De seneste år er kommuner blevet ramt af en stribe cyberangreb. Og kommunerne er langt fra klar til at håndtere det. I en undersøgelse fra Momentum, svarede hele 97 pct. af it-cheferne i de 75 danske kommuner, der deltog, at cybertruslen er større eller langt større end kommunens ressourcer til at håndtere den. 

Heldigvis er der hjælp på vej, for lige nu arbejder tre medarbejdere ansat af Kombit på at opbygge et fælles kommunalt Computer Emergency Respons Team. I spidsen for enheden - også kaldet KommuneCERT - står Mille Østerlund, chef for cyberservices. Forhåbningen er, at den nye enhed på sigt kan blive kommunernes cyber-livline. 

- Vi kommer aldrig til at kunne gardere os 100 pct, men vi bliver mere resiliente ved at arbejde sammen og hurtigt at dele viden, når noget opstår, siger hun.

Ondsindet aktivitet i vækst

Uopdagede sårbarheder i den kommunale digitale infrastruktur risikerer at efterlade porten til kritiske it-systemer og data pivåben for uvelkomne indtrængende med onde hensigter. Cybertruslen mod Danmark er stigende. 

Men hvad er hackernes foretrukne mål og metoder lige nu, og hvilke digitale døre står på klem? Hvor mange medarbejderes brugeroplysninger ligger og flyder på det mørke internet? Er der nogen, som forsøger at lirke et vindue op?

For den enkelte kommune kan det være en stor opgave at spotte egne sårbarheder og gardere sig mod angreb, der kan lamme systemer og kompromittere data. 

Mens de kommunale it-chefer i kor råber op om manglende ressourcer til at kunne tackle den stigende cybertrussel, viser tal fra Datatilsynet også, at den ondsindede aktivitet de seneste to år har resulteret i hundredvis af databrud i den offentlige sektor. 

I 2024 skyldtes 214 brud ondsindet aktivitet, i 2023 var det 221 og året før var det blot 50. 

Selvom antallet af indberettede databrud på grund af ondsindet aktivitet er steget markant de seneste par år, skyldes langt hovedparten af databrud menneskelige fejl, der kunne have været undgået, forklarer it-sikkerhedskonsulent i Datatilsynet Poul Erik Weidick.

Fejlene kan dog føre til yderligere problemer, påpeger han.

Har en medarbejder eller en borger først fået lækket sine persondata, får forbryderne mulighed for at kompromittere endnu mere, og så ruller lavinen.

- Persondata kan give adgang til penge og anden vinding. Kun fantasien sætter grænser for, hvad data kan bruges til, siger han.

Faktisk udgør cyberkriminalitet ifølge det amerikanske erhvervsmedie Bloomberg samlet set den tredjestørste økonomi i verden efter USA og Kina, og den ser kun ud til at vokse.

Samtidig øges risikoen for fejl, i takt med at flere og flere personoplysninger behandles og udveksles mellem stadig flere mennesker og systemer. Nogle gange går det for stærkt ude i kommunerne.

- Jo mere travlt, man har med at få noget fra hånden, jo nemmere kommer man til at glemme at tjekke, at man har gjort det rigtigt, siger Poul Erik Weidick.

“Sammen er vi stærkere”

Men hvis kommunerne slår sig sammen og deler viden, vil deres indsats i høj grad kunne løftes. Og det er der stor kommunal interesse for, nævner Mille Østerlund. 

Også formand for KL’s Arbejdsmarkeds- og Borgerserviceudvalg Peter Rahbæk Juel (S) har tidligere advaret om, at sårbare kommuner kan blive hackernes adgang til det offentlige Danmark, hvis ikke de bliver omfattet af den kommende cybersikkerhedslovgivning. 

Selv de sikreste kommuner har interesse i, at deres nabo har styr på cybersikkerheden. 

Derfor tøver Mille Østerlund heller ikke et sekund med at svare på, hvad kommuner får ud af at være med.

- De får et generelt højere niveau for cybersikkerhed på tværs, siger hun og understreger, at målet er at “være noget for alle 98 kommuner”. 

- Kommuner er så forbundne, at hvis der sker noget på Lolland, sker det sandsynligvis også i Aalborg. 

Overblik og hastighed

Grundlæggende handler initiativet om at få det bedst mulige overblik at agere ud fra, fortæller Mille Østerlund. Som central enhed vil KommuneCERT både kunne indsamle, vurdere og varsko om nye sårbarheder og hændelser, som er vigtige for kommunerne at forholde sig til. 

Opdager man, at noget er under opsejling ét sted, kan man advare andre, så de har mulighed for at sætte ind med afværgende foranstaltninger.

Samtidig kan enheden agere filter og sortere irrelevante indberetninger og varsler fra andre CERT’er eller åbne databaser fra, så hver enkelt kommune ikke behøver at bruge tid på at forholde sig til dem.  

Tror man imidlertid, at kommunens egne it-medarbejdere så kan læne sig tilbage og lade KommuneCERT stå for cybersikkerhedsarbejdet, tager man fejl. I hvert fald som udgangspunkt.

- Den sørgelige besked er, at det kan risikere at skabe mere arbejde lokalt, siger Mille Østerlund, for med større videndeling og mere monitorering vil nogle opdage flere cyberhændelser, der skal håndteres og flere huller, der skal lappes.

Det betyder samtidig, at man måske får belyst en del af det meget store mørketal, der ifølge Mille Østerlund er på området. Selv finder hun det påfaldende, at de kommuner, som rapporterer flest cyberhændelser, befinder sig omkring midten på skalaen for cybersikkerhed, mens dem, der er dårligst, rapporterer færrest. 

- Det skyldes nok ikke, at de ikke har nogen, men at de ikke ser dem, siger hun.

Vil kun lave noget, kommunerne efterspørger

Hos KommuneCERT forestår et større arbejde med at finde ud af, hvor man skal sætte ind for at give størst værdi, og det skal kommunerne være med til at bestemme. 

- Vi laver kun det, som kommunerne efterspørger, siger Mille Østerlund.

Selv forestiller hun sig, at enheden skal kunne rådgive om alt fra, hvordan man overvåger og får styr på sit netværk og sine digitale aktiver, hvordan man laver god informationssikkerhed og uddanner personale, og hvordan man kommer tilbage i drift, hvis man har været sat ud af spillet.

- Det er ikke nødvendigvis klogt med 98 forskellige processer, bemærker hun. 

Allerede nu kan kommuner kvit og frit gøre brug af de tre ydelser, som KommuneCERT indtil videre har på hylden for at teste, om de giver værdi: Scanning for sårbarheder, en varslingstjeneste og et eftersyn af, om man rent faktisk anvender de sikkerhedsfeatures, som man betaler Microsoft for.  

Umiddelbart fine muligheder at benytte sig af, for ifølge Poul Erik Weidick er en del af de systemer, som kommunerne anvender, meget gamle og ikke sikret mod nedbrud og utilsigtet adgang, ligesom der i nogle tilfælde ikke er lavet tilstrækkelige risiko- og konsekvensanalyser.

- Man er nødt til at kende risici for at kunne gardere sig imod dem. Verden ændrer sig, og banditterne bliver dygtigere, siger han.