Toppledere mer bekymret for IT-sikkerhet enn før

Knapt 4 prosent av topplederne karakteriserer IT-sikkerheten i egen kommune som «meget god». Det er en halvering fra i fjor, viser Kommunal Rapports kommunedirektørundersøkelse. 60 prosent av topplederne vurderer kommunens IT-sikkerhet til «midt på treet» – en økning på 17 prosentpoeng fra i fjor.

Fagdirektør Roar Thon i Nasjonal sikkerhetsmyndighet NSM sier at topplederne har grunn til å være bekymret for IT-sikkerheten.

– Ja, fordi det rammer oss alle, enten det er tilfeldig eller målrettet. Det finnes i realiteten ingen virksomhet i privat eller offentlig sektor som ikke rammes. Uansett om man er Oslo eller en liten kommune, så må de gjøre det de kan for å sikre seg best mulig, sier Thon.

Ber kommuner være på vakt

I løpet av oktober har både NSM og Kommune-CSIRT gitt ut nye digitale risikobilder. Begge peker på at Russlands invasjon av Ukraina har økt risikonivået i Norge. Begge anbefaler kommuner med kontaktflater mot russiske og ukrainske selskaper, institusjoner, leverandører og annet samarbeid om å være spesielt oppmerksomme.

– Situasjonen var å ta på alvor også før dette skjedde. Det har særlig betydning for kritisk infrastruktur, som innbyggerne er avhengige av. Det er det mye av i kommunene, sier Thon.

Kommune-CSIRT ber kommuner med kraftproduksjon eller krafttransport innen sitt område om å være spesielt på vakt. De skriver at digitale angrep mot tekniske installasjoner i Norge også kan innbefatte kommunalt vann og avløp og andre kommunaltekniske løsninger.

Thon sier det er viktig at kommunene forstår at de kan risikere å bli en brikke i et spill som handler om å skape et annet narrativ enn den reelle historien. 

– Så hva bør disse kommunene gjøre?

– Det er mye å hente på helt grunnleggende sikkerhetstiltak. Det er liten vits i å bekymre seg over om noen kan komme seg inn lufteluka på låven, hvis låvedøra står åpen. Start med det grunnleggende først, sier Thon.

Må jobbes med hver dag

Mer enn ni av ti kommunedirektører opplyser i kommunedirektørundersøkelsen at de har innført ekstra sikkerhetstiltak på IT-området det siste året. De vanligste tiltakene er, ifølge topplederne: 

• innføring av tofaktorautentisering 
• opplæring av ansatte
• bedre brannmurer
• økt overvåking

Mange har gjennomført forvaltningsrevisjon eller ROS-analyse av egen IT-sikkerhet, og gjennomført tiltak i etterkant. Flere har også avholdt øvelser.

– Dette er fornuftige tiltak, og mange av de grunnleggende tingene vi anbefaler. Det er også viktig å huske at dette ikke er noe man blir ferdig med, men som må jobbes med hver dag, sier Thon.

Ifølge NSMs ferske digitale risikobilde de vanligste angrepsteknikkene i 2022 bruk av innhentede brukerdetaljer og automatisert passordgjetting.

Råd til politikerne

Thon sier at hvis noen kommuner ikke allerede har gjort det, så bør de starte et systematisk arbeid med å skaffe oversikt over hva de har av verdier og hvilke plattformer de drifter selv eller sammen med andre. 

De bør også vurdere egen evne til å oppdage og handle dersom noe skjer. Kanskje bør de også vurdere om de får mer kompetanse og ressurser på å samarbeide med andre kommuner.

– Hva bør kommunepolitikere spørre administrasjonen sin om?

– Jeg ville startet med nåsituasjonen. Spør om kommunen har oversikt over hvor ofte og hvordan de blir angrepet. Alle kommuner blir forsøkt angrepet hver dag. Det snakkes lite om de tusenvis av angrepsforsøkene som strander på grunn av eksisterende sikkerhetstiltak. Still spørsmålet: Er vi forberedt? Hva trenger vi for å sove litt bedre om natten? sier Thon. 

(Artikkelen fortsetter etter grafikken.)

Tre sentrale spørsmål

Fagsjef Suhail Mushtaq i KS' avdeling for strategisk IKT og digitalisering har ett mantra. Under KS Vikens høstkonferanse i forrige uke sa han at det ikke hjelper med all verdens sikkerhetstiltak, så lenge kommuneledelsen ikke kan svare på tre spørsmål:

1) Hva skjer med kommunen hvis systemene er helt utilgjengelige eller ikke er til å stole på?

2) Hvordan, hvor lenge og hvilken del i kommunen kan du operere på tross av at systemene er utilgjengelige eller ikke til å stole på?

3) Hvor kan du søke hjelp hvis så skjer?

– En av hovedutfordringene i dagens samfunn er at teknologien og datanettverkene er komplekse og endringene skjer så raskt at det er vanskelig å ha kontroll over dem. Derfor må de ses på som kompromitterte eller usikre. Spørsmålet du må stille deg, er hvordan du kan operere i et slikt fiendtlig eller dynamisk miljø og levere kommunale tjenester og samtidig utvikle kommunen, sa Mushtaq under høstkonferansen.