Cybertruslerne banker på hos kommunerne. IT- og digitaliseringschef Henrik Brix, Favrskov Kommune, siger, at der næppe går en dag uden, at cybertruslen vendes og drejes blandt kollegaer. Især har Europas konflikt med Rusland, skærpet opmærksomheden i kommunen. EU har netop vedtaget NIS2-direktivet som udvider kravene til cybersikkerhed. Og selvom det ikke er besluttet, at kommunerne er omfattet af NIS2-direktivet, “er der ingen vej udenom”, ifølge Henrik Brix.
Efter Ruslands invasion i Ukraine i 2022, fylder IT-sikkerheden langt mere i landets kommuner. Ifølge IT-og digitaliseringschef Henrik Brix, Favrskov Kommune, er cybertruslen et emne, der tales om dagligt i kommunerne på grund af de mange forsøg på angreb.
Det har gjort, at Favrskov Kommune har sat en række tiltag i gang for at beskytte data bedre.
“Først har vi en mere omfattende sårbarhedsscanning. Hvor er de huller i vores netværk og systemer, som hackerne leder efter til at bryde ind og få adgang. Vi har også iværksat geoblocking. Det vil sige, at IP-adresser fra seks-otte lande bliver automatisk blokeret af serverne. Og vi har gennemført mere overvågning af en række it-systemer. Det, vi ikke kan vide, er, om det er nok. Det er det formentlig ikke,” siger Henrik Brix.
Samme dag som interviewet havde en russisk hackergruppe væltet Finansministeriets hjemmeside og gennemført angreb mod syv banker, herunder Nationalbanken.
“Vi har også strammet op på vores interne procedurer for vores udstyr. Vi tager en retning mod “nul tillid”, vi stoler ikke på nogen, og hver gang en bruger logger på, skal du identificere dig yderligere. Det er lidt mere besværligt og lidt mere bøvlet, men der er ikke andet at gøre. Det er en omkostning ved at digitalisere så meget, når truslerne vokser. Da cybertruslen flytter sig til det værre, er vi nødt til løbende at justere vores politikker på en række områder f.eks mere sikkerhed ved log-in,” siger Henrik Brix.
Senest har Center for Cybersikkerhed hævet sit trusselsniveau fra middel til høj. Lampen blinker rød. Trusselsniveauet er stigende og især den russiske hacktivisme, som er en slags “politisk selvtægt”, er om sig.
“Foran vores fysiske dør, står politiet og forsvaret. Foran vores firewall er der ingen vagt. Det skal vi selv sørge for. Man kan diskutere hvad en sikkerhedshændelse er. Hvis phishing, som er den mest udbredte cybertrussel med 69 pct. i PwC´s survey, er, at vi har modtaget en mail, der forsøger at få en medrbejder til at klikke på et link, så vil jeg sige, det sker hver dag og er tættere på 100 pct. Men hvis medarbejderen ikke klikker på linket, er der ingen skade sket. Så alvorligheden i angrebene er meget forskellig. DDoS er jo ikke kompromittering af data. Det er snarere en slags sabotage,” siger Henrik Brix.
Phishingangreb er det mest udbredte for alle tre sektorer.
“Det er genkendeligt. Jeg noterer mig, at det offentlige har flere fejl forårsaget af leverandører. Utilsigtet deling af følsomme oplysninger er relativt stor hos offentlige brugere. Vi behandler mange følsomme oplysninger, så det er nok naturligt, at det forholder sig sådan, men det er naturligvis ikke i orden”.
Flere penge til sikkerhed
NIS2-direktivet skal implementeres i dansk lov. ”EU-medlemslandene har vedtaget NIS2-direktivet, der udvider kravene til cybersikkerhed og sanktionerne ved manglende overholdelse af disse for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene.”
“Endnu er det ikke helt afklaret, om kommunerne bliver omfattet men det forventer jeg. Der er ingen vej udenom, selv om der er nok at lave uden,” siger Henrik Brix.
Kommunerne kommer til at bruge flere ressourcer og penge på sikkerhed.
“Budgetterne er ikke hævet endnu. Men vi skal igang med samarbejdet med DCIS Sund, og det kommer til at koste penge. Vi kommer til at bruge flere ressourcer – men det er svært at finde pengene, da de skal tages fra noget andet. Nogle vil formentlig blive taget fra digi- talisering og flyttet over til IT-sikkerhed visse steder. Jeg kan ikke se, hvorfor kommunerne ikke skal være med i NIS2. Kommunerne dækker en række samfundskritiske områder, som kommunal hjemmepleje og arbejdsmarked. Det første step er tilslutning DCIS Sund, og det skal gennemføres i samarbejde mellem alle 98 kommuner. Det har jeg ret store forventninger til,” siger Henrik Brix.
I PwC´s Cybercrime Survey af 2022 falder kommunerne dårligere ud end de øvrige sektorer. Det er jo ikke kvaliteten af sikkerhedsarbejdet, der spørges ind til. Det er tilliden til til kommunernes evne til at beskytte data.
”Omkring GDPR-compliance og cybersikkerheden er det et faktum,
at kommunerne behandler mange flere persondata, altså følsomme persondata, end de fleste andre sektorer.” Det er jo også en af forklaringerne på, at utilsigtet deling af følsomme personoplysninger eller anden følsom information er højere, fordi andelen af følsomme data er langt højere end staten. Kommunerne er den sektor, der har kontakten med borgerne, hvor sikker behandling af følsomme oplysninger er en del af kerneydelsen. Men når det er sagt, kan det også blive bedre,” siger Henrik Brix.
Kommunerne ser en mindre i fremgang i 2022 i forhold til 2021. Men ligger stadig dårligere end staten og den finansielle sektor.
Af en leverandøropgørelse fra IDC Nordic fremgår det, at finanssektoren bruger minimum fire gange så meget på eksterne leverandører end det offentlige gør.
“De flere penge, som den finansielle sektor investerer pr. medarbejder, kan også være en grund til, at folk har mere tillid til databeskyttelsen,” siger Henrik Brix.