Grunnlovsbygda tar grep om datasikkerheten

– Vi får mye ut av samarbeidet med våre nabokommuner. Med dyktige ansatte som jobber dedikert med problemstillingene, og en ordfører som er opptatt av digitalisering og IT-sikkerhet, mener jeg vi er på riktig spor for å møte utfordringene, sier konstituert kommunedirektør Eli Nerbø i Eidsvoll kommune.

Samarbeider om sikkerhet

Både Nasjonal sikkerhetsmyndighet og Kommune-CSIRT konkluderer med at det digitale risikonivået har økt det siste året. 

I Kommunal Rapports kommunedirektørundersøkelse svarer over 90 prosent av topplederne at deres kommune har tatt konkrete grep for å styrke IT-sikkerheten det siste året. En av disse er Eidsvoll. 

Kommunen samarbeider om IKT-tjenester med Gjerdrum, Nes, Nannestad og Hurdal gjennom IKS-et Digitale Gardermoen (DGI). Administrerende direktør Frode Bostadløkken i DGI peker på at det økte risikonivået har ført til en helt ny tilnærming til datasikkerhet i Kommune-Norge.

– Tidligere kunne IKT-ansvarlige si til kommunene at «nå er dere helt trygge», men det kan vi ikke lenger. Vi sier nå «på et eller annet tidspunkt vil dere bli hacket», og spørsmålet er hvordan dere er rustet for et slikt angrep, og hva dere gjør etter å ha blitt angrepet, sier Bostadløkken.

Han berømmer Eidsvoll for å være fremoverlent i sin tilnærming til datasikkerhet.

– IKT-sikkerhet har aldri vært et mer aktuelt tema enn nå, og dette må kommunene ta inn over seg. I Eidsvoll opplever jeg at både administrasjonen og politikerne ser at datasikkerhet er et kontinuerlig arbeid, sier Bostadløkken.

Fire viktige nøkler

Ifølge kommunedirektørundersøkelsen har kommunene særlig satset på tofaktorautentisering, opplæring av ansatte, bedre brannmurer og økt overvåking. Daglig leder Bjørn Tveiten i Kommune-CSIRT mener topplederne treffer godt med sine prioriteringer, men det er to ting han vil legge til som svært viktig.

– Jeg vil anbefale kommunene å årlig, eller halvårlig, foreta en revisjon av sin datasikkerhet. Det er også viktig at kommunene hele tiden sørger for å oppdatere sin programvare. I oppdateringene tettes de eventuelle hullene som har eksistert i programvaren, sier Tveiten.

I Eidsvoll er revisjon av datasikkerheten ett av grepene. I tillegg til øvelser, opplæring av ansatte, penetrasjonstester og bistand fra samarbeidskommuner til å gjennomføre internrevisjon av  driftsløsningene.

– Å tilby de ansatte opplæring på IKT-sikkerhet, å gjennomføre internrevisjoner, systematiske øvelser på dataangrep og egne penetrasjonstester mener jeg er de fire viktigste faktorene for å oppgradere datasikkerheten. Dette vil jeg på det sterkeste anbefale alle kommuner å gjøre, sier Bostadløkken.

Ansatte får opplæring

Eidsvoll har i ti år gitt de ansatte en elektronisk læringsplattform for å oppgradere sin kompetanse om datasikkerhet.

– Alle de ansatte i kommunen har tilgang til dette, og her kan nødvendig kunnskap og kompetanse oppgraderes. På denne måten skaper man en felles bevissthet i hele organisasjonen om at IKT-sikkerhet er viktig, og det er et viktig skritt for å styrke sikkerheten, sier IKT-sikkerhetsansvarlig Ida Marie Vangen.

Kommunen har styrket administrasjonen med en halv stilling som IKT sikkerhetsansvarlig, noe som alene har bidratt til å løfte bevisstheten rundt IKT-sikkerhet i hele organisasjonen.

– Jeg opplever at både ledelsen og de ansatte har en positiv holdning til datasikkerhet, og at de ser at dette er et viktig tema som hele tiden må prioriteres. Det er et veldig godt utgangspunkt, sier Vangen.

Leier inn «hackere»

To ganger i året henter samarbeidskommunene på Øvre Romerike inn en ekstern aktør som får tillatelse til å forsøke å hacke kommunen over en gitt tidsperiode.

– Vår erfaring er at slike tester alltid fører til funn, og dermed er de veldig verdifulle. Det kan være små ting som kan gi en hacker tilgang til kommunens systemer, og en penetrasjonstest vil kunne avdekke slike sikkerhetshull. Dette er ekstremt lærerikt, sier Bostadløkken.

De sikkerhetshullene som blir avdekket ved slike tester, blir raskt tettet. Deretter kan kommunen tipse sine samarbeidskommuner om hva de har avdekket.

– Å dele erfaringer med andre kommuner er veldig viktig, men da må først sikkerhetshullene være tettet. Jeg lar meg imponere av den åpenheten Østre Toten har hatt etter det store angrepet de ble utsatt for. Det har vært nyttig for mange, og den beste læring er å lære av andres feil, sier Bostadløkken.

Samarbeidskommunene i DGI har etablert et eget sikkerhetsutvalg der representanter for alle kommunene er med. Her deler kommunene fortløpende erfaringer og ny kompetanse med hverandre, og de tar opp aktuelle utfordringer.

Tar backup på bånd

Etter angrepene på Østre Toten kommune og blant flere bedrifter på Haugalandet, som også mistet tilgang til alle sine systemer, besluttet Etne å innføre en tredje backup-løsning, helt frikoblet fra nett og sky.

– Så lenge du er koblet til en form for nettløsning, så er det risiko for at uvedkommende kommer seg inn. Vi tar jevnlig backup på bånd. Om teipen så er én uke gammel, så kan vi uansett komme oss raskere på beina igjen. Kall det en dobbeltsikring på dobbeltsikringen, sier kommunedirektør Bjørn Tollefsen i Etne.

Kommunen har også gjort andre tiltak. Etne og Vindafjord kommuner har felles IT-avdeling. Serverparken er fornyet, og delt mellom de to kommunene. Alt innholdet speiles, slik at om det ene rådhuset brenner ned, så kan driften fortsette uforstyrret fra det andre.

Tollefsen våger likevel ikke å gi IT-sikkerheten toppkarakter.

– Vi er blitt mye mer bevisst på IT-sikkerhet nå enn før. Slik verden har utviklet seg etter at vi gjorde disse tiltakene våre, har ikke behovet for IT-sikkerhet blitt mindre, sier Tollefsen.

Testet om ansatte klikket

Ulvik, Kvam og Eidfjord testet ansattes årvåkenhet mot phishingforsøk ved å sende ut en e-post med suspekt tittel og lenke. Testen var todelt; hvor mange klikket på e-posten og hvor mange klikket også på lenken?

– Testen var ikke helt positiv. Det var mange som gikk inn. Det lærte oss at vi må gi enda mer informasjon til ansatte om den type forsøk, sier kommunedirektør Thore Hopperstad i Ulvik.

De siste årene har Ulvik gjennomført en rekke sikkerhetstiltak, blant annet offline backup hos eksternt firma, oppdeling av nettverk og inngått avtale om overvåking av logger. Ulvik har IT-løsninger gjennom Kvam herad.

– IT-sikkerhet er noe vi har fokus på hele tida. Vi har ulike plattformer, deriblant en politikerplattform som er mer sårbar. Vi har erfart at den er blitt forsøkt hacket. Vi blir aldri gode nok på IT-sikkerhet, sier Hopperstad.