Anders Ganer • 24 februar 2022

Kommunaldirektørens dilemma

Der er ingen tvivl om, at der stilles store krav til kommunernes informationssikkerhed, og at kravene vokser i samme takt som trusselsbilledet. Men der følger sjældent penge med øgede krav, og dermed bliver finansiering og opmærksomhed en del af det store nulsumsspil.

 

Det er en direktionsopgave at finde pengene til informationssikkerhed. Endda en særdeles vigtig en af slagsen. Endnu en…

På overfladen ligner alle kommuner hinanden.

Organisering og principper er beskrevet i en informationssikkerhedsstrategi med tilhørende bilag og håndbøger. Der er nedsat et informationssikkerhedsudvalg med en fagdirektør for bordenden og med bl.a. Databeskyttelsesrådgiveren og digitaliseringschefen som medlemmer. Udvalget skal så udmønte strategien i praksis og holde øje med at dette sker. Der holdes to-fire årlige møder.

Skibet er sat i søen.

 

Hvorfor i grunden? - og hvordan?

Borgernes tryghed

Nyere undersøgelser viser, at mange er utrygge ved det offentliges evne til at beskytte personoplysninger mod misbrug. Det offentliges succes står og falder med borgernes tillid.

Den tillid må vi ikke sætte over styr.

Borgerne forventer kommunal kontrol af, at medarbejderne ikke misbruger adgangen til personoplysninger. Også Datatilsynet forlanger, at der føres kontrol og at kontrollen dokumenteres. Her er en tillidsbaseret ledelse slet ikke tilstrækkelig.

Min anbefaling er at bygge kontrollerne ind i det ledelsestilsyn, der i forvejen findes i den enkelte kommune. Centralt forankret og lokalt udmøntet.

Så kan kontrollerne designes ud fra et fagligt og ledelsesmæssigt kendskab til området. Og da de fleste kommuner i forvejen har rutiner til at sikre sig, at der føres et økonomiske ledelsestilsyn, kan der blot tilføjes et ekstra emne.

Der vil sikkert lyde kritik fra både medarbejdere og mellem-

ledere om øget bureaukrati, papirnusseri, centralstyring etc. Men kommunalt ansatte har faktisk en meget høj faglig stolthed, og heri ligger bl.a. også, at man ikke snager i sager, som er en uvedkommende. Kontrolopgaven skal blot sælges på den rigtige måde. For det er jo en fornuftig kontrol!

 

Nemmere sagt end gjort

Stort set alle kommuner baserer sikkerhedsarbejdet på ISO 2700x-standarderne. Problemet er, at en del kommuner har været i gang i en årrække uden reelt at komme i mål.

Væsentlige områder af standarden er ikke dækket, forretningsgange er aldrig implementeret i praksis, dokumentationen er utilstrækkelig, kontrolmiljøer er aldrig etableret o.m.a.

Der er rigeligt med huller til at udgøre en væsentlig risiko.

ISO-standarderne indeholder en lang række fornuftige krav og anbefalinger, som kan reducere risikoen for tilgængelighed til systemerne eller tab/misbrug af data. Nogle af dem koster penge at føre ud i livet, mens andre kræver ressourcer og kompetencer, som kommunen ikke har. Derfor kan det trække ud med at få de nødvendige sikkerhedstiltag implementeret. Nemt er det ikke.

Den viden om tingenes konkrete tilstand tror jeg ikke, at kommunens topledelse nødvendigvis har.

Jeg kan i hvert fald ikke læse noget herom i årsrapporterne fra Databeskyttelsesrådgiveren til byrådet, men disse rapporter er jo oftest mere juridisk end teknisk funderet.

Min anbefaling er at få synliggjort over for kommunens topledelse, hvor man mangler at implementere væsentlige dele af informationssikkerhedsstrategien.

Den der har hånden på kogepladen, bør have en reel mulighed for at ændre både kurs og hastighed. Men det kræver at man kender positionen.

 

Risiko for pengeafpresning

– eller det der er værre?

Risikobilledet har ændret sig de seneste år. Hackere trænger ind, blokerer systemer eller offentliggør data og presser penge. Også hos det offentlige.

Men rigtigt mange kommuner mangler både konkrete sikkerhedstiltag og har utilstrækkelige beredskabsplaner på cyber- og informationssikkerhedsområdet. Man kan ikke gardere sig 100 pct., men det er ingen undskyldning for ikke at være langt bedre klædt på.

Regeringen har ganske vist i december 2021 fornyet den nationale strategi for cyber- og informationssikkerhed, men strategien omtaler primært en række statslige initiativer. Kommunerne er stort set ikke nævnt, men det fritager ikke den enkelte kommune for at være bevidst om egne styrker og svagheder.

Min anbefaling er at pålægge informationssikkerhedsudvalget at få ajourført kommunens risikobillede på cybersikkerhedsområdet og få det nødvendige beredskab på plads. Det er svært, det kan være utilstrækkeligt, og det koster penge. Men det er nødvendigt.

 

Men tilbage til kommunaldirektørens dilemma.

Ved du som kommunaldirektør rent faktisk, at din organisation har styr på risikobilledet, at kommunens sikkerhedsbestemmelser også afspejler virkeligheden, og at de overholdes i dagligdagen?

Er du i tvivl, så bed informationssikkerhedsudvalget om at redegøre for, hvordan og i hvilket omfang kommunen systematisk arbejder med risikoanalyser og hvordan resultatet heraf indarbejdes i den daglige drift.

Ved du, om der reelt bliver udført kontroller i et omfang, som tilfredsstiller både borgernes og direktionens forventninger og myndighedernes krav? Lærer kommunen af resultatet? Og kan kontrollerne dokumenteres udført.

Er du i tvivl, så bør informationssikkerhedsudvalget også her kunne give en status. Gerne en årlig en, som drøftes i den samlede direktion.

Selv om en af kommunens fagdirektører i forvejen er ”sat for bordenden” i informationssikkerhedsudvalget, så anser jeg det ikke som utidig indblanding, hvis kommunaldirektøren stiller ret konkrete spørgsmål. Det er tværtimod et udtryk for velmenende interesse.

Men forskellen kan nogle gange være hårfin…

 

Anders Ganer

Mangeårig erfaring som chefrevisor hos BDO og Kommunernes Revision

Nu selvstændig rådgiver om informationssikkerhed