Danmarks digitale sikkerhed er truet. Center for Cybersikkerhed (CFCS) vurderer i deres seneste trusselsvurdering for Danmark, at truslen for cyberspionage og cyberkriminalitet er ”meget høj” og at truslen for cyberaktivisme er ”høj”. CFCS vurderer at truslen er vedholdende og stigende, bl.a. med baggrund i krigen i Ukraine.
Der findes ikke et mirakelmiddel mod denne situation. Sikkerhedsfolk arbejder med beskrivelsen, at der skal arbejdes med mange lag. Der er huller i hvert lag. Lægges tilstrækkeligt med lag oven på hinanden, vil lagene dække over hinandens huller. Alt efter hvor meget man investerer af arbejdskraft, teknologi og flid i hvert enkelt lag, des færre huller bliver der igennem lagene.
Arbejdet hidtil i kommunerne
I kommunerne har der igennem mange år været arbejdet med forskellige lag af sikkerhed. De tekniske lag er f.eks. firewall, segmentering af netværk, backup og brugerstyring. De procesmæssige lag er afprøvning af beredskabsplaner, genskabelse fra backups, ændringsstyring mv.
De seneste år har ”papirsikkerheden” fyldt mere. Persondataforordningen har stillet krav om fortegnelse, risikovurderinger samt konsekvensanalyser hvor det er nødvendigt for at reducere for høje risici. Politikker, roller og actioncards er udformet efterhånden som modenheden er steget. Papirsikkerhed kræver en større modenhed i organisationerne, for at man kan få gevinst af de tiltag.
Ovenstående tiltag har alene internt sigte. Dvs. de er rettet imod egen organisation. Evnen til at opdage sikkerhedsbrud, igangværende eller under opsejling, ser kun indad på egne data og trafikmønstre.
Nye krav og tilgange
Drevet af regeringens øgede fokus på cybersikkerhed, har sundhedssektoren som de første tænkt kommunerne med i nationale tiltag. Sundhedssektoren er kendetegnet ved en høj grad af digitalisering med stadig mere samarbejde om behandling og pleje af patienter på tværs af myndigheder. Fælles digitale løsninger er afgørende for udviklingen af det sammenhængende sundhedsvæsen på tværs af hospitaler, praktiserende læger, bosteder og kommunale sundhedstilbud.
Samtidig er cyberkriminalitet en alvorlig trussel mod den højt digitaliserede sundhedssektor. Hver dag er der forsøg på cyberangreb mod både myndigheder, leverandører og borgere. Data i sundhedssektoren er værdifulde for kriminelle, da de kan bruges til afpresning, falske digitale identiteter og planlægning af målrettede angreb. På det kommunale sundhedsområde kan angreb på det fælles medicinkort i værste fald betyde, at borgere dør, hvis data ikke er tilgængelige eller bliver forvansket.
PwC rapport om cyberværn
I 2022 igangsatte KL et kortlægningsarbejde med PwC som udførende. Arbejdsgruppen havde flere møder, hvor alle kommuner var inviteret med, samt en referencegruppe bestående af 26 kommuner. PwC har nu leveret en rapport, der kommer med en række anbefalinger.
Rapportens hovedkonklusioner er, at:
1. Der er et stort behov for og ønske om, at kommunerne går sammen i et forpligtende samarbejde om at løfte cyberopgaven og styrke cyberværnet af alle de kommunale aktiviteter. Dels for at sikre et tilstrækkeligt fagligt niveau. Dels for at sikre en effektiv anvendelse af de samlede kommunale ressourcer og kompetencer.
2. PwC anbefaler fem trin for etablering af et fælleskommunalt cyberværn. De 5 trin er:
a. Kommunal tilslutning til DCIS Sund, der giver adgang til tværgående viden fra ”Opdage services” på sundhedsområdet.
b. Etablering af organisation til fælleskommunalt cyberværn og kommunal tilslutning til dette, herunder adgang til grundlæggende fælles kapaciteter med relevante kompetencer.
c. Fælleskommunalt cyberværn udbyder og implementerer ”Opdage services” for de tilsluttede kommuner. Alle kommunens områder er med her.
d. Kommunerne kan tilslutte sig ”Reagere” og eventuelt ”Gendanne” services via fælleskommunalt Cyberværn.
e. Kommunerne kan tilslutte sig yderligere services via fælleskommunalt cyberværn.
Cyberværn i flere ord
PwC rapporten peger på en række områder, hvor kommunerne med fordel kan styrke samarbejdet. Kompetencer inden for cyber- og informationssikkerhed er en mangelvare på det danske arbejdsmarked. At etablere en organisation med stærke kompetencer, der kan samle og facilitere udviklingen for kommunerne, vil derfor styrke både viden og udnyttelse af de eksisterende ressourcer (trin b).
At opdage, forebygge og reagere på cyberkriminalitet på tværs af landets kommuner, og øvrige offentlige aktører kræver, at der benyttes ny teknologi. Med udgangspunkt i DCIS Sunds viden om ”NDR ”-teknologien, påpeger rapporten en fordel i at bygge videre på det (trin a). Kort fortalt kan NDR-teknologien opbygge billeder af en normal trafik på indersiden af hver kommunes firewall. Afvigelser fra normalsituationen rapporteres til en central analyseenhed (trin c), der herefter kan afgøre hvad der vil være passende at gøre. Disse trin skal omfatte alle kommunernes arbejdsområder, ikke kun sundhedsområdet.
Anbefalingen er, at der til en start styrkes muligheden for at opdage mere og tidligere end i dag, men hvor de tilkoblede kommuner primært skal reagere lokalt. Med tiden kan der så udbygges yderligere med egentlige incident response teams (trin d), der kan hjælpe med at gendanne og reagere på angreb.
Hvordan kommer vi til at bruge PWCs analyse og anbefalinger?
Den endelige plan for 2023 og frem er ikke lagt endnu, da der fortsat er nogle elementer der skal fastlægges. Og de forskellige veje skal drøftes.
Den første væsentlige beslutning der skal træffes er, om der er politisk opbakning til at arbejde videre med at etablere et kommunalt samarbejde på området, der principielt omfatter alle 98 kommuner. Hertil skal den gode organisering for samarbejdet findes. Det kan være en forening som det Fælleskommunale Databehandler Sekretariat, det kan være KOMBIT der varetager opgaven, men der kan også være andre modeller.
I KL er vi i gang med at afklare den politiske opbakning til at arbejde videre med et kommunalt cyberværn. Når dette er afklaret og såfremt der er opbakning, vil der skulle arbejde med at finde ambitionsniveauet for samarbejdet. Skal der startes med de tre første trin (a – c) i PWC’s rapport, eller skal vi gå hele vejen med det samme? Hvad er økonomien bag hvert trin? Og hvordan finansieres det?
Hvis det besluttes at arbejde videre med et fælleskommunalt samarbejde på cyber- og informationssikkerhedsområdet, skal det også afklares hvordan der sikres kompetencer til samarbejdet, juridiske aspekter omkring datadeling, tilslutningsaftaler, driftsaftaler mv. Herunder om en del af disse opgaver skal afløftes med udbud.