Gode forberedelser kan minimere tap og skader ved cyberangrep, skriver Erik Nord og Jørn Bremtun. Illustrasjonsfoto: Colourbox

Norske kommuner må ta cyberansvar

Debatt. Et cyberangrep kan sette hele kommuner og kommunale etater helt ut av spill. Dette bør få norske kommuneledere til å sette cybersikkerhet høyt på agendaen.
8.10 2018 08:37
Gode forberedelser kan minimere direkte økonomiske tap, hindre tap av omdømme.

I flere konkrete eksempler har manglende cybersikkerhet allerede satt norske virksomheter og enkeltpersoner i fare. Store mengder sykehusdata er allerede på avveie etter et alvorlig cyberangrep mot Helse Sør Østs datterselskap Sykehuspartner, og hacking har resultert i at persondata om 35.000 skoleansatte og elever i Bergen har vært tilgjengelig på internett.

I begge tilfeller kan dataene om enkeltpersoner brukes til å lage falske ID-er, og i saken om pasientdata kan dataene fra din sykehusjournal i tillegg bli manipulert av fremmede makter.

Mangel på forsvarlig håndtering har i mange tilfeller allerede fått store konsekvenser både for styrer og ledelser i de virksomhetene som er blitt rammet.

Det vil aldri være mulig å sikre seg 100 prosent mot dataangrep og inntrengere fra cyberspace, men med ledelsesfokus er det fullt mulig å begrense skade, tap av omdømme og unngå bøter som følge av brudd på de nye reglene for håndtering av persondata, GDPR.

I tillegg kommer ny og revidert sikkerhetslov fra 1. januar 2019. Norske kommuner er allerede underlagt sikkerhetsloven og vil trolig få sitt ansvar ytterligere innskjerpet.

Hva kan ledelsen i en kommune gjøre for å sjekke om man er godt nok forberedt på et dataangrep?

Punkt 1: Virksomheten bør ha Cybersecurity-planer (CS-planer) som dekker både varslingsplikter og krisehåndtering i tilfelle cyberangrep eller lekkasje av persondata. Planene må svare på hvilke varslingsplikter som gjelder, og hvem som eventuelt er riktig varslingsmyndighet(er). Her kan flere offentlige instanser komme inn i bildet. Det er varslingsplikt i gitte situasjoner både til sektormyndigheter, Datatilsynet, Nkom og Nasjonal sikkerhetsmyndighet (NSM), men politi og andre regulatoriske myndigheter kan også være aktuelle. I en CS-plan må det etableres en operativ beredskapsgruppe og rutiner for å øve på planen regelmessig.

Punkt 2: I tillegg bør planene ha et opplegg for krisehåndtering av selve datainnbruddet og utkast til strategi, budskap og informasjonsrutiner overfor egne ansatte, innbyggere og kunder, partnere og leverandører om at IKT-infrastrukturen er kompromittert og/eller persondata er på avveie. CS-planene bør på plass raskt. Faren for dataangrep og/eller tap av persondata er en permanent trussel. Varslingsfristene er korte. Når uhellet er ute, er det for sent å planlegge.

Punkt 3: IKT-infrastrukturen må også være godt nok beskyttet. Her er noen spørsmål en rådmann eller en ledergruppe i en kommune bør stille og helst få tilfredsstillende svar på:

Finnes det en sentral oversikt over egne virksomhetskritiske IKT-systemer? En liste med prioriterte systemer. Stikkord er tjenesteproduksjon og adgangen til persondata. Hvis uhellet er ute, er det viktig å vite hvor man bør sette inn beskyttelsestiltak for å kunne drive hele eller deler av kommunen videre, selv under angrep.

Har vi et system for risikovurdering som også omfatter cybersikkerhet? Uten en slik vurdering vil det være vanskelig å prioritere og sette inn beskyttelsestiltak på riktig sted.

Er man allerede kompromittert uten å vite om det? Her vil de fleste være avhengig av ekstern hjelp til en gjennomgang og å etablere aktiv nettovervåking. Stikkord her er løpende tilgang til sikkerhetsovervåkings SOC (security operations center)- og analyse CERT (Computer Emergency Response Team) -tjenester. Ifølge undersøkelser er det bare et fåtall av norske kommuner som har slik overvåking i dag.

Er IT-infrastruktur og persondata godt nok beskyttet mot inntrengere eller eksponering? Dataangrep er en ting, men Datatilsynet kan også komme på kontroll og sjekke at alt er i henhold til lover og regler. Dette ble innskjerpet med GDPR.

Er IT-infrastrukturen slik at et mulig dataangrep kan begrenses? Supertankere er bygget med vanntette skott som hindrer vannet i å fylle hele tankeren ved en grunnstøting. I mange virksomheter er det slik at hvis man hacker seg inn ett sted, så har man tilgang til hele virksomhetens infrastruktur, det vil si IKT-infrastrukturen med produksjonssystemer, servere og e-post.

Forvalter vi vårt ansvar for IKT-sikkerhet godt nok? Mange kommuner og private virksomheter har satt bort IT-drift (outsourcing) og -håndtering til eksterne leverandører. Da er det viktig å huske på at både kommunen og private virksomheter kan sette ut drift og arbeidsoppgaver, men ansvaret ligger hos kommuneledelsen.

Til slutt: Hvis svaret på noen av disse spørsmålene er nei, bør man handle raskt. Gode forberedelser kan minimere direkte økonomiske tap, hindre tap av omdømme og unngå eller redusere eventuelle bøter.

Delta i debatten

Vi overvåker denne debatten kontinuerlig mellom kl. 07 og 24. Kommentarfeltet er nå stengt og åpner igjen kl. 07.00. Velkommen tilbake da!