Hvad er det samlede billede af it-sikkerheden i landets 98 kommuner?

Det kan hverken finansministeren, Digitaliseringsstyrelsen eller KL svare på. Der findes nemlig ikke noget overblik. 

- Det er, som om man ikke vil vide, at der er et problem, siger Venstres it-ordfører Christoffer Aagaard Melson. 

For godt nok er kommunerne forpligtet til at følge principperne i den såkaldte informationssikkerhedsstandard ISO 27001, men ingen følger op på, om kommunerne lever op til aftalen.

Og det er problematisk, mener professor ved Cyber Security Group på Aalborg Universitet Jens Myrup Pedersen, som advarerom, at det kan betyde, at man som samfund ikke er så godt beskyttet mod angreb, som man tror, man er. 

I yderste konsekvens kan uklare krav og manglende overblik over kommunernes informationssikkerhedsniveau øge risikoen for, at hjemmepleje, sociale indsatser og andre samfundsvigtige funktioner ikke kan udføres, fordi den digitale platform, de står på, bliver sat ud af spillet af et cyberangreb. 

Sjusk og dårlig dømmekraft

Flere it-ordførere tvivler på effekten af ISO 27001-aftalen. Problemet er, at der ikke er nogen, der tager ejerskab, siger De Konservatives it-ordfører Katarina Ammitzbøll.

Nogen skal tage et ansvar, og det er ikke godt nok bare at henvise til det kommunale selvstyre, istemmer SF’s it-ordfører Lisbeth Bech-Nielsen.

- Vi kan se, at der er meget forskellig praksis, og at der nogle steder er elendig sikkerhed. Man skal have en fælles praksis. Så må KL eller ministeren håndhæve det, siger hun.

Men det er ikke en del af aftalen, at KL skal følge op på den, fortæller kontorchef for KL’s Center for Digitalisering og Teknologi Pia Færch. Kommunerne kan godt tage det ansvar. 

Det har de altid gjort, fastslår hun. 

Det tilfredsstiller imidlertid ikke Lisbeth Bech-Nielsen. Hvis KL ikke kan sikre opfølgning, må det blive et lovmæssigt spørgsmål, mener hun. Hun har set for mange eksempler på sjusk og dårlig dømmekraft i kommunerne til, at hun er tryg ved den ansvarsfordeling. 

- Nogle steder virker det utroligt nonchalant, siger hun og nævner blandt andet sløset omgang med passwords, som der har været flere kommunale tilfælde af.

I det hele taget udstiller den manglende opfølgning efter ordførerens opfattelse, at der grundlæggende mangler et ministerium til cyber- og informationssikkerhed. Ansvaret på området er med sektoransvarsprincippet spredt på langs og tværs af ministerier og andre myndigheder, hvilket betyder, at ingen har det overordnede ansvar. 

- Der er ikke nogen minister, der interesserer sig synderligt for det, siger Lisbeth Bech-Nielsen.

Aftale med elastik i

Spørgsmålet er, hvad det i det hele taget vil sige at “følge principperne” i ISO 27001-standarden. 

Kommunen.dk har spurgt Digitaliseringsstyrelsen, hvad forskellen er på at implementere principperne i standarden, som staten skal, og at følge dem, som kommunerne skal. Styrelsen svarer ikke, men henviser til KL.

Hos KL lyder svaret, at kommunerne er meget forskellige, og at det er vigtigt for den enkelte kommune selv at udvælge de kontroller og foranstaltninger, der passer til dens modenhed og konstaterede risici.

Men standarden er netop lavet sådan, at den kan anvendes på meget forskellige organisationer uanset størrelse og art. Forenklet sagt kræver den, at man ud fra en vurdering af sine risici prioriterer aktiviteter og indsatser, som giver organisationens informationer det ønskede sikkerhedsniveau. Hvilke foranstaltninger, man vælger at iværksætte, afhænger dermed af den enkelte organisations risikovillighed og risikohåndtering. 

Følger man standarden, har man større modstandskraft over for it-kriminelle og er bedre i stand til genetablere sig efter et angreb eller nedbrud. 

Kender man imidlertid ikke kommunernes sikkerhedsniveau, ved man reelt ikke, hvilke risici man løber, og hvilken modenhed man har på cyberområdet nationalt. Det gør det umuligt at vide, om der er overensstemmelse mellem den risiko, man er villig til at løbe, og den risiko, man rent faktisk løber, forklarer professor Jens Myrup Pedersen. 

Det betyder også, at man ikke har noget grundlag for at sige til en kommune, der ikke gør det godt nok, at den skal stramme op, påpeger Venstres Christoffer Aagaard Melson.

DUT eller gratis

I betragtning af, at kommunerne løser et væld af samfundsvigtige opgaver, kan det undre, at man ikke bare gør som med de statslige myndigheder og pålægger dem at implementere standarden og så ellers følger op en gang om året.

Formanden for Foreningen af kommunale IT- og digitaliseringsansvarlige (Kita), Henrik Brix, har et bud på hvorfor: DUT-kompensation. 

Det Udvidede Totalbalanceprincip indebærer, at staten kompenserer kommuner, når de bliver pålagt opgaver. Så gør den det, skal der følge penge med. 

Men det er ikke bare et spørgsmål om penge og ressourcer, mener Lisbeth Bech-Nielsen. Hun oplever, at der mange steder er, hvad hun kalder en umoden tilgang til informationssikkerhed; mangel på opmærksomhed på, hvor farligt det er for samfundet, hvis vores velfærdssystemer bliver angrebet, og mangel på respekt for borgernes data.

- Jeg tror mere, det er en kulturændring, der skal til, siger hun.

Og uanset hvor meget elastik, der er i aftalen, skal kommunerne ikke bruge den til at gå efter laveste fællesnævner, lyder det advarende.

Nødvendigt med krav

Cybersikkerhedsekspert og medlem af Cybersikkerhedsrådet Christian Wernberg-Tougaard roser omvendt, at kommunerne i det mindste arbejder med standarden, og at der sker en udvikling i forståelsen af, at informationssikkerhed er vigtig. Men man bør overveje at lave en mere håndfast fortolkning af, hvad det vil sige at følge principperne. 

Han foreslår, at KL og Digitaliseringsstyrelsen går sammen om at lave et forståelsespapir, der slår fast, hvad der som minimum kræves for at efterleve principperne.

- Ellers er det jo svært at slå nogen oven i hovedet for ikke at efterleve dem.

Men selvom det ville være rart med præcise mindstekrav, er det ikke realistisk, når man samtidig skal have en risikobaseret tilgang, mener Pia Færch og henviser til, at arbejdet med cyber- og informationssikkerhed i kommunerne er både teknisk og organisatorisk komplekst. Så hvorfor overhovedet indgå en aftale, når forpligtelsen er op til fortolkning, og ingen følger op på den?  

- Aftalen handler mest om at øge fokus på informationssikkerhed, siger hun.  :