Fokus og kreativitet kan højne it-sikkerhed
Jens Reiermann
VelfærdsredaktørTorben K. Andersen
Politisk redaktørLandets kommuner er i stigende fare for at blive angrebet på sine it-systemer. De er i konstant kapløb med hackere og andre it-kriminelle, der hele tiden udvikler nye og avancerede metoder til at trænge ind i de enorme mængder af personfølsomme data om borgernes økonomi, helbred og sociale forhold, som kommunerne råder over.
Oplysningerne kan sælges videre eller bruges til at afpresse kommunerne. Nordfyn, Gribskov og Odense er nogle af de kommuner, som i år har været udsat for angreb på deres it-systemer.
Men det er formentlig kun toppen af isbjerget. For i takt med at flere og flere opgaver bliver digitaliseret, og brugen af tablets og trådløse netværk stiger, er kommunerne i stigende grad sårbare over nye angreb, hvis sikkerheden ikke følger med udviklingen hos de it-kriminelle.
Allan Bjerre, director i revisions- og rådgivningsfirmaet KPMG, forstår godt, at politikerne har fokus på digitalisering, da det kan sikre en langt mere effektiv velfærd. Men han mener også, at kommunernes it-sikkerhed skranter.
”Der er generelt for lidt fokus på den risiko, som er forbundet med den øgede digitalisering. Det kan koste dyrt, både menneskeligt og økonomisk,” siger Allan Bjerre.
Han har som led i et projekt med DI Videnrådgiverne og de danske revisorers brancheorganisation FSR taget temperaturen på Syddjurs Kommunes datasikkerhed. Konklusionen er klar: Der er potentiale for forbedringer.
"Syddjurs har ganske vist nedskrevet en god sikkerhedspolitik. Men den er ikke implementeret i praksis. Der er ikke allokeret reelle timer til opgaveløsningen," siger Allan Bjerre.
Styrker og svagheder
KPMG anbefaler, at Syddjurs Kommune hele tiden fokuserer på, hvordan den kan blive bedre til at sikre en høj it-sikkerhed, sørger for, at ledelsen er involveret i at stille krav, og at man tænker kreativt i henseende til anvendelsen af de sparsomme ressourcer, man har til området.
Kommunen bør også overveje at indgå i ressourcefællesskaber sammen med andre kommuner og f.eks. etablere fælles datacentre eller dele regningen til etablering af den fornødne sikkerhedsorganisering.
"Syddjurs undslår sig et nødvendigt fokus på sikkerhed og henviser til manglende ressourcer og begrænsninger for en lille kommune. Generelt kan man sige, at hvis det er udgangspunktet, er det rent guf for hackerne. For en passiv tilgang til sikkerhed betyder, at man sænker paraderne og gør opgaven med at bryde sikkerheden nemmere,” siger Allan Bjerre.
Syddjurs Kommune har ca. 280 forskellige it-systemer, der dækker hele paletten fra rottebekæmpelse og indberetning af huller i vejene til store systemer om beskæftigelse, pleje af ældre og lønudbetalinger.
Når KPMG måler kommunens såkaldte modenhed inden for it-sikkerhed på seks forskellige områder som ledelse, risikostyring og beredskab, scorer den stort set ens på alle parametre. Det samlede resultat er hverken til top- eller dumpekarakter.
"Jeg vil betegne det, som at kommunen har en pragmatisk tilgang til it-sikkerhed, hvor man prøver at løse de problemer, man ser, men lidt lukker øjnene for det fulde risikobillede og håber på, det ikke går galt,” siger Allan Bjerre.
Han opfordrer også til, at Syddjurs uddanner flere it-specialister, sikrer de nødvendige økonomiske ressourcer til området og øger tilsynet.
På plussiden fremhæver Allan Bjerre, at kommunen har udviklet gode digitale løsninger, har en naturlig tilgang til at beskytte data i den daglige forvaltning, har styr på licensomkostninger, besidder et motiveret personale på it-området og fokuserer på talent.
Men Syddjurs har ligesom mange andre kommuner en stor udfordring med at adskille data, så kun de ansatte, som har behov for det, kan se de nødvendige og relevante data. Og så er der nogle af udfordringerne, der ikke kan løses af kommunen selv.
"Syddjurs bør fokusere på at løse den del af problemet, som de kan. Men hele problemet kan ikke løftes af de enkelte kommuner alene. For systemerne blev designet sådan for 20 år siden, hvor krav og lovgivningen var anderledes end i dag. Der er brug for at tage en diskussion i den offentlige sektor om, hvordan man samarbejder med sine leverandører og med hinanden. Det er på tide at få gjort lovgivningen tidssvarende," siger Allan Bjerre.
Afdelingsleder for Digitalisering i Syddjurs Kommune Jon Badstue Pedersen er indstillet på at gennemføre flere af anbefalingerne.
”Analysen sætter fingeren på de rette ting. Nogle af udfordringerne kendte vi i forvejen. Andre er nye. KPMG har ret i, at vi kan blive bedre til at bringe informationssikkerhed og risikostyring til topledelsen. Der er et gap mellem vores ambitiøse informationssikkerhedspolitik fra 2008 og så det informationssikkerhedsarbejde, vi har fået implementeret i praksis, og vi havde derfor inden KPMG’s besøg besluttet os for at starte en proces, hvor vi revurderede politik og organisering sammenholdt med implementering af den nye ISO-standard,” siger Jon Badstue Pedersen og tilføjer:
”Man kan også godt forestille sig tanken om, at vi gik sammen med tre-fire andre kommuner for at samle ressourcerne til en informationssikkerhedsansvarlig eller købte ydelsen ude i byen.”
Sikkerheden halter
Selv om it-sikkerhed ikke er den opgave, som står øverst på politikernes ønskeliste, når de økonomiske ressourcer skal prioriteres, så synes problemerne at vokse. Trusselsbilledet er under konstant forandring. Hackere og andre kriminelles evner til at angribe stiger hurtigere end hos dem, som skal forsvare sig mod angreb.
[graph title="Sikkerheden skranter" caption="Figur 1 " align="left" image="https://www.mm.dk/wp-content/uploads/2016/01/143e2-tka_fig01_sikkerheden-skranter.png" image_width="0" image_full="https://www.mm.dk/wp-content/uploads/2016/01/7a88b-tka_fig01_sikkerheden-skranter.png" text="80 pct. af de forskellige typer af alarmer, som de offentlige og private virksomheder havde registret, var ikke blevet fanget af sikkerhedsværn. "]Kilde: KPMG. [/graph]KPMG har lavet en omfattende undersøgelse af datasikkerheden i 18 private og offentlige danske virksomheder med tilsammen 116.000 brugere – det vil sige folk med adgang til en pc. Alle virksomheder havde inden for en måned en eller anden form for malware, som var kommet ind i systemet. Se figur 1.
Én ting er dog at komme ind i systemet. Det er langt farligere, når hackerne kan sende oplysninger ud af systemet som f.eks. kodeord, personoplysninger eller billeder taget med webkameraer uden brugernes viden. Det var sket for 83 pct. af virksomhedernes vedkommende. Og af de 1.800 forskellige typer af alarmer, som virksomhederne samlet havde registret, var de 1.400 slet ikke blevet fanger af virksomhedernes antivirusprogrammer og andre sikkerhedsværn og blev derfor ikke stoppet.
En anden stor undersøgelse foretaget af KMD Analyse for nylig tegner også et billede af, at der i vid udstrækning sker brud på it-sikkerheden i den offentlige sektor. Halvdelen af de offentligt ansatte kender til mindst et brud på informationssikkerheden på deres arbejdsplads i løbet af de sidste 12 måneder. Næsten hver femte offentligt ansatte har oplevet, at fortrolige oplysninger om borgerne har været tilgængelige for medarbejdere uden relation til sagen. Og hver tredje offentligt ansatte føler sig ikke godt nok klædt på til at behandle fortrolige personoplysninger i det daglige.
"Trusselsbilledet er anderledes i dag. Hvor det tidligere kunne være f.eks. banker og store virksomheder, der typisk blev angrebet, er det nu også offentlige myndigheder. De angreb, vi kan læse om i medierne, udgør kun toppen af isbjerget. Der er en stor børs, hvor kriminelle kan tjene mange penge på at sælger kompromitterende oplysninger. Deres evne til at få ram på os øges langt hurtigere end vores evne til at få ram på dem. Det er et kapløb, som er svært at vinde. Men en professionel indsats gør en stor forskel. En ting er dog sikker: Har man ikke styr på sin sikkerhed nu, kan man være ret sikker på, at man på et tidspunkt bliver ramt," siger Allan Bjerre.