Næstved Kommune er en af seks pilotkommuner, der er med i projektet om etableringen af et nationalt cyberværn på sundhedsområdet i samarbejde med Sundhedsdatastyrelsen og KOMBIT. IT- og digitaliseringschef Lars Borg, Næstved Kommune, siger at cybersikkerheden er en vigtig del af IT-strategien og fylder mere og mere i kommunens dagligdag.
Projektet med DCIS Sund – det nationale fælleskommunale cyberværn på sundhedsområdet – er endnu så nyt, at IT- og digitaliseringsambassadør Allan Eriksen, Næstved Kommune, omtaler det som et projekt i sin meget spæde start. “Vi tror på, at der kommer nogle interessante dialoger, om cyberværnet på sundhedsområdet, som vi gerne bidrager til”.
IT- og digitaliseringschef Lars Borg: “Vi har brugt rigtig mange ressourcer på NSIS-revision og lige nu kigger vi ind i NIS2, som vi skal være klar med ultimo 2024. Så da vi blev præsenteret for fælles kommunalt cyberværn initiativet, var vi ikke i tvivl om, at vi gerne vil være med som pilotkommune. Det, som fælles kommunalt cyberværn vil løfte på alle kommuners vegne, er meget lig det, vi selv har kigget på hardwaremæssigt – omkring netværkssikkerhed og analyse af datatrafik”.
Det tæller også med for Næstved Kommune, at regionerne er med. Derfor har vi besluttet at de vil være med og har prioriteret tid og penge til at deltage i fælles kommunalt cyberværn.
Da KL i samarbejde med PwC fremlagde rapporten om det kommunale samarbejde om et fælles cyberværn for halvandet år siden, var der bred enighed blandt de 30-40 kommuner, der deltog i evalueringen, at det var nødvendigt at løse opgaven i fællesskab frem for at gøre det hver for sig. At det skulle være et fælles KL/KOMBIT projekt.
Pilotprojektet
Nu har KOMBIT så startet pilotprojektet om et cyberværn ved at gå ind på sundhedsområdet med DCIS Sund.
Allan Eriksen: “Hele tanken om at etablere et fælles cyberværn blandt kommuner, som traditionelt set ikke har et 24/7 beredskab, er det eneste rigtige. Vi skal have et værn, der kan reagere på unaturlige hændelser søndag eftermiddag klokken 15. Jeg kan huske nogle af de bekymringer, der var fremme i diskussionen om PwC-rapporten. Hvordan får vi alle med og hvordan får vi skabt en tryghed for borgernes data, som ligger på kommunale IT-systemer? Præmissen er, at alle kommuner skal kunne reagere, små som store. Vores egen kommune er jo ikke bedre end det svageste led, og det svageste led kan være mange steder alt efter, hvordan kæden kører. Og det samme gør sig gældende på landsplan”.
Senior IT-administrator Ole Pedersen: “Vi har scannet vores systemer for forskellige sårbarheder udefra, og det er også det man taler ind i på fælles kommunalt cyberværn. Det er så udvidet og skaleret op, hvor man henter logs og data fra forskellige systemer og sender trafikmønstre op til en samlet enhed, hvor man kigger på om der er afvigelser eller en ganske lille variant.”
Allan Eriksen: “Hvis vi får en alarm i Næstved, som vi siger, det er blot en information. Men det kan vise sig, at hvis du sætter den ind i en kategorisering på det fælles værn, at det kan være kritisk. Når DCIS Sund eller KOMBIT/KL cyberværn ligger bag, vil de have logs for 97 andre kommuner. Det kan være den sårbarhed hos os har bredt sig til misbrug et andet sted i landet og derfor samlet set bliver kritisk. Det er jo også interessant for os at få at vide, og måske skal vi lukke ned for en computer eller en tjeneste i vores egen kommune”.
NSIS - NIS2
Udover at deltage i fælles kommunalt cyberværn, er kommunen også i gang med en ny revision på NSIS den såkaldte type 2 revision og forberedelsen til NIS2, som er et cyberværn på de kritiske forsyingsområder.
Lars Borg: “Vi opbevarer og behandler en stor del af borgernes data, og derfor er vi også nødt til som kommune at tænke det ind i vores IT-strategi. Vi har arbejdet målrettet på at blive bedre til at beskytte borgernes data, og vi sætter ressourcer af til det, fordi det er nødvendigt. Vi har også besluttet, at vi vil være en del af en fælleskommnal løsning. Vi ved endnu ikke, hvordan NIS2 skal implementeres og hvor meget det kommer til at fylde hos os, men vi forbereder os for ikke at komme på bagkant. Det er vigtigt at være tæt på det, der sker. Hvis man lader noget passere eller venter, kommer man for sent. Selv om der er besparelser i kommunerne, er vi nødt til at finde pengene til sikkerhed.”
I den første NSIS-revision gik kommunerne igennem arbejdsgange og processer og om hvordan man skulle sikre medarbejdernes identiteter og borgernes data. I den anden revision skal kommunerne dokumentere det, de har sagt de vil gøre.
Lars Borg: “Vi har fået vores NSIS-type 2 revisionserklæring i november 2023. Og en af de ting vi gjorde i Type 2 revisionen var, at alle brugere havde skiftet password. Den 8. januar 2024 havde alle 7000 brugere i Næstved Kommune skiftet password med mindst 15 karakterer. Jeg troede, vi ville få meget kritik af dette fra brugerne. Men det er gået lige omvendt. Vi har fået ros for dette,” siger Lars Borg.