KS foreslår strakstiltak for å bedre IT-sikkerheten i kommunene

Kommunene har ulik modenhetsgrad innen informasjonssikkerhet, digital beredskap og personvern. Det konkluderer KS med, etter å ha kartlagt hvilke sikkerhetstiltak som raskt kan iverksettes, gitt den økte cybertrusselen etter Russlands invasjon av Ukraina. 

Blant funnene er at kommunene:

• har ulike ressurser innen personell og økonomi,
• har ulik kompetanse og informasjonstilgang,
• har ulik strategisk styringskompetanse, både i administrativ og politisk ledelse,
• mangler felles krav og samstyring.

Foreslår NPISK

Nå foreslår KS et nasjonalt program for informasjonssikkerhet i kommunal sektor (NPISK). I et skriftlig innspill til Kommunaldepartementet skisserer KS en tiltakspakke med sju tiltak som kan gjennomføres i 2022/23. 

Kostnadene er beregnet til 24 millioner kroner – vel halvparten av de 50 millionene Stortinget bevilget i mai til styrking av IT-sikkerhet i kommunesektoren som følge av invasjonen av Ukraina.

Avdelingsdirektør Asbjørn Finstad i KS' avdeling for strategisk IKT og digitalisering sier at KS så langt ikke har fått noe formell tilbakemelding om initiativet. Etter det han har forstått, ligger innspillet nå til politisk behandling.

– Vi er utålmodige etter å få satt disse pengene i arbeid. Det er viktig for kommunesektoren at det blir gjort, sier Finstad.

Egen CERT for kommunene

Øverst på prioriteringslista til KS står etablering av CERT-funksjon (Computer Emergency Response Team) for kommunesektoren. 

I dag er det flere responsmiljøer som retter seg mot kommunal sektor, som Helse-CERT og Kraft-CERT. Felles for disse er at de er organisert sektorvis, og treffer flere eller ulike deler av kommunal sektor. 

«Det er et behov for å etablere en CERT-funksjon for kommunal sektor, som også kan koordinere mellom øvrige eksisterende CERT-funksjoner», anbefaler KS til departementet. De viser til at kommunesektoren kan trenge hjelp til blant annet sårbarhetsskanning, varsling og hendelseshåndtering. 

– Det er viktig at alle kommuner skal kunne benytte seg av den, at den har et tilpasset tjenestetilbud til kommunal sektor og at den er varig, sier Finstad.

– Er Kommune-CSIRT svaret?

– Kommune-CSIRT har en eierstruktur i dag som mange kommuner finner det krevende å forholde seg til. Skal de ha rollen som «sektor-CERT», så er det behov for å vurdere organiseringen og styrke kapasiteten i organisasjonen. Det er også dagens eiere av Kommune-CSIRT åpne for, sier Finstad.

Regionalt samarbeid

KS skisserer overfor Kommunal- og distriktsdepartementet at de regionale digitaliseringsnettverkene vil få en viktig rolle i gjennomføringen av flere av tiltakene. Tanken er at disse skal gå sammen i tre–fem nettverksklynger, som vil få ansvar for flere av tiltakene. KS skisserer overfor departementet at KS og digitaliseringsnettverkene vil dele de 24 millionene likt.

Det første regionale digitaliseringsnettverket oppsto blant et knippe kommuner i Hordaland (nå Vestland) i 2017. Siden har alle regioner i landet enten etablert eller er i ferd med å etablere regionale digitaliseringsnettverk.

– Nettverkenes nettsider tyder på at noen er veldig aktive, mens andre ikke ser ut til å ha kommet i gang. Hvordan skal de klare å gjennomføre oppgavene?

– Det er riktig at det er forskjellig hvor langt disse nettverkene har kommet. Uansett finnes det – som prosjekt eller samarbeid – et opplegg som er forankret på kommunedirektørnivå, i mange kommuner også på politisk nivå. Alle nettverkene er slik at hvis de får tilført oppgaver og penger, vil de prøve å bemanne opp. Vårt forslag er å prøve ut et samarbeid med diginettverkene om dette arbeidet, så blir det opp til KDD å vurdere hvordan pengene skal brukes, sier Finstad.

KS har også fått tilskudd av KDD for å utrede hvilke sikkerhetstiltak kommunesektoren samlet trenger, og hvordan disse behovene kan løses. Kartleggingen startet forrige vinter, og første utkast skal være klart i slutten av november.