Dumpet! 

Sådan ville det lyde i over 50 pct. af tilfældene, hvis kommunerne skulle til eksamen i informationssikkerhed. Under halvdelen af de 45 kommuner, der har svaret på Kommunen.dk’s rundspørge om cyber- og informationssikkerhed, har nemlig styr på det basale i den informationssikkerhedsstandard, som de er forpligtet til at følge principperne i. 

Ifølge professor ved Cyber Security Group på Aalborg Universitet Jens Myrup Pedersen underbygger Kommunen.dk’s rundspørge, at der er behov for at få løftet sikkerhedsniveauet i kommunerne. 

- Overordnet viser det jo, at kommunerne enten ikke kender standarden, selvom de siger, de overholder den, eller at de kun overholder den delvist, siger han.

Og det er bekymrende. For kommunerne varetager en lang række opgaver og services, der er nødvendige for, at velfærdssamfundet kan fungere. Hvis sikkerheden i det digitale fundament ikke er i orden, risikerer de at miste muligheden for at varetage samfundsvigtige funktioner. 

Op til fortolkning

Siden økonomiaftalen 2019 har kommunerne skullet følge principperne i den ledelsesstandard for informationssikkerhed, der går under navnet ISO 27001. Betegnelsen dækker over et rammeværktøj, der hjælper til at sikre en systematisk og risikobaseret tilgang til arbejdet med informationssikkerhed.

- Jeg tror ikke, der er en klokkeklar forskel. Det er et tolkningsspørgsmål, siger han.  

Mangler “basal sikkerhedshygiejne”

42 af kommunerne i rundspørgen svarer ja til, at de følger principperne i standarden. “I det omfang det giver mening og er muligt”, supplerer én kommune, mens flere uddyber, at de bestræber sig på det. De, der ikke svarer ja, svarer “delvist”, “under implementering” og “er i gang, men ikke fuldt implementeret”.

 

Især ét af undersøgelsens resultater overrasker chefkonsulent Anders Linde fra den danske standardiseringsorganisation Dansk Standard: Kun 20 af dem, der svarer ja til, at de følger principperne, har nemlig et såkaldt SoA-dokument eller Statement of Applicability, som det hedder i standarden.

- Man kan efter min overbevisning ikke følge principperne uden at have et SoA-dokument, siger han. 

Dokumentet er forenklet sagt en slags statusopgørelse, der dokumenterer og begrunder de sikkerhedsmæssige til- og fravalg, der er foretaget. Det fungerer samtidig som en form for tjekliste til at sikre, at man har taget stilling til de mest essentielle sikkerhedsforanstaltninger. For topledelsen giver det et overblik over organisationens sikkerhedsindsats på en række konkrete opgaver. 

“SoA-dokumentet er et krav i sikkerhedsstandarden”, står der i Digitaliseringsstyrelsens guide til dokumentet.

“Basal sikkerhedshygiejne”, kalder Anders Linde det. 

Uoverensstemmelser i strategi

En del af de kommuner, der ikke har udarbejdet dokumentet, tilføjer, at de enten er i gang med det, eller at det er noget, de gerne vil arbejde hen imod. Og selvom både København og Vallensbæk svarer bekræftende på, at de har et og dermed tæller med i rundspørgens ja-kolonne, forklarer de uddybende, at de ikke har et nu, men at de regner med at have udarbejdet et, inden året er omme. 

I Thisted ved man ikke, om man har et, og Sorø mener, at det ikke er nødvendigt, medmindre man skal certificeres i standarden. Og så er vi tilbage ved fortolkningen. 

Kommunen.dk’s undersøgelse afdækker også uoverensstemmelser i kommuners SoA-dokumenter i forhold til standardens forskrifter. Via aktindsigt har redaktionen blandt andet modtaget et SoA-dokument, som er dateret 18. januar 2018. 

Og det er altså ikke godt nok, konstaterer Anders Linde. 

En organisation bør minimum én gang om året vurdere dens risici og afstemme sit SoA-dokument derefter. Så et, der ikke er blevet opdateret i fire år, er for gammelt, fortæller han.

En anden kommune har sendt et dokument, der efter chefkonsulentens vurdering “forekommer at være en kort metodebeskrivelse til risikostyring”. Hvis man mener, at det svarer til et SoA-dokument, så har man misforstået, hvad et SoA-dokument er, konstaterer han.  

“Ingen går til valg på mere kontrol”

Spørger man formand for Kita, Henrik Brix, er han ikke i tvivl om, at kommunerne gør en stor indsats for at følge principperne i standarden. 

Dog svarer kun 26 af kommunerne ja til, at de har tildelt de nødvendige ressourcer og kompetencer til området. Flere svarer “delvist” og “både og” med henvisning til, at det er vanskeligt, fordi der hele tiden opstår nye trusler og krav, og fordi det er et spørgsmål om økonomi og prioritering af knappe ressourcer.

Det er svært at få tilstrækkeligt politisk fokus på området, mener Henrik Brix, og han forventer ikke, at det bliver nemmere i år, hvor de nye byråd skal vedtage deres første budgetter. De er nok mest optagede af at indfri deres valgløfter, og det er sådan set forståeligt nok, synes han.

- Ingen går til valg på mere kontrol og informationssikkerhed. Det regner de med, vi har styr på. 

Selv frygter han, at sikkerheden ikke kan blive ved med at følge med det øgede risiko-niveau.

I Samsø Kommune er politikernes nysgerrighed omkring området tiltagende, men det kniber stadig med at finde midler.

“Som med alle kommunale opgaver er ressourcetildelingen altid på bagkant af det faktiske behov. Dette er især et vilkår i de meget små kommuner,” lyder det i kommunens besvarelse. 

- Sikkerhed er ikke sexet, men en ulempe, som vi er nødt til at forholde os til, siger it-afdelingsleder Jens Knobelauch.

Han kritiserer, at der er alt for meget elastik og fortolkning i aftalen. 

- Der burde være noget mere konkret i det, der kommer fra oven. Men grunden til, at det ikke bliver sagt, er, at man ved, det kommer til at koste millioner af kroner, siger han.

Må ikke blive for bøvlet

I Aabenraa har man valgt at følge principperne ud fra det, it- og digitaliseringschef Eva Maria Minke Andersen kalder en “lavpragmatisk” tilgang. En konstant vægtning mellem økonomi, sikkerhed og tilgængelighed. Hun bifalder, at der er så frie rammer til at arbejde med standarden.

- Vi bliver angrebet fra højre og venstre med standarder, vi skal følge. Hvis vi hælder alt det ned over en organisation som vores, bliver det til sidst ikke muligt at udføre det daglige arbejde, siger hun.

Medarbejdere kan for eksempel ikke længere installere noget på deres computer uden tilladelse fra it-afdelingen. Det forsinker og forstyrrer og fjerner noget af deres frihed, og det kan de godt gå hen og blive trætte af, frygter hun. 

- Min holdning er, at vi skal passe på, hvad det gør ved medarbejderne, siger hun. 

Det er selvfølgelig ikke meningen, at sikkerhed skal være så bøvlet, at man ikke kan udføre sit arbejde, medgiver Jens Myrup Pedersen. 

Det er blandt andet derfor, man bør have en risikobaseret tilgang til informationssikkerhed. 

- Der er risici, man vælger at løbe, fordi man kan overskue konsekvenserne af dem, og så er der risici, man vælger at håndtere på andre måder, siger han og minder om, at det også har omkostninger at blive ramt af et angreb.