Køge Kommune investerer massivt i cybersikkerhed via IT-afdelingen. For et par år siden hyrede IT- og digitaliseringschef Ivan Harreskov, Køge Kommune, en venligtsindet hacker til at teste sikkerheden i kommunens netværk. ”Vi ville prøve, om hackeren kunne finde hullerne i osten fra en PC, der var koblet op til vores netværk. Vi var mildest talt chokerede over, hvor meget skade han ville kunne have gjort og hvordan han gjorde det – i løbet af få minutter,” siger Ivan Harreskov.
Det var en medvirkende årsag til, at IT- afdelingen og direktionen, ledere og byrådspolitikere fik øjnene op for vigtigheden af at beskytte de mange data om borgerne i de kommunale IT-systemer, men også data, som medarbejderne i kommunen bruger til at levere services til borgerne med.
Ivan Harreskov: ”Vi beskrev resultaterne af den hackertest for vores direktion, og vi bad om nogle penge til cyberområdet. Det er ikke sjovt at bede om penge, da man godt ved, at der er rigtig mange, der står med en fremstrakt hånd, både på skole- og ældreområdet. De penge, vi beder om til cyber, bliver taget fra velfærd, så der er alle mulige ting, man er oppe imod”.
Borgmester Marie Stærke (S) Køge Kommune siger til Danske Kommuners magasin, at Køge Kommune har afsat 26 millioner kroner til cyberområdet de kommende fire år for at sikre kommunens troværdighed overfor borgerne.
Ivan Harreskov: ”Der er jo to elementer i det. Vi skal sikre borgernes data og at der ikke lækkes data om borgerne og at der ikke er uvedkommende, der får adgang til borgernes data. Det vil være et kæmpe tillidsbrud. Det andet element er, hvis hackere formår at lægge vores systemer ned, som vi har set andre steder. Det tager mange dage, måske en uge, før man er oppe at køre bare nogenlunde igen. Og så kan der gå en rum tid med at rydde op efter hacket, hvis der har været nogen inde og lave ballade i vores systemer. Så oveni kommer der et produktionstab for kommunen”.
”Når vi ved, hvor afhængige kommunale medarbejdere er af at kunne bruge digitale systemer i deres arbejde, så er nedetid alvorligt. Skolebørn, der ikke bliver undervist, de gamle på plejehjemmet, der ikke får deres mad, fordi kørelisterne til madudbringningen er nede, og man kan ikke få en byggetilladelse. Der er rigtig mange ting, der går i stå,” siger Ivan Harreskov.
Kampagne for phishing
Af de investerede millioner i cybersikkerhed, gennemfører kommunen også en phishing kampagne. ”Vi vil prøve at give noget vejledning om, hvordan medarbejdere kan identificere falske mails, der forsøger at stjæle oplysninger. Samtidig med det sender vi falske mails rundt til medarbejderne for at finde ud af, hvor gode de er blevet til at opdage de falske mails,” siger Ivan Harreskov.
I oktober 2024 blev Lyngby Taarbæk og Gentofte kommuner ramt af phishing mails.
”Phishingmails ligner professionelle mails. Det er ret svært ikke at gå I fælden. Lad mig bare sige, at de falske mails som medarbejdere i Lyngby Taarbæk og Gentofte klikkede på, det kunne lige så godt være sket hos os. Man skal ikke tro, det ikke kan ske for en selv. Det kan det. Det er et våbenkapløb mellem kriminelle og folk, der passer deres arbejde,” siger Ivan Harreskov.
Brugerne er det svageste led i kæden, og det er kommunens opgave at træne brugerne, så de bliver bedre til at gennemskue forsøg på svindel.
Køge Kommune gennemfører også en sårbarhedsscanning for at afdække svagheder i IT-systemer og netværk.
NIS2
Når det kommer til NIS2 – beskyttelsen af den kritiske infrastruktur i kommunerne, glæder Ivan Harreskov sig over, at kommunerne i sidste øjeblik er kommet med i NIS2-lovforslaget og Økonomiforhandlingerne mellem KL og Finansministeriet, der formentlig starter i maj måned, vil afklare om der følger midler med fra staten til de initiativer, som kommunerne bliver pålagt at gennemføre.
”Det er en god nyhed, at kommunerne kommer med i NIS2 og at ministeren bruger formuleringen ”fuldt omfattet”. Vi har arbejdet sammen med KL i mere end to år og nu er det lykkedes. Økonomiforhandlingerne i indeværende år bliver interessante, fordi det vil afklare om der følger penge med til kommunerne fra statens side. Vi har som kommuner nogle ekstra omkostninger for at beskytte vores data og vores IT-systemer,” siger Ivan Harreskov.
Han understreger, at kommunerne står stærkere sammen, og derfor bakker han også op om KommuneCERT i Kombit, som er en fælleskommunal cyberenhed. Vi er som kommuner nødt til at gøre det i fællesskab, og jeg glæder mig over, at vi nu er en del af det nationale cyberberedskab og omfattet af NIS2,” siger Ivan Harreskov.
Samarbejde
Samarbejde om cybersikkerhed bør være nationalt. Sektoropdelingen i Danmark gør det svært at finde nok eksperter, plus at det samme arbejde bliver gjort flere gange i de forskellige sektorer.
Ivan Harreskov: ”Det kan jo ikke lade sig gøre at finde så mange sikkerhedseksperter, som de mange sektorer kræver. Sektoropdelingen skaber flaskehalse. Alle forsyningsselskaber, bank og forsikring og transport, lufthavn, sundhed – alle sektorer kan ikke have deres eget team af topeksperter. De findes ikke i Danmark. Og sektorerne selv mener, at de er nødt til at have disse eksperter inden for sikkerhed. Det i sig selv synes jeg er problematisk. Vi er et lille land med 6 millioner mennesker. Vi er nødt til at samarbejde nationalt, på tværs af myndigheder og på tværs af sektorer,” siger Ivan Harreskov.