Går en kommunes it-systemer ned eller offline, rammer det ikke bare medarbejderne men det kan gå direkte ud over borgerne – uanset om det gælder hjemmepleje for ældre eller akutte tvangsfjernelser af børn i misbrugshjem.
”Præcis derfor er cybersikkerhed i kommunerne afgørende,” understreger Carina Roskilde, leder af informationssikkerhed og DPO i Hedensted Kommune. Hvis ikke de fungerer, som de skal, kan det i værste fald gøre ondt på nogle af de mest sårbare personer i samfundet, lyder hendes pointe.
”Hvis der sker en eller anden hændelse, som gør, at vores systemer ikke er tilgængelige, har vi ikke adgang til de data, som vi skal bruge for at kunne hjælpe de mennesker,” siger hun.
Carina Roskilde har været med i arbejdet med at udforme KL’s drejebøger, der blandt andet skal hjælpe kommunerne til at håndtere ”hændelser” efter paragrafferne i de europæiske NIS2-regler, når de indtræder.
Marianne Just Mortensen, chefkonsulent i KL, der har haft ansvaret for projektet, fremhæver, at drejebogen om hændelser sammen med vejledningerne fra Styrelsen for Samfundssikkerhed er et godt sted at starte for de ansvarlige i kommunerne, for hvem cyberangreb er en del af hverdagens virkelighed. Det særlige for NIS2 er, at tilgangen til hændelser – kaldet ”all hazards approach” – er meget bred og principielt omfatter ethvert forhold, som kan forstyrre driftsstabiliteten i it-understøttelsen og dermed kommunens kritiske opgaver. Sådanne forhold kan betragtes som mulige ”væsentlige hændelser”, der muligvis skal indberettes til myndighederne.
Meldte ud på LinkedIn men glemte kommunen
Carina Roskilde erkender blankt, at det ikke er en nem opgave, fordi begrebet ”hændelser” netop derfor dækker over et meget bredt felt, og behøver ikke nødvendigvis at ramme kommunen direkte.
”Man kan ikke altid vide, om det er nogen med ondt i sinde, om det er drillerier, eller om det er andre, der var målet, og vi så blev ramt som en del af det. Det kan være alt muligt. Derfor bliver det svært at arbejde med, fordi der lige nu er flere spørgsmål end svar,” siger Carina Roskilde.
”Som et eksempel kan jeg nævne, at vi havde en leverandør, der meldte ud på LinkedIn, at de var blevet hacket. De havde bare glemt at fortælle os det. Måske havde vi selv opdaget, at systemet var nede, men den leverandør kunne også være kompromitteret på en måde, så alle vores data var blevet ødelagt, eller vi ikke kunne hjælpe udsatte borgere eller børn,” fortsætter hun.
Carina Roskildes pointe er, at en hændelse også kan være farlig, selv om den ikke rammer kommunen direkte men længere nede i kæden af sammenhængende it-systemer.
”Her bliver spørgsmålet, hvornår er vi efter reglerne forpligtet til at handle. Og lige her bliver det et spørgsmål om at fortolke reglerne, fordi det hele stadig er så nyt, at vi ikke har tilstrækkeligt med konkrete eksempler at gå ud fra,” siger Carina Roskilde, og tilføjer:
”Der er ikke altid en facitliste, som vi kan sætte to streger under. Selvfølgelig er der hændelser, der giver sig selv, men der er også en del, som ligger på kanten. Der er så mange grænsetilfælde, at det er svært at hugge noget i sten.”
I NIS2 indgår der krav til forsyningskædesikkerhed, der netop påpeger, at man som enhed – og kommune – har ansvar for at have overblik og styr på sin it-portefølje og it-kontrakter. I NIS2-drejebogen indgår også kapitel om forsyningskædesikkerhed samt en række redskaber og anbefalinger til dette.
Indberette inden for 24 timer
Ifølge Carina Roskilde handler det i høj grad om at bruge sin sunde fornuft i forhold til den konkrete situation. I kraft af at hun arbejder med it-sikkerhed, er hun udstyret med – som hun selv udtrykker det – en ”sølvpapirshat.” I næsten samme sætning understreger hun, at derfor vil hun for eksempel aldrig se bort fra hændelser hos leverandørerne eller deres leverandører.
”Men der kan også være leverandører, vi kan se bort fra, fordi de ikke er tæt på vores systemer. Samtidig skal man også have med, hvilken type hændelse der er tale om og hvilket it-landskab der er tale om. Det kræver en konkret vurdering inden for de 24 timer, loven kræver.”
Som et jordnært eksempel nævner hun, at hvis lyset forsvinder, er det tydeligt, at der er noget galt. Men ofte vil det ikke være tydeligt eller entydigt, at data er i fare eller kompromitteret på nogen måde.
Samtidig er det også for mange kommuner et område, der kan være svært at finde ud af, hvor mange ressourcer de skal afsætte til det arbejde, understreger Carina Roskilde.
”I nogle kommuner er der måske en person, der har ansvaret, mens man i andre kommuner har ansvaret fordelt på flere.”
I NIS2-drejebogen kan man finde inspiration og input til, hvordan man arbejder med ansvar og indberetningerne.
Hvad er en hændelse, og hvilke hændelser er underlagt underretningsforpligtelse?
Ifølge NIS2-lovens § 3, stk. 1, nr. 12 defineres en hændelse som ”… en begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare.”
En væsentlig hændelse kan være:
-Driftsforstyrrelser i kommunens kritiske systemer
-Sikkerhedsbrud, herunder uautoriseret adgang eller datalæk
-Leverandørfejl, der påvirker kommunens drift
-Hændelser med direkte borgerpåvirkning, f.eks. forsinkede ydelser eller sundhedsrisici
Hvis der er tale om en væsentlig hændelse, skal kommuner foretage en underretning. Men der er også hændelser, hvor det er frivilligt at foretage underretning, det kan f.eks. være
-Nærved-hændelser,
-Cybertrusler
-Hændelser, der ikke opfylder kriterier for væsentlighed.
Kommunerne kan overveje frivillig underretning, når det vurderes, at hændelsen kan have en væsentlig sikkerhedsmæssig betydning.
Du kan læse mere her.