Skuffet over valg av fagmiljø for IT-sikkerhet

Siden 2011 har Norsk helsenett SF bistått kommunene med datasikkerhet på helseområdet. Fra 1. desember blir oppdraget utvidet til hele kommunesektoren. Det er klart etter at regjeringen utpekte Norsk helsenett SF til å opprette nytt responsmiljø for IT-sikkerhet i kommunesektoren sist fredag.

Kommune-CSIRT IKS har i flere år forsøkt å overbevise regjeringen om at de burde utpekes som nytt databeredskapsteam – eller cert (Computer Emergency Response Team) for kommunesektoren. Daglig leder Bjørn T. Tveiten legger ikke skjul på at han er skuffet over regjeringens beslutning om å legge cert-funksjonen til Helsecert, en del av Norsk helsenett SF.

– Jeg synes det er veldig synd at regjeringen raserer et sikkerhetsmiljø som vi har brukt fire år på å bygge opp. Vi håpet at vi skulle bli utpekt som ny cert. Vi har nå nesten 60 medlemskommuner. Mange ventet på at vi skulle bli pekt ut som ny cert. Og så gjør regjeringen noe helt annet, sier Tveiten.

Dette skal de tilby

Det nye Kommunecert vil fungere som en førstelinje for kommunene, og skal koordinere henvendelser mot andre responsmiljøer, slik at kommunene har ett kontaktpunkt ved hendelser. Tjenesten skal finansieres via departementet.

Helsecert har gjennom flere år bygget opp tjenester som informasjonsdeling, rådgivning, sårbarhetsskanning, inntrengingstesting og hendelseshåndtering. Meningen er at det nye Kommunecert skal bygge videre på disse tjenestene.

– Kommunene vil i stor grad oppleve at de får de samme tjenestene av oss som før. Vi vil nok oppskalere noe og yte tettere oppfølging. Kanskje vil vi tilby flere tjenester og videreutvikle de vi har, sier Gunnar A. Johansen, avdelingsdirektør i Helsecert.

– Betyr dette at kommunene kan si opp sine egne IT-sikkerhetsfolk?

– Det kan de ikke. Det ligger i kommunenes eget ansvar for datasikkerhet. Oppdraget vi har fått nå, innebærer ikke at vi skal utføre deteksjon på alle servere i alle kommuner i Norge. Men vi vil kunne bidra til å gi kommunene et løft, sier Johansen.

Regjeringen er i sin bestilling tydelig på at kommunene fremdeles vil ha ansvaret for å sikre sin egen virksomhet, og for å håndtere ekstraordinære IT-sikkerhetshendelser. Det er også kommunene selv som vil ha ansvaret for kommunikasjon, varsling og rapportering i egen styringslinje.

– Kommunene vil ha ansvaret for å håndtere hendelser, men vi kan bistå med våre ressurser. Vi kan analysere og gi råd om hva kommunene bør gjøre, sier Johansen.

Da regjeringen slapp nyheten om utpeking av Kommunecert sist fredag, uttalte KS-leder Gunn Marit Helgesen at det er gledelig at det nå kommer et konkret tiltak for å styrke den digitale sikkerheten i kommunene. Et kommunecert har stått øverst på KS' ønskeliste i flere år.

Blir ingen konkurrent

Lillehammer-ordfører Hans Olav Sundfør (H) ble informert om regjeringens avgjørelse i et møte sist torsdag. Lillehammer og Gjøvik kommuner utgjør generalforsamlingen i Kommune-CSIRT IKS, som eier Kommunecert AS. Det er Kommunecert AS som leverer tjenester til kommunesektoren – finansiert gjennom medlemsavgift.

– Det sier seg selv at dette ikke var det utfallet vi ønsket oss. Vi hadde ønsket oss at regjeringen hadde utpekt Kommune-CSIRT som ny cert. Det har vi også kommunisert. Det er unaturlig å tenke seg at virksomheten til Kommune-CSIRT skal fortsette og utvikle seg parallelt med den nye cert-en, sier Sundfør.

Han sier at regjeringen har antydet muligheten for at de ansatte i Kommune-CSIRT IKS med datterselskapet Kommunecert AS kan virksomhetsoverdras til Nasjonal sikkerhetsmyndighet. På kort sikt vil virksomheten i Kommunecert AS fortsette som før.

– Vår hensikt med å etablere Kommune-CSIRT var å få et tilbud som skulle ivareta kommunenes behov for datasikkerhet. Departementet mener at den funksjonen i framtiden skal ivaretas av Helsecert. Det var aldri i vår hensikt å lage et selskap som skulle være en konkurrent til en statlig kommune-cert, sier Sundfør.