”Det er vigtigt, at vi forstår problemet. At cybertruslerne hele tiden vokser sig større. Vi ser kommunerne blive ramt af cyberangreb. Vi ser staten blive ramt. Vi ser store virksomheder bliver ramt. Det er ikke længere et måske. Der er tale om hvornår,” siger KOMBITs direktør Kristian Vengsgaard.
KOMBITs udgangspunkt er, at der er nogle opgaver, som skal løses. ”Vi skal ikke tage udgangspunkt i pengene. Heller ikke i, hvor opgaven skal placeres. Vi skal tage udgangspunkt i, hvordan vi bedst muligt kan stå imod den trussel vi står overfor,” siger han.
Danmark er verdens mest digitale samfund, og det land i verden, der har den største tilgængelighed af digitale serviceydelser. FN har netop placeret Danmark øverst på skamlen blandt 193 lande for fjerde gang i træk. Når det kommer til cybersikkerhed, ligger Danmark nummer 32 lige i hælene på Kasakhstan. ”Det er to vidt forskellige verdener, som ikke hænger sammen. Hvis vi vil være verdens mest digitale samfund, så skal vi også være verdens mest cybersikre land. Det vil give mening,” siger Kristian Vengsgaard.
Det er farligt at ignorere cybertruslen.
12 gange minimumsimplementering
Kristian Vengsgaard mener, at EU-lovgivningen om NIS2 – beskyttelsen af den kritiske infrastruktur – er et overordentligt klogt og gennemtænkt direktiv for cybersikkerheden.
”Vi synes, at kommunerne også skal være omfattet helt og fuldt af NIS2. Men den danske regering bruger ordet minimumsimplementering 12 gange i lovteksten om NIS2, og det er helt skævt. Det rejser to problemstillinger”.
”Den ene er, når man laver et sektoransvar og samtidig kalder det for minimumsimplementering vedrørende kommunerne, så betyder det for kommuner, at de bliver ramt som sektorer. Så i stedet for at kommuner bliver helt og fuldt omfattet af NIS2, og at alle kommunens data og systemer og medarbejdere bliver en del af NIS2, så laver man siloer, der går på tværs i kommunerne og rammer dem vidt forskelligt.
Jo mindre en kommune er, desto hårdere rammer siloerne, hvor der sidder en halv medarbejder med et sektoransvar og en halv stilling uden sektoransvar”.
”Minimumsimplementeringen af NIS2 svarer til at presse siloer ned i kommunernes organisation, og det skaber en masse uhensigtsmæssigheder. Det kan gøre, at kommunerne skal leve op til NIS2 med den ene hånd og ikke med den anden. Det vil kunne give en masse diskussioner om, hvilken hånd er vi nu? Og det er her jeg ser risikoen ved at minimumsimplementere. Kommunerne kommer til at bruge en masse kræfter på, hvor man ikke er omfattet. Så man løber rundt om den varme grød. Det er ikke godt for cybersikkerheden. Det vil være langt bedre for alle og mere økonomisk forsvarligt, hvis alle kommuner er fuldt omfattet af NIS2 implementeringen,” siger Kristian Vengsgaard.
Regeringen har foreløbigt besluttet ved den nationale implementering af NIS2 direktivet, at kommunerne i princippet er uden for NIS2, og at kommuner kun skal omfattes af de nye krav i det omfang, de har aktiviteter inden for kritiske sektorer som sundhed, fjernvarme, drikke- og spildevand og affaldshåndtering.
I praksis tvinger det kommunerne til at arbejde, som om de var fuldt omfattet, fordi det ifølge Kristian Vengsgaard mange steder både er organisatorisk og teknisk umuligt at lave den sektorspecifikke opdeling, som regeringen med minimumsimplementeringen lægger op til.
”Det, vi er nervøse for, når vi ikke er en del af lovgivningen, er, at vi ikke har samme power og en stemme i den faglige diskussion. Når vi læser NIS2, så bliver kommunerne modtager af hvad sundhedsområdet som sektor siger, at NIS2 skal forstås. Vi får ikke den faglige diskussion og vi synes det er et problem, at der ikke er et forum, hvor kommunerne deltager,” siger Kristian Vengsgaard.
Kommunerne ligger i slipstrømmen af de hårde sektorer, og problemerne for de danske kommuner er, at de risikerer at stå udenfor sektorernes dør. Det er politi, forsvar, energi og sundhed. Men for kommunerne er det vigtigste, beskyttelsen af borgernes data.
”Hånden på hjertet. Seks ud af 10 offentligt ansatte er kommunalt ansatte. Det er kommunerne, der sørger for at de ældre får deres mad. Det er kommunerne, der passer vores børn. Og det er her, at borgerne møder myndighederne i de digitale løsninger, som vi har et fælles ansvar for at beskytte. Vi er nødt til at tale om samarbejdet. Man kan ikke sidde i staten og sektoropdele kommunerne. Og holde hele det kommunale beredskab inklusive cybersikkerhed udenfor,” siger Kristian Vengsgaard.
KommuneCERT
En CERT - Computer Emergency Response Team - er en enhed, der laver netværksovervågning og andre typer af overvågning for at kunne opdage og analysere trusler mod netværk og infrastruktur, så sikkerheden kan øges.
”Vi har tidligere talt om et cyberværn. Det er måske lidt mere diffust, og vi har set en række CERTER dukke op i landskabet. En SektorCERT, en SundhedsCERT – og vi prøver at dreje vores indsats over mod en sådan CERT, fordi det rammer ganske godt det, vi gerne vil på det kommunale område. Det sker i fortsættelse af det arbejde vi hidtil har lavet”.
”Altså, man kan sige, det kommer an på, hvor stort det bliver, hvor bredt det bliver, og hvor langt det går ud i det kommunale landskab. Der er en del områder vi godt kunne implementere i en KommuneCERT – uden at vi kommer med i NIS2. Det gælder for eksempel datadeling, udfordringer inden for cybersikkerhed og deling af kommunespecifikke trusler og sårbarheder på tværs af kommunerne. Det er der ikke nogen, der gør på nuværende tidspunkt. Men NIS2 er jo lovkrav og dermed ikke noget man sådan bare ønsker at gøre noget ved. En KommuneCERT er en aftale, hvor vi ønsker at gøre noget i samarbejde. Jeg har ingen grund til ikke at tro, at vi kan være fælles om det og bidrage til det. Men jeg vil stadig kæmpe for at kommunerne kommer med i NIS2. Og jeg vil også kæmpe for at kommunerne får deres egen CERT,” siger Kristian Vengsgaard.
Kristian Vengsgaard vurderer, at opbygningen af en fælles cyberløsning for kommunerne vil koste op mod 1 mia. kr. plus det, kommunerne selv skal bruge.