Staten sylter stadig kommunal cybersikkerhed
Staten sylter stadig kommunal cybersikkerhed
Kommuner må selv bøvle med og sikre sig mod hackere og hackerangreb. Kommunerne er hverken inkluderet i den nationale strategi for cyber og informationssikkerhed eller Cybersikkerhedsrådet, som regeringen har nedsat.
Den nationale strategi og Cybersikkerhedsrådet er ellers nedsat til at ruste Danmark mod angreb. Sikre sårbarheder, samfundskritiske sektorer og styrke den nationale koordinering.
Men skiftende regeringer har ikke medregnet kommunerne i den nationale strategi.
Det har løbende fået flere it-eksperter til at råbe op: Kommunerne er vigtige at sikre. Allerede ved den nationale strategi fra 2018 begyndte eksperter at advare om konsekvenserne ved at udelukke kommunerne fra strategien.
Regeringen præsenterede i september det nye kommissorium, der skal udgøre arbejdet mod en ny strategi for 2021. Her er kommunerne endnu en gang udeladt. Det får flere eksperter til igen at løfte pegefingeren. En af de eksperter er Bjarke Alling, der er formand for Cybersikkerhedsrådet og koncerndirektør i it-sikkerhedsvirksomheden Liga.
- Der er gået tre år nu, hvor kommunerne ikke har været med. Strategien bør leve op til sit navn. Den er ikke for alvor national uden kommunerne. Det er en fejl, at kommunerne ikke er en del af strategien, og at der ikke er samme fokus på at sikre dem, siger han.
Hackerangreb kan have fatale konsekvenser
It-eksperten Jacob Herbst, der er Chief Technical Officer hos it-sikkerhedsvirksomheden Dubex og medlem af Cybersikkerhedsrådet, mener også, at kommunerne bør være en del af den nationale strategi.
- Hele kommunalområdet er ikke med i den nuværende strategi. Og det er en stor mangel. Hvis man ser på Danmark som digitalt samfund, så ligger en stor del af vores borgerkontakt hos kommunerne. De har mange følsomme data om borgerne, som kan være interessante for både it-kriminelle og fremmede efterretningstjenester, siger han.
- Informationerne kan bruges til alt fra økonomisk kriminalitet, identitetstyveri og afpresning. Det ville være naivt at tro, at danske kommunere ikke også er udsat for cyberangreb.
Så snart man sætter kommunerne, regionerne og staten i et lokale, så starter der en økonomidiskussion
Tidligere forsvarsminister Claus Hjort Frederiksen (V) argumenterede tilbage i 2018, hvor den første nationale strategi blev fastlagt, for at kommunerne kunne undværes. Danmark bryder ikke sammen, hvis en enkelt kommune bliver ramt af et angreb. Ifølge ham skulle kun det allermest samfundskritiske infrastruktur sikres.
Men den køber eksperterne ikke. Det kan have fatale konsekvenser, hvis kommunernes it-systemer bliver lammet, mener Bjarke Alling.
- Det kan godt være, at Danmark ikke går under, hvis en kommune bliver ramt af et cyberangreb. Men lokalt vil det have kæmpe betydning. Tænk bare, hvis ældreplejen bliver ramt, eller en socialmedarbejder ikke kan tilgå borgernes medicinlister, siger han og henviser til, at en tysk kvinde for nyligt døde som følge af et hackerangreb, der satte it-systemerne og planlagte operationer på et hospital i Düsseldorf ud af spil.
- Det kunne sagtens være sket i Danmark. Der er brug for, at kommunerne bliver en del af strategien og sidder med i rådet.
Politisk forhandlinger og spørgsmålet om penge
Thomas Kristmar, der er senior manager hos KPMG, medlem af Cybersikkerhedsrådet og tidligere afdelingschef i Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, mener, at kommunerne bør blive underlagt samme krav, som de statslige myndigheder skal opfylde som led i strategien.
Selvom kommunerne bliver pålagt at arbejde med cybersikkerheden gennem den fælles offentlige digitaliseringsstrategi, så er det langt fra nok, mener han.
- Det er ikke specielt ambitiøst. Kommunerne mangler et væsentlig længere stykke for at kunne nå op på samme sikkerhedsniveau som staten. Men der er ikke det samme pres på at øge sikkerheden hos kommunerne qua det kommunale selvstyre, siger han og fortsætter:
- Det ville være tiltrængt, hvis KL bed til bolle og tilsluttede sig de statslige sikkerhedskrav. Men mit indtryk er, at både staten og kommunerne frygter at være den part, der kommer til at ende med regningen, hvis kommunerne skal pålægges at opfylde sikkerhedskrav, siger han.
Hvis man ser på Danmark som digitalt samfund, så ligger en stor del af vores borgerkontakt hos kommunerne. De har mange følsomme data om borgerne
De to andre eksperter peger begge på samme problem. Cybersikkerheden skal ikke syltes på grund af politiske forhandlinger og spørgsmålet om, hvem der betaler prisen.
- Cybersikkerheden i kommunerne handler om at sikre borgernes data, og det handler om tillid. Men så snart man sætter kommunerne, regionerne og staten i et lokale, så starter der en økonomidiskussion, siger Bjarke Alling.
- Men det er vigtigt diskussion at have. Der er brug for, at kommunerne er med i strategien. Der er stor forskel på hver af de 98 kommuners ambitionsniveau i forhold til at sikre mod cyberangreb.
It-ekspert Jacob Herbst mener også, at man bør finde en løsning så kommunerne kan komme med og deltage i det nationale samarbejde.
- Det, jeg hører, er, at kommunerne forventer, at der følger en pose penge med til at sikre cyberforsvaret, hvis de skal indgå i den nationale strategi. Økonomi er naturligvis vigtig, men lige nu er det vigtigere, at der kommer en strategi og fælles krav, der omfatter hele den offentlige sektor inklusiv kommunerne, så vi som borgere kan være sikre på, at vores data er ordentligt beskyttet og fortsat kan have tillid til den offentlige sektor, siger han
Kommunerne skal komme på forkant
Selve strategien byder blandet andet på 25 konkrete indsatser og initiativer. Blandt dem er, at statslige myndigheder er underlagt lovpligtige minimumskrav for it-sikkerheden. At samtlige statslige medarbejdere har modtaget efteruddannelse i it-sikkerhed, er en anden af indsatserne.
Hvis kommunerne kom med i det nationale fokus på cybersikkerhed, kunne det bringe kommunerne på forkant i forhold til mange af de slags angreb, som virksomheder, organisationer og myndigheder hver dag oplever. Det handler om at komme på omgangshøjde med udviklingen, mener Bjarke Alling.
- Jeg plejer at sige, at det tog ti år at få og udbrede det internet, vi har i dag, ti år med angreb og nu ti år igen at sikre det. Det er ikke nemt, men det handler om at kunne håndtere trusselsbilledet, siger han.
KL har ikke reageret på henvendelser fra Kommunen.dk inden deadline. Kommunen.dk har forsøgt at få en kommentar fra Forsvarsministeriet. Ministeriet henviser til Digitaliseringsstyrelsen. Det har dog ikke været muligt at få et svar fra styrelsen inden deadline
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens § 11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele Kommunen.dks artikler internet til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele Kommunen.dks artikler med personer, der ikke selv har et personligt abonnement på kommunen.dk
Afvigelse af ovenstående kræver skriftlig tilsagn fra det pågældende medie.