Truslerne udefra mod landets kommuner kalder, ifølge tidligere direktør Stig Lundbech, Koncern IT i Københavns Kommune, på at landets kommuner arbejder tættere sammen om cybersikkerheden. “I Københavns Kommune vil vi gerne dele viden med andre kommuner, og det er nemmere for kommuner at finde de kompetente medarbejdere, når de samarbejder,” siger han.
Stig Lundbech opfordrer kommuner til at arbejde tættere sammen om cybersikkerhed, da truslerne udefra fra organiserede kriminelle og andre er stærkt stigende. Opgaverne med at overvåge digital infrastruktur og at kunne reagere korrekt på trusler og cyberangreb er stor og kompleks. Derfor er der ræson i for kommunerne at gå sammen om at løse disse opgaver. Det handler for it-koncerndirektøren ikke om at skabe et stort fællesskab, men kan sagtens ske ved at kommuner finder sammen lokalt, nøjagtigt som det er sket i forbindelse med it-driftsfællesskaber. Cyberområdet lægger sig naturligt ovenpå it-driften, derfor vil driftsfællesskaber naturligt kunne tage området ind.
Stig Lundbech: “Der er mange andre områder, hvor kommunerne er gode til at dele viden. Cyberområdet kalder på lokalt eller regionalt samarbejde. Alle kommuner har den samme udfordring med at tiltrække kompetente medarbejdere på cyberområdet, og det er vanskeligt at opbygge kompetencerne internt. Så mere samarbejde mellem kommuner vil kunne lette begge dele”.
Kommunerne er ikke i konkurrence med hinanden. De har derimod en fælles forpligtelse til at beskytte borgernes og kommunernes data indenfor samfundskritiske områder, og derfor er det vigtigt at dele viden på tværs af kommuner og regioner og stat.
I foråret 2018 gennemførte Københavns Kommune den første analyse af kommunens cyberforsvar. Den viste et stigende trusselsbillede fra især organiserede kriminelle, cyberaktivister og såkaldte strejfere – dvs. utilsigtede, men alvorlige angreb. Analysen anbefalede en række tiltag for at sikre kommunen bedre mod det stigende trusselsniveau. Initiativet blev døbt cyberpakken og godkendt politisk af Borgerrepræsentationen. Fra en start blev der investeret omkring 15 mio. kr. i etablering og drift i 2018.
Siden har truslerne kun taget til. En analyse fra revisions- og konsulentvirksomheden PwC i 2021 viser, at to ud af tre organisationer investerer mere i cybersecurity.
Stig Lundbech: “Sikkerhedsområdet er et område, der løbende skal investeres i. Det er ikke nok at overvåge den digitale infrastruktur. Værktøjer til overvågning, der er tre år gamle, er ikke altid længere gode nok. Din organisation skal kunne filtrere udefrakommende trusler rigtigt. Det nytter ikke at få en alarm hvert tredje sekund. Vi kan blive druknet i ligegyldige alarmer. Overvågningen skal kalibreres, så man reagerer på de alarmer, hvor der er noget at komme efter. Det kræver interne kompetencer at kunne fintune den digitale infrastruktur”.
Brugernes adfærd
Cybersikkerhed handler også om, at brugerne har den rigtige adfærd. Både i forhold til at sikre it- infrastrukturen og deres personlige password på pc og andre enheder. Det skal sørge for, at den enkelte medarbejder er bevidst om at blokere for hackerangreb og phishing-forsøg. Dette kaldes under ét for awareness.
Københavns Kommune anvender Hoxhunt
Koncern IT igangsatte awareness-spillet fra Hoxhunt i foråret 2020. Formålet med spillet er at træne medarbejderne i at genkende phishing-mails. Det er stadig phishing-mails, der udgør den største del af kriminelles forsøg på at bryde ind. At lokke kommunens medarbejdere til at gøre noget forkert.
Hoxhunt-spillet går ud på, at medarbejderne samler point, når de fanger en falsk phishing-mail. Medarbejderen får installeret en Hoxhunt-knap i sin Outlook, hvorefter de modtager falske phishing-mails ca. hver tiende dag. Der gives point for at identificere og rapportere disse mails, og medarbejderen kan følge med i pointhøsten.
I maj 2022 er der lavet en opgørelse, som viser, at 12560 af Københavns Kommunes medarbejdere deltager i Hoxhunt-spillet.
Den samme opgørelse viser, at der hver måned er mellem 14-58 pct. af brugerne, som klikker sig ind på den første phishing-mail de modtager fra Hoxhunt-spillet. De opdager ikke, at mailen indeholder indikationer på at være en falsk mail. Brugerne bliver dog bedre over tid til at identificere dem. Når brugerne modtager den første mail fra Hoxhunt-spillet er det i gennemsnit cirka 18 pct., som ikke formår at identificere den som en falsk phishing-mail. Dette falder til cirka en pct., når brugerne har modtaget over 55 falske phishing-mails.
Inden Hoxhunt-spillet blev introduceret i Københavns Kommune, blev det aftalt med alle medarbejdergrupper, at der kun indsamles informationer på et overordnet niveau. Der indsamles ikke informationer om, hvordan den enkelte medarbejder klarer sig i spillet.
De phishing-mails, som medarbejderne har sværest ved at identificere som falske, er mails der påstår at vedrøre skift af kodeord eller trusler om fjernelse af eksempelvis Onedrive-konti.
Stig Lundbech fortæller, hvordan Hoxhunt spillet engang sendte ham en mail, hvor afsender udførte slægtsforskning og havde fundet ud af, at de var i familie med hinanden. Stig Lundbech hoppede ikke på limpinden. Han trykkede falsk. Det ærgrede ham dog lidt, da det var en person, han ville ønske, han var i familie med.
“Vi gør det udelukkende for at træne medarbejderne i at være på vagt. Da vi startede med Hoxhunt tilbage i 2020 havde vi betydeligt flere medarbejdere, der lod sig snyde af disse phishing-mails.”
I dag indrapporterer medarbejderne dagligt 150 phishing-mails – altså ikke de mails fra spillet.
E-læring i GDPR
Et andet emne er GDPR-reglerne, som EU satte i kraft den 25. maj 2018. Her har Københavns Kommune udviklet et e-lærings program.
Cybersikkerhed handler også om at sikre, at medarbejderne, som behandler personoplysninger, skal gennemføre et GDPR e-læringskursus. Modulet er udviklet af Serviceområde Sikkerhed i Koncern IT og tager medarbejdere og ledere igennem otte moduler, hvor et af modulerne udelukkende er for ledere. Modulerne gennemgår alt fra grundlæggende it-sikkerhed, databeskyttelse, håndtering af sikkerhedshændelser mm.
Kurset er en obligatorisk del af onboardingforløbet for alle it-brugere i Københavns Kommune. Medarbejdere skal gennemgå kurset igen, når der er gået to år, siden de sidst afsluttede kurset. I maj måned 2022 var omtrent 4900 medarbejdere tilmeldt GDPR e-læringskursus i Økonomiforvaltningen alene.
Stig Lundbech anslår at mere end 20.000 medarbejdere har gennemført GDPR-kurset.
Scanner ydersiden af forsvaret
Københavns Kommune bruger eksterne specialister til at scanne ydersiden af den digitale infrastruktur for at finde sårbarheder. Specialisternes arbejde består i at gøre det, hackerne gør, når de vil bryde ind. Overvågningen i Koncern IT finder mellem tre og fire nye kritiske sårbarheder pr. måned. Mellem 10 og 40 angreb med malware i mails stoppes dagligt af it-systemerne.
“Vi skal hele tiden opgradere. Det, der var godt for tre år siden, er sjældent godt nok længere. Hvis man sammenligner med nøgler, skal der hele tiden kigges på, hvor gode nøglerne er. I gamle dage var det Ruko-nøglerne. Så fandt vi ud af, at dem kunne tyvene dirke op. Så fik vi nogle større og bedre nøgler. Vi har eksterne firmaer til at scanne ydersiden af vores forsvar for at finde huller i vores netværk. De trykprøver vores sikkerhed. Det er også et område, hvor kommunerne med fordel vil kunne samarbejde. Vi skal ikke overinvestere. Vi er ikke politi, forsvar eller sundhed. Vi er kommuner. Derfor skal vi investere på det rette niveau,” siger Stig Lundbech.
Stig Lundbech er medlem af det nationale Cybersikkerhedsråd.
FAKTA
Københavns Kommune har 88 meget kritiske fagsystemer. I alt 700 systemer og applikationer
Mere end 25.000 pc´er og 22.000 mobile enheder og ligger på 1400 adresser
Modtager dagligt mellem 10-40 malware i mails, som it-systemer stopper
Kommunen finder tre-fire nye kritiske sårbarheder i gennemsnit pr. måned
150 brugere melder selv phishing-angreb ind dagligt
120 mio. sessioner mod internettet pr. måned. 5.000-6000 blokeret pga. mulige angreb
Stig Kundbech er ikke længere direktør i Koncern IT i Københavns Kommune. Han har siden 1. august 2022 været CIO hos Rigspolitiet.