Trusselsniveauet mod kommunerne med tusindvis af daglige forsøg på cyberangreb stiger hastigt. ”Det gør kommunernes indsats med forbedret cyberforsvar også. Men ikke lige så hurtigt som truslerne og angrebene,” siger formand Henrik Brix, KITA, IT- og digitaliseringschef i Favrskov Kommune.
”Gabet vokser og vi har et efterslæb,” siger Henrik Brix. Kommunerne sakker bagud i forhold til de udefrakommende trusler fra hackere, der i mange tilfælde er finansieret af udenlandske stater, som fx har interesser i krigen i Ukraine. Da Danmark er et af verdens mest digitale samfund, er Danmark og kommunerne et oplagt angrebsmål for hackere. Der er milliarder og atter milliarder af personlige data opbevaret på servere og i skyen, som bliver beskyttet af danske myndigheder. Der er tale om et digitalt våbenkapløb mellem kommuner og udenlandske hackere. Det stigende trusselsniveau omfatter også regioner og statslige myndigheder og private virksomheder.
”Som kommuner er vi hver for sig for små til at kunne beskytte os. Jeg mener, vi er nødt til at løse det ved at samarbejde i et fællesskab. Vi har behov for en KommuneCERT (Computer Emergency Response Team) – med overvågning 24x7 og som er operationelt – og som kan hjælpe kommunerne både før, under og – på sigt - efter et angreb foran vores fysiske hoveddør passer politiet, forsvaret og civilforsvaret på os. Foran vores digitale hoveddør er vi overladt til os selv” siger Henrik Brix.
Han understreger, at KommuneCERT fortsat er et emne, der endnu ikke er fuldt afklaret. Der foregår løbende debatter på området. Finansieringen er endnu ikke afklaret. En CERT er en enhed, der håndterer it-sikkerhedshændelser og reagerer på cybertrusler.. Og en KommuneCERT – er en fælleskommunal enhed til at beskytte alle 98 kommuner.
”Jeg bakker op om en KommuneCERT... Og jeg mener, at KOMBIT er det rigtige sted at placere en KommuneCERT,” siger Henrik Brix. ”Det skal så afklares, hvad der skal opbygges i KOMBIT, hvad der evt. skal købes i markedet eller etableres på anden vis.”
SOC/SAC
En af de diskussioner, der også pågår i forbindelse med CERTEN, er om de konkrete services. Der er to grundlæggende retninger. Den ene er Security Operations Center (SOC) og den anden er Security Analysis Centre (SAC).
”En SAC i KommuneCERT er ikke tilstrækkeligt. Jeg støtter helt klart en SOC. Vi har brug for en KommuneCERT med en SOC. Vi er nødt til at have en operationel enhed, som ikke kun analyserer data, men som også kan træde til i forbindelse med et hackerangreb. Hvis borg-
mesterens e-mail er hacket kl. 3 om natten, er det vigtigt, at der er en cyberenhed, der kan kontakte kommunen så der fx kan blive lukket ned for kontoen eller for internetet. Det er ikke nok at få at vide, at der har været et angreb. Der skal også reageres på det,” siger Henrik Brix.
Finansiering
IT- og digitaliseringschefen holdt en præsentation om de udefrakommende cybertrusler for byrådet i Favrskov Kommune i september. Det er siden blevet fulgt op af en bevilling i Økonomiudvalget med 1 million kroner ekstra om året de kommende år.
”Det skal ses i lyset af, at kommunernes cyberforsvar, herunder også Favrskov Kommunes, på nuværende tidspunkt ikke lever op til alle anbefalingerne og de standarder, som bl.a. KL vurderer er nødvendige for at sikre et tilstrækkeligt cybersikkerhedsniveau”.
”I tillæg til ovenstående er der et lovforslag på vej fra Forsvarsministeriet (NIS2 red.), som kan betyde, at kommunerne bliver underlagt skærpede krav til cyber- og informationssikkerhed i forhold til kritisk infrastruktur Hertil skal det dog bemærkes, at der forventeligt vil blive afsat penge til implementering og drift i kommunerne, og i så fald vil denne udvidelsesblok tilsvarende blive reduceret”.
”På sundhedsområdet er der desuden kommet krav om, at kommunerne skal tilsluttes det centrale analysecenter for cyber- og informationssikkerhed i sundhedssektoren (DCIS Sund red.) som har til opgave at overvåge cyberhændelser på sundhedsområdet i kommunerne. I relation hertil arbejder KOMBIT og KL for at etablere et fælleskommunalt overvågningscenter for cyberhændelser, der varetager opgaven for kommunerne for alle de kommunale områder,” skriver skriver Henrik Brix til Økonomiudvalget.
Henrik Brix: ”Jeg er godt tilfreds med, at Favrskov Kommune løfter cyberforsvaret i kommunen. Men jeg er stadig ikke tilfreds med, at Forsvarsministeriet fortsat holder kommunerne ude af NIS2. Derfor bliver der lagt så meget op til en lokalpolitisk prioritering. Jeg er overbevist om, at mindst halvdelen af kommunerne ikke investerer tilstrækkeligt i cyberforsvar, derfor kan vi meget nemt risikere at få et uensartet niveau for kommunalt cyberforsvar og forsvar af digital infrastruktur. Det er derfor KommuneCERT bliver så vigtig for at sikre at alle kommuner bliver en del af et samlet cyberforsvar.”
Placering
Når Henrik Brix mener, at KOMBIT er det bedste sted at placere KommuneCERT, er det ikke nødvendigvis det samme som, at alt skal placeres i Halfdansgade. Men KÒMBIT kan lægge rammerne på plads og have en styrende rolle. De har KOMBIT temmelig stor og god erfaring med fra de mange store it-udbud. KOMBIT kan måske sende dele af opgaven i udbud – og måske vælge to eller flere leverandører som kommunerne kan vælge mellem.
”Jeg kan sagtens se for mig, at KOMBIT kan etablere en SOC-
funktion. De kan også godt have SAC-funktionen. Men en model
kan også være, at KOMBIT spørger markedet, der også kan byde ind med en beredskabsaftale. Det, der er vigtigt, er, at kommunerne samarbejder og at KOMBIT på fællesskabets vegne sikrer den bedste løsning, som kommunerne kan tilslutte sig. Det er noget, der skal bygges op”.
”Helt lavpraktisk har vi som kommuner en driftsaftale med tele- eller energiselskaber inden for fiberkabler. Hvis der sker en overgravning af et fiberkabel og internettet ryger, har vi en vedligeholdelsesaftale, der siger, at vi inden for tre timer skal være oppe at køre igen. Det vil være en mulighed at kunne gøre noget tilsvarende på cyber og digital infrastruktur.”
”Det er helt umuligt for os som kommuner at rekruttere de specialister, der er brug for i forbindelse med cyberforsvar. Derfor mener jeg også at det er relevant, at en KommuneCERT etablerer et videns-
delingsforum, hvor vi deler vores viden på tværs i sektoren. Det er oplagt at KOMBIT også får den opgave,” siger Henrik Brix.