I december 2024 blev 16 danske kommuner ramt af DDoS-angreb, der midlertidigt lagde deres hjemmesider ned. Blandt de hackede kommuner var Aarhus, Esbjerg, Frederiksberg og Næstved. Angrebet blev første gang, at KommuneCERT spillede en aktiv rolle som kommunerne fælles cyberenhed under et cyberangreb.
KommuneCERT var kun gået i luften måneden før, i november, men CERT’en var klar til at agere kontaktpunkt for kommunerne, så den kunne gøre kommunerne opmærksomme på, at de var under angreb og dele viden. Det er KOMBIT, som står bag KommuneCERT, og som har finansieret den for at sikre Danmarks kommuner en operationel cyberenhed på den kommunale sektor, ligesom man kender fra andre sektorer. Lige nu har CERT’en tre ansatte og har Mille Østerlund i spidsen, som har en fortid i Center for Cybersikkerhed som chef for civil rådgivning. KommuneCERT er etableret på baggrund af bestyrelsesbe[1]slutninger i KL og KOMBIT, efter at kommunerne i lang tid har efterspurgt mere samarbejde omkring cyberforsvar. Der er i dag ikke krav til, hvordan kommunerne skal arbejde med cybersikkerhed, men KOMBIT så et kæmpe behov for at sikre cybersikkerheden for kommunerne. I KOMBITs optik er det nemlig tilliden til det offentlige, der er på spil, hvis de kommunale it-løsninger bliver lagt ned af cyberangreb.
To måneder inden angrebet på de 16 kommuner blev Lyngby og Gentofte ramt af en phishing mail, som førte til, at der blev sendt mere end 2200 mails rundt i egne og andres organisationer, heriblandt andre kommuner, ministerier og KL.
Det var før, KommuneCERT var i luften, og da Center for Cybersikkerhed opdagede angrebet, endte de med at række ud til KL, som skrev mails ud til kommunerne. Det var dog en meget ad hoc løsning, da KL ikke har kapacitet eller set-up til at håndtere opgaven.
Chef for KommuneCERT, Mille Østerlund, ser sagen som et godt eksempel på, hvad CERTen skal håndtere: ”I sådanne situationer skal det være klart, hvem der står for at informere alle de relevante parter, fordi hvis vi deler viden rettidigt, så kan vi undgå de store ulykker. Det er det KommuneCERT er sat i verden for”.
Hun fortsætter: ”Vi er også i gang med at opbygge et samarbejde med de andre CERT’er i Danmark for at kunne dele viden også på tværs af sektorer. Det stiller nemlig kommunerne stærkere, at de kan få indsigt i viden fra andre dele af Danmark end den kommunale, for hackerne skelner nemlig ikke mellem de forskellige sektorer, de angriber, hvor de kan”.
KommuneCERT er kommunernes fælles enhed for cybersikkerhed og er konsolideret som ét samlet kontaktpunkt for alle danske kommuner til viden om cybertrusler og sårbarheder i den kommunale it-portefølje, der er relevant for kommunerne.
”Når vi opdager eller bliver gjort opmærksomme på nye sårbarheder, så krydser vi dem med OS2-KITOS (Kommunernes IT- Overbliks System), så vi kan gøre kommunerne opmærksomme på de sårbarheder, der er relevante for dem”, siger Mille Østerlund.
Som, det er lige nu, er KommuneCERT i sin helt spæde start. I løbet af 2025 forventer Mille Østerlund, at forretningsmodellen er fuldt afklaret.
”KOMBIT har investeret i en cyberenhed, så vi kan tage påtage os rollen, som kommunernes fælles cyberenhed. Derudover skal vi sammen med kommunerne finde ud af, hvordan KommuneCERT skal operere, og hvilke opgaver vi skal løse. 2025 er året, hvor vi drøfter forskellige modeller og tester modeller og ydelser af, så vi har et grundlag for at beslutte en fuld forretningsmodel, der giver værdi for kommunerne”, siger Mille Østerlund og tilføjer:
”Og som med alle andre af KOMBITs løsninger, skal KommuneCERT også finansieres. Vi skal bruge 2025 til at være rigtig grundige med at finde, hvordan vi får skabt mest cybersikkerhed for færrest penge. Så kommunerne har råd til at være med til at betale for det”
Tre ydelser
KOMBIT har fra en start tre ydelser, som kommunerne kan prøve af i 2025:
1. KommuneCERT overvåger dagligt trusselsinformationer fra relevante kilder som Center for Cybersikkerhed, MISP’en fra cyberenheden DCIS-Sund, CVE – sårbarheder. KommuneCERT informerer kommunerne, når der er trusler, der bør reageres på. Varsler og videndeling vil, hvor det er muligt og relevant, blive formuleret operationelt, så viden kan tages direkte med ”i maskinrummet”.
2. KommuneCERT tilbyder at afdække, hvilke sikkerhedsfeatures, der er slået til, og hvilke der med fordel kan aktiveres i kommunernes Office-pakke fra Microsoft. Nogle kommuner får ikke udnyttet alle de sikkerhedsfunktioner, der er med i pakkerne og har muligvis tilkøbt løsninger fra tredjepart, der allerede er dækket af aftalen med Microsoft. Det kan KommuneCERT så tage en dialog med den enkelte kommune om.
3. KommuneCERT tilbyder at lave en ekstern – ikke invasiv - sårbarhedsscanning af kommunen. Ved hjælp af diverse værktøjer laves en oversigt over hvilke porte og services, der udstilles eksternt, en oversigt over forældet serversoftware samt en række almindelige miskonfigurationer af disse samt en oversigt over manglende skift af default password. Kommunen modtager efter scanningen en rapport med anbefalede handlinger.
”Vi har disse tre ydelser på paletten. En CERT laver mange forskellige ting, men vi skal spore os ind på, hvad der skaber størst værdi på tværs af kommunerne, fordi der er jo stor forskel på kommuner. Det, der giver værdi i Aalborg, er måske ikke det samme som giver værdi på Samsø. Det glæder mig, at alle kommuner bakker op om, at vi skal arbejde i fællesskab på cyberområdet – også de største,” siger Mille Østerlund og tilføjer:
”Det handler om at sikre alle borgere uanset, om de bor i Thy eller
Taastrup. Det er deres data, der skal beskyttes, det er deres ydelser, som ikke skal kompromitteres, det er deres tillid til det offentlige, som vi skal sikre,” siger Mille Østerlund.