Flemming Kjærsdam • 22 februar 2023

Kristian Vengsgaard, KOMBIT:“Lampen lyser rødt med rød på”

Cybersikkerheden og beskyttelsen mod udefrakommende cyberangreb er desværre mere aktuel end nogensinde før. Det er jo sådan, at Center for Cybersikkerheds risikovurdering er rød. Eller den er rød med rød på. Det kan næsten ikke blive værre,” siger CEO Kristian Vengsgaard, KOMBIT, som har overtaget stolen efter Thomas Rysgaard Christiansen.

 

Da Kristian Vengsgaard overtog jobbet efter Thomas Rysgaard Christiansen, hed det sig, at han skulle kunne sætte sit aftryk på den nye KOMBIT strategi. Men begivenhederne omkring KOMBIT har haft så meget fart på, at han tøver en kende med strategien og gerne vil tage kommunerne med på råd en ekstra gang.

KOMBIT blev sat i verden for at gennemføre Monopolbruddet. Det har vi afsluttet. Men vi har fortsat en stor opgave med at sikre, at den nye portefølje af løsninger, vi har indkøbt til kommunerne, kører optimalt og løbende bliver videreudviklet og fornyet. Og så er der kommet nye opgaver oveni. Så strategien kommer ikke til at skifte radikalt. Jeg tror den mulighed, vi står overfor nu, er, at vi kan dreje skarpere. Det betyder ikke, at vi skal dreje væk fra det, vi laver i dag. Men måske skal vi udvide vejbanen nu, hvor monopolbruddet er gennemført, og vi, med det store arbejde der er lagt i det, har skabt et meget stærkt fundament for KOMBITs fremtidige virke”.

Vi skal fortsat levere nogle ordentlige udbud i høj kvalitet og sørge for, at få leverandørerne animeret til den type initiativer, som i høj grad har med den gamle kerneforretning at gøre, og som fastholder konkurrencen på markedet. Men strategiprocessen giver også nogle nye muligheder, hvor eksempelvis KOMBITs implementeringsmandat bør komme til et eftersyn. Det er vi interesseret i, og det ved jeg også, at kommunerne er. Vi må jo erkende at leverancer til kantstenen” ikke altid er tilstrækkeligt for alle 98 kommuner – måske skal der hjælp til at installere vaskemaskinen de steder, hvor man ikke lige har en vvs-installatør i familien”.

I og med der kom et direktørskifte midt i strategiarbejdet, bad jeg og bestyrelsen i fællesskab om at få lov til at trække strategien en smule. Kunne vi sammen med kommunerne kigge på den igen? Det er så det, vi er i gang med nu. Vi har fået et mandat fra bestyrelsen til at undersøge, om vi kan gå endnu længere og endnu bredere ud med de opgaver, vi løser for kommunerne. Derfor tager vi en ekstra runde med kommunerne og sender en spørgeskemaundersøgelse ud, hvor vi spørger ind til, hvad de vil bruge KOMBIT til. Hvad kan vi gøre for dem? siger Kristian Vengsgaard.

Undersøgelsen skal give KOMBIT et dybere indblik i, hvilke forventninger kommunerne har, men også hvor kommunerne har udfordringer i forhold til kompetencer, demografi, brugen af data, cybersikkerhed, grøn omstilling og digitaliserings understøttelse generelt.

 

Tre udfordringer

Kommunerne står over for en økonomisk udfordring på socialområdet. Kristian Vengsgaard omtaler det som den nationaløkonomiske hængekøje”. Der er mange unge og mange ældre, som udfordrer kommunernes økonomi, og der er mangel på arbejdskraft.

“Økonomien i kommunerne er presset. Vi kigger ind i en periode, hvor forholdet mellem skatteindtægter og arbejdsudbud ikke følges ad. Det bliver bedre om 10-15 år. Men vi får en periode, hvor vi både mangler penge og mangler arbejdskraft. Og hvor der skal bruges mange penge på børn og ældre. Seks ud af 10 offentligt ansatte er ansat i kommunerne, så den her hængekøje rammer det kommunale landskab hårdt”.

Udover en presset økonomi og store udfordringer i forhold til bæredygtighed og den grønne omstilling, så er der også den forandrede sikkerhedssituation i Europa. Set med it-øjne er det cybersecurity - og hele den front er desværre mere aktuel end nogensinde. Lampen lyser rødt med rød på. Den situation kan desværre ikke blive værre. Jeg kender til det fra min tid i Forsvaret”.

I Danmark har de seneste uger vist farligheden af disse cyberangreb

Det er en problemstilling, som kommunerne møder dagligt og som vi, set med mine øjne, er nødt til at tage os af. Men hvad gør vi, hvis en kommunes data bliver taget til fange i et ransomware angreb? Vi ved jo nok ikke helt præcist, hvad vi skal stille op. Hvordan kan vi nationalt og lokalt med cyberangreb tage hånd om det? Hvad gør politiet efterforskningsmæssigt? Det er nogle udfordringer, som er nye på den måde, at de er større, og de er mere præsente end nogensinde før. På den anden side er det jo noget, vi hele tiden har vidst, vi skulle have fokus på.”

Der foregår både statslige aktiviteter og kriminelle aktiviteter. Cyberangreb - og cyberaktiviteter i det hele taget - er blevet industrialiseret. Det er blevet en hel industri og rent økonomisk en gigant industri. Både fordi staterne putter rigtig mange penge i det og fordi, at de organiserede kriminelle også putter rigtig mange penge i det. Og problemet er, at de bruger de mest moderne værktøjer i verden. Vi kan se, at nogle af de angreb, vi ser i virkeligheden, er relativt lavpandede og sådan lidt stenalderagtige, men det kan jo være, fordi vi ikke ser dem alle,” siger Kristian Vengsgaard.

 

Konsolidering og færre angrebsflader

Kristian Vengsgaard: Ja, man kan i hvert fald sige, at en løsning på cyberudfordringer altid er teknisk konsolidering. Det er altid at skære i antallet af angrebsflader. Cybersikkerhedsfolk kalder det angrebsvektorer. Når man har en meget bred portefølje af systemer af teknik, og her taler vi jo telefoner, netværk, switche, servere i kælderen, skabe med data, wifi spots, ting der kan opsamle informationer i væggene, kameraer. Alt, hvad der er elektronisk, udgør i realiteten en angrebsvektor. Jo flere desto mere sårbar”.

Et stort forsvarsministerium blev engang angrebet gennem en mikrobølgeovn, fordi de havde besluttet sig for, at den skulle på nettet, så de kunne downloade nogle opskrifter til den der mikroovn. Det eneste de brugte den til var at lave popcorn. Men der er eksempler på, at Jeeps biler er blevet overtaget, mens de kørte på motorvejen.”

Desværre er det simplere at lave disse hackerangreb, end man skulle tro. Selvom man har et godt setup, selvom man har beskyttet sig rigtig godt, så hvis hackeren har tid nok, og man har adgang, så kan man komme langt. Det foreløbige kendskab, jeg har nået at få til kommunernes cybersikkerhed, er jo relativt begrænset. Men det landskab, som jeg tror kommunerne har på det her område, er præget af mange forskellige aktører og leverandører og er i bedste fald meget komplekst.

Det handler om at kunne styre, hvem er på netværket? Hvad laver de på netværket? Hvad er det for nogle enheder, der er på netværket, og hvordan er de enheder beskyttet? Hvis man virkelig vil have styr på sikkerheden, så skal man have styr på alle de enheder, og det kalder på nye måder at anskue det på”

Man kan som minimum sige, at cybersikkerhed kalder på teknisk centralisering. Du er nødt til at kunne opstille nogle rammer for, hvad man må, og hvad man ikke må. Vores servere og netværk skal segmenteres. Vores telefoner skal være underlagt MDM (Mobile Device Management), så vi kan styre dem. Det er den type ting, Center for Cybersikkerhed sender anbefalinger ud om. I øjeblikket er der 38”.

For nogle er sikkerhed en sten i skoen. For mig er sikkerhed forretning - og beskyttelse af data og driftener kerneforretningen,” siger Kristian Vengsgaard.