Flemming Kjærsdam • 31 august 2023

Ny strategi:“Pilen på kommunernes cybersikkerhed peger på KOMBIT”

KL kæmper en brav politisk kamp for at få kommunerne med i Danmarks samlede cyberforsvar. Kommunerne er i dag ikke direkte omfattet af regeringens nationale cyber- og informationssikkerhedsstrategi, hvormed niveauet for cybersikkerhed er en prioritet i hver enkelt kommune. Dermed opstår der en risiko for, at kommunerne kan blive samfundets svageste led, når der kommer cyberangreb udefra. Sikkerhed og velfærd balanceres imod hinanden.

 

Cybertruslerne har vokset sig større i de senere år. Og i et af verdens mest digitaliserede samfund er cybersikkerheden i den offentlige infrastruktur blevet helt afgørende for, om vi kan fungere som land. Truslen er kun blevet endnu større med krigen i Ukraine, hvor kommunerne er et oplagt mål i den digitale krigsførelse, f.eks. hvis aktivister vil ramme kritisk civil infrastruktur som kommunale services.
“Kommunerne ønsker ikke at blive efterladt på ydersiden af den digitale sikkerhedsmur,” hedder det i Magasinet Danske Kommuner. KL har netop lanceret en ny strategi for Cyber- og Informationssikkerhed, der er skrevet til folketingspolitikerne. Lokalpolitisk kan den også bruges til at kickstarte vigtige diskussioner om cybersikkerhed, hvor det er topledelsen der sætter retningen for sikkerhedsarbejdet i den enkelte kommune.  
“Målsætningen er at få kommunerne med som en del af det nationale arbejde med cybersikkerhed. Det er nok ikke en farbar vej at komme med i Center for Cybersikkerhed i Forsvarsministeriet, som primært løser den militære del af Danmarks cyberforsvar. Kommunerne har kritisk infrastruktur med mange personoplysninger, er en stor del af sundhedssektoren, og har ansvar for vigtige forsyningsområder, som det er nødvendigt at beskytte. Vi er i gang med at finde en model for, hvordan vi kan få kommunerne godt med i det nationale sikkerhedsarbejde,” siger Programleder Christian Christensen, Digitalisering og Teknologi, KL   
Når kommunerne skal med i et nationalt cyberforsvar, skyldes det også, at kommunerne befinder sig i en udsat position. Ifølge nye tal fra KL oplever 27 pct. af landets kommuner mere end  200 forsøg på cyberangreb om dagen. Det svageste led kan hurtigt blive bagdøren ind til hele den offentlige danske IT-infrastruktur.
“Den nye model, som vi tænker er at oprette en fælleskommunal enhed i KOMBIT regi. Hvordan det ender kommer jo også an på, hvordan politikerne på Christiansborg beslutter, at samarbejdet om cyberforsvaret i det offentlige skal være.  Hvis kommunerne selv skal finansiere det som en frivillig tilslutning, vil vi se ind i en model med et lavere ambitionsniveau og udbredelse, end hvis det bliver en model i samarbejde med staten, finansieret af staten,” siger Christian Christensen. Han fortsætter ”Målet for det fælleskommunale samarbejde er at styrke kommunernes evne til at opdage cyber-angreb i både egen organisation, samt på tværs af kommuner. Modellen vil tage udgangspunkt i sundhedssektorens samarbejde på cyber-området. Derfor vil viden om angreb fra regioner, hospitaler, praktiserende læger mf. komme kommunerne til gode, og omvendt viden fra kommunerne komme andre til gode i den øvrige sundhedssektor. På den længere bane vil informationer om forebyggelse af angreb, bindeled til statslige myndigheder, kompetenceudbygning samt eventuel et incident response team være en del af opgaven,” siger Christian Christensen.

Flere sundhedsopgaver
KL har tilsluttet sig cyber- og informationssikkerhedsstrategien på sundhedsområdet, der netop er lanceret i en ny udgave gældende til og med 2025. Her samarbejder stat, regioner, kommuner og private aktører om sikkerhedsopgaven, dog fortsat med finansiering fra egne budgetter. Kommunerne løser flere og flere opgaver inden for sundhedsområdet, og mange af disse opgaver rykker tættere på borgerne. Det nære sundhedsvæsen er en politisk beslutning, hvor kommunerne løser flere opgaver i et samarbejde med andre offentlige og private aktører.
“Derfor er det væsentligt, at det offentlige arbejder sammen om cybersikkerheden, da datanetværkene i stat, regioner og kommuner er forbundne. Så det er nødvendigt, at der bliver et mere ensartet cybersikkerhedsniveau af civilsamfundet, uden for mange svage led. Vi ved, at hackerne bryder ind hos de svageste led, og at angrebene spreder sig derfra på tværs i organisationer. Det er akilleshælen i et cyberforsvar,” siger Christian Christensen.

Kommunerne er kritisk infrastruktur
Kommunerne er den myndighed som løbende er i tættest kontakt med borgerne via deres services, og som er involveret i alle hverdagens aspekter i livet.
“Det kan godt være, hvis borgerservice i en enkelt kommune er utilgængelig en enkelt dag, at det ikke er nogen stor krise. Men sker det i flere kommuner samtidig og i flere uger, at borgerservice er nede, så er det en kritisk situation. Hvis kommunens netværk er nede, kan vi ikke modtage faldalarmer på plejehjem, og vi kan heller ikke producere kørselslister til de ansatte i ældreplejen. Det er kritisk infrastruktur, som skal beskyttes. Vi vil gerne forklare om kommunernes rolle og hvor vigtig vores digitale infrastruktur er for civilsamfundet og for beskyttelse af borgernes data,” siger Christian Christensen.
Det er i den sammenhæng, at KL´s arbejde om at blive en del af den nationale cybersikkerhed skal ses. Ifølge Christian Christensen er det nødvenigt at hæve sikkerheden op på et højere niveau.

Kompetencer – en mangelvare
Selvom landets 98 kommuner er borgernes primære indgang til den offentlige sektor, står kommunerne i dag udenfor det danske cyberforsvar. Derfor mener KL, at der skal investeres i ét samlet cyberforsvar. For at nå dertil skal der sikres kompetencer.
“Der skal investeres i et samlet cyberforsvar. Generelt mangler vi kompetencer i kommunerne. Det er især svært at rekruttere på cyberområdet. Det gælder også for private virksomheder. Det er en disciplin, hvor alle – stat, kommuner og regioner og private virksomheder får brug for flere og flere ressourcer. Så vi prøver på, om vi kan lave nogle attraktive cyberarbejdspladser i et fælleskommunalt regi. Derfor kigger vi i retning af KOMBIT for at lave fleksible ansættelser på cyberområdet, og lede den enhed på kommunernes vegne. Vi vil kigge på en bred pallette af muligheder. In- og outsourcing af medarbejde fra og til kommuner og KOMBITs cyberenhed. Man kunne også forestille sig medarbejdere med to kontrakter, f.eks. et timetal i en kommune, og de resterende i KOMBIT. Kommunerne kunne binde sig for praktiksteder til uddannelsesinstitutioner, et samarbejde med cyberlandsholdets ”trænings camp” osv. ” siger Christian Christensen.
Det er dog ikke en beslutning der er taget endnu.
“Det er stadig finansieringen af cybersikkerheden der er kritisk. Vi skal have løftet cybersikkerheden i kommunerne og i hele Danmark, og vi skal arbejde sammen om det i fællesskab. Det er klart, det koster penge. Vi møder heldigvis forståelse for vores synspunkter om at hæve niveauet i kommunernes cyberforsvar. Man bør bl.a. se på, om de penge der allerede benyttes til cybersikkerhed benyttes optimalt. Kunne en eller to civile DCIS’er løfte opgaven og samtidigt sikre at alle civile myndigheder, herunder kommunerne er med? ”

 


FAKTA
Kommunernes cyber- og informationsstrategi

• Kommunerne skal indgå som en del af det danske cyberforsvar. Det offentlige er bundet sammen digitalt, og det svageste led kan hurtigt blive bagdøren ind.

• Folketinget skal sikre de nødvendige økonomiske og politiske prioriteringer, så landets samlede cyberforsvar bliver styrket.

• Kommunerne skal efterleve minimumskrav for cybertrusler, der er med til at sikre høj sikkerhed i et digitalt tæt koblet Danmark.

• Kommunerne skal håndtere cyberindsatsen i fællesskab – også med stat, regionerne og private aktører.

• Der skal sikres de nødvendige kompetencer til den kommunale opgaveløsning med cyber- og informationssikkerhed.