenser, skal indberettes til en central national myndighed. 

Den endelige lovtekst er endnu ikke udfærdiget og godkendt. Når den om forventeligt et par måneder er det, vil direktivet blive offentliggjort i Den Europæiske Unions Tidende, hvorefter det 20 dage senere træder i kraft. Herefter har medlemsstaterne 21 måneder til at implementere direktivet i deres nationale lovgivning.

Opfordring: kom i gang med forarbejdet

Regionerne kan lige så godt indstille sig på, at de bliver underlagt lovgivningen, mener erhvervsjurist og partner hos Poul Schmidt/Kammeradvokaten Emil Bisgaard med henvisning til, at en stor del af deres opgaver ligger inden for sundhedssektoren. 

Men kommunerne løser også sundhedsopgaver, påpeger han. 

Selv hvis det bliver besluttet, at kommuner som enheder ikke skal være omfattet, kan visse af deres aktiviteter være det i kraft af den sektor, de opererer i. 

Belært af erfaringerne fra implementeringen af GDPR forudser Emil Bisgaard, at det kan blive en udfordring at nå at implementere de nye krav. Især hvis man først, efter at direktivet træder i kraft, skal til at finde ud af, om man er omfattet. Derfor bør kommunerne allerede nu gå i gang med forarbejdet. 

- De kan starte med at kigge på, hvor meget affald, sundhed og forsyning de laver, og hvor sammenblandet aktiviteterne er, siger han.

Som eksempel nævner han en kommune, der deler it-systemer, servere og adresse med et forsyningsselskab. I sådan et tilfælde bliver kommunens sikkerhed vigtig for forsyningsselskabets sikkerhed. Man bør derfor få skabt klarhed omkring det tekniske og organisatoriske setup, få skilt tingene ad og sikre, at kommunen ikke udgør en sikkerhedsrisiko. Det gælder både digitalt og fysisk, for hvis en hacker kan gå ind ad døren og få adgang til en ulåst lokal pc, kan vedkommende med en USB-nøgle suge alle passwords ud, advarer Emil Bisgaard.

- Hvordan kommer man ind i bygningen? Kan man gå uledsaget rundt? Kan en kommunal medarbejders pc give adgang til et forsyningsselskab? Det er ikke kun et spørgsmål om it-sikkerhed, men også om organisatorisk sikkerhed, siger han.

Ekspert: Lav en opgørelse

Det digitale angreb på Anhalt-Bitterfeld forplantede sig øjeblikkeligt i den fysiske verden. I to uger kunne forvaltningen kun nås via telefon og fax. Der kunne ikke udbetales løn og sociale ydelser, og indregistrering af motorkøretøjer og sundhedsafdelingen måtte midlertidigt flyttes til andre distrikter. Med hjælp fra blandt andet det tyske militær blev der i løbet af ca. tre uger etableret et nødnetværk, der dog kun var et lille skridt på vejen tilbage mod normalitet.

Med tanke på skrækeksemplet gør danske kommuner klogt i at få skabt et overblik over, hvilke funktioner de selv udfører, som tydeligvis er essentiel infrastruktur, og som ikke kan fungere, hvis systemerne sættes ud af spil, mener assisterende professor på CBS Jan Lemnitzer. Han underviser og forsker i cybersikkerhed, og ifølge ham har overraskende mange ikke et overblik over deres digitale infrastruktur.

- Lav en opgørelse over, hvilke systemer I bruger, og hvilke der vender mod internettet, hvilke folk I har, og hvilken software, I har. Lav en opgørelse, gentager han.

En af Jan Lemnitzers store bekymringer i relation til det nye direktiv er, at mange kommuner hverken har de kompetencer eller budgetter, der kræves for at drive it-sikkerhed i en stor organisation. Derfor må politikerne tage stilling til, om der skal følge et budget med til dem, der bliver omfattet af den nye lovgivning, påpeger han.

Kræver kompetencer og penge

EU-Kommissionen har anslået, at de virksomheder, der bliver omfattet af det nye direktiv, må øge omkostninger til sikkerhed med 22 pct. i de første år efter indførelsen.

Det løser imidlertid ikke udfordringen med at skaffe folk med de rette kompetencer. Der er generelt mangel på it-kyndige medarbejdere, ikke bare i Danmark, og det er ikke nok at være teknisk dygtig. Opgaven kræver også kompetencer inden for fx jura og offentlig administration, mener Jan Lemnitzer, og de folk vil også være i høj kurs i det private erhvervsliv.

- Det bliver ikke nemt at overtale dem til at arbejde i kommunen, siger han. 

Regeringen vil arbejde for, at forslaget ikke medfører “uforholdsmæssige økonomiske byrder for aktører, som ikke er direkte afhængige af net- og informationssystemer,” lød det i et samlenotat fra Forsvarsministeriet til Folketingets Europaudvalg sidste år. Af notatet fremgår det også, at “omkostningerne skal stå mål med merværdien ud fra en risikobetragtning”.

Et spørgsmål om prioritering

Oprydningen efter angrebet på Landkreis Anhalt-Bitterfeld kommer formentlig til at koste op mod 2 mio. euro. Dertil kommer tab af data, der ikke har kunnet genskabes, og tab af tillid til digitaliseringen. Yderligere offentliggjorde gerningsmændene en del af de stjålne data i et forsøg på at presse distriktet til at betale løsesummen.

Men også sikkerhed koster. Og når det kommer til det offentlige, giver det lidt sig selv:

- Enten opkræver man flere skatter eller hæver brugerbetalingen, eller også bruger man færre penge på noget andet, siger Emil Bisgaard.

Det er som med meget andet et spørgsmål om prioriteringer, og i sidste ende er det en politisk beslutning.

- Folketinget må tage stilling til, hvilke af kommunernes funktioner, de mener, er essentielle for, at samfundet kan fungere, siger Jan Lemnitzer.

Om det så vil omfatte fx udbetaling af kontant- og uddannelseshjælp, visitation af hjælpemidler og sociale indsatser, hjemmepleje og andre områder, som kommunerne varetager, vil tiden vise. I mellemtiden kan kommunerne med fordel forsøge at få input fra centrale beslutningstagerne, mener han.

Afventer vedtagelse 

“Det er altid godt at holde sig orienteret om, hvad der sker på cybersikkerhedsområdet,” lyder det i et mailsvar fra afdelingschef i CFCS Mark Fiedel, der også er en af i alt tre formænd for det offentlig-private cybersikkerhedsråd.

Cybersikkerhedsrådet er sat i verden for at rådgive regeringen om styrkelse af cyber- og informationssikkerhed, og det nuværende råd, der blev nedsat pr. 1. januar 2022, har endnu ikke haft direktivet på dagsordenen. 

“Vi er opmærksomme på, at NIS2 er på vej og får indflydelse på, hvordan vi arbejder med cybersikkerhed i Danmark,” skriver Mark Fiedel, men oplyser i øvrigt, at egentlige drøftelser af direktivets indhold og rådets rolle i forhold til implementering først vil finde sted, når direktivet er færdigforhandlet. 

Regionerne forbereder sig ved at udveksle erfaringer, indtil de kender den endelige tekst og dermed, hvilket omfang og betydning det får for dem, oplyser Danske Regioner. Foreningen overvejer desuden at føje et spor til sundhedssektorens strategi for cyber- og informationssikkerhed  for  at sikre, at der løbende bliver taget stilling til udefrakommende krav som eksempelvis NIS2-direktivet.

KL har ingen kommentarer til direktivforslaget og oplyser, at foreningen ikke forholder sig til det, da det endnu ikke er vedtaget, og foreningen derfor ikke ved, om eller hvordan kommunerne omfattes. I et høringssvar bemærkede KL dog sidste år, at nye rapporteringsforpligtelser vil betyde “yderligere omkostninger til ressourcer og håndtering af formelle krav til nye centrale risikovurderinger og dobbelt rapportering.”

Ikke de sidste

I februar - godt et halvt år efter cyberangrebet på Anhalt-Bitterfeld - blev distriktets katastrofestatus ophævet. I marts var 40 af forvaltningens 159 fagapplikationer igen funktionelle. Genopbygningen af it-infrastrukturen fortsætter langt ind i året.

I sin årlige rapport om cybertruslen mod Danmark vurderede Center for Cybersikkerhed sidste år, at såvel truslen fra cyberkriminalitet som cyberspionage er “meget høj”. Det kan ifølge rapporten oversættes til, at der er aktører, der både kan, vil og løbende forsøger at angribe Danmark. 

Center for Cybersikkerhed fremhæver netop målrettede ransomware-angreb, der fører til dobbelt afpresning, fordi ofre for angreb ikke alene risikerer at miste adgang til vigtige it-systemer og -infrastruktur, men også, at følsomme personoplysninger bliver lækket til offentligheden eller solgt videre.

- Vi var de første, men vi bliver ikke de eneste, sagde Chief Digital Officer i Landkreis Anhalt-Bitterfeld Sabine Griebsch sidst i december til det tyske it-fagmedie Golem.de. 

Kilder: Golem.de, Kommunal.de, it-daily.net