– Skremmende dårlige på IT-sikkerhet

I dag er det ingen aktører som overvåker IT-sikkerheten i kommunesektoren. Ekspert slår alarm om hvor dårlig rustet kommunene er for å håndtere dataangrep.


<p>SIKKERHET: Norske kommuner sitter med mye informasjon om nordmenn. Eksperter slår alarm om datasikkerheten.</p>

SIKKERHET: Norske kommuner sitter med mye informasjon om nordmenn. Eksperter slår alarm om datasikkerheten.

– Det er skrikende mangel på kompetanse på IKT, og spesielt sikkerhet, i mange kommuner, sier Bjarte Malmedal, seniorrådgiver ved Norsk senter for informasjonssikring (NorSIS).

Norske kommuner driver et kontinuerlig arbeid for å digitalisere tjenester innenfor sine ansvarsområder. Det gjelder blant annet primærhelsetjenesten, som sykehjem og allmennlegetjeneste, sosialhjelp, grunnskole, barnehager, renovasjon, vann og avløp, brann- og redningstjenester og fritidsklubber.

I norske kommuner ble det i 2017 registrert 233 digitaliseringsprosjekter av KS.

– Ingen oversikt

Nå offentliggjør NorSIS en rapport, som gjør dem bekymret for sikkerheten i kommunenes digitale systemer.

– Det er skremmende hvor dårlige forutsetninger de har for å håndtere datasikkerhet, sier Malmedal, og legger til at det også er store forskjeller på store og små kommuner.

Nasjonal sikkerhetsmyndighet (NSM) har tidligere påpekt at de frykter at digitaliseringen går for raskt, på bekostning av sikkerheten.

– Det vokser frem nye trusler, men ingen har oversikt over omfanget eller hvordan det skjer. Det er et utrolig stort problem, sier Malmedal.

I rapporten konkluderer de med at kommunal sektor burde få en egen Cert, en faggruppe som overvåker farene, og rykker ut med hjelp til både opplæring og ved hendelser i sektoren. De beskrives ofte som et digitalt brannkorps.

 <p>RAPPORT-SJEF: Seniorrådgiver Bjarte Malmedal ved Norsk senter for Informasjonssikring (NorSIS).</p>

RAPPORT-SJEF: Seniorrådgiver Bjarte Malmedal ved Norsk senter for Informasjonssikring (NorSIS).

Bekymret statssekretær

Fra før fins blant annet finansbransjens FinansCert, helsesektoren har HelseCert, kraftbransjen har KraftCert og NSM har den overordnede nasjonale NorCert.

Statssekretær Thor Kleppen Sættem (H) i Justisdepartementet deler bekymringen med NorSIS.

– Sikkerhetsutfordringen innen IKT er en av de største sikkerhetsutfordringene vi har. Jeg er svært bekymret for at vi har for små og svake fagmiljø for å drive et godt sikkerhetsmiljø innen IKT. Og så er det generelt for lite kompetanse og for svak sikkerhetskultur innen IKT i det norske samfunnet, sier Sættem til E24.

Spesialrådgiver Anne Mette Dørum i KS, kommunesektorens interesse- og arbeidsgiverorganisasjon, var med på arbeidet med rapporten, og hun har inntrykk av at de fleste kommuner og fylkeskommuner er klar over at de har behov for mer kompetanse på informasjonssikkerhet og personvern.

– Vi opplever at det er en usikkerhet knyttet til hva man skal gjøre når noe skjer, hvordan man skal være sikre på at systemene er sikre nok, og hvordan man øver på å håndtere situasjoner, sier Dørum til E24.

Digitaliserings-press

Riksrevisjonen har tidligere publisert en rapport der de mener kommunene ikke er digitalisert nok og at det mangler kompetanse og gode IT-løsninger.

– Vi får kritikk for at det går for sakte, men vi snakker om områder som sosialtjenester, helsestasjon og eldreomsorg. Det er så mange sårbare enkeltindivider, og sensitiv informasjon. Glipper det på personvern og informasjonssikkerhet, er det kritisk, sier Dørum.

Hun forklarer at de nå er i en situasjon der det ikke er tydelig om andre Certer har mulighet for å levere CERT-tjenester til avgrensede deler av kommunenes virksomhet, eller om det bør lages en overordnet KommuneCert.

Og om det igjen skal bli opprettet en Cert, må det ha en departementstilknytning.

– Vi mener også at det er en oppstartskostnad her som burde være på statsbudsjettet, sier Dørum.

Sættem i Justisdepartementet sier at han er usikker på om en Cert er en god løsning på utfordringene i kommunalsektoren.

– Jeg er skeptisk til at vi bygger enda et fagmiljø. Det er viktigere at vi ser på de kapasitetene vi bygger rundt de fagcertene vi har, ikke minst NorCert, sier Sættem.

Utdanning

Han forklarer også at kommunene er såpass brede organisasjoner at det vil være vanskelig å favne bredden.

– Jeg tror det trengs en annen type arena. Oslo, Bergen og andre store kommuner har helt andre utfordringer og behov enn små kommuner. Jeg tror ikke en Cert klarer å løse den fundamentale utfordringen, sier Sættem.

Han mener at løsningen vil ligge i å styrke fagmiljøer.

– Det første vi er opptatt av er at vi trenger flere som tar IKT-utdanning. I løpet av 2016, 2017 og 2018 er opptaket til ikt-utdanningene økt med 1500 studenter, altså bortimot 6000 studenter i et fireårsløp. Neste trinn er å gjøre nok en satsing for å sørge for at flere tar etterutdanning innen IKT-sikkerhet. Og så har vi i Justisdepartementet gitt DSB i oppdrag å vurdere en felles arena og kriterier som kommune- og fylkesmannsnivået skal jobbe ut fra, sier Sættem.

Vis kommentarer

Kjære kommentarfeltbruker!

Vi ønsker dine argumenter og meninger velkommen. Vær saklig og vis omtanke, mange leser det du skriver. Gjør debatten til en bedre opplevelse for både andre og deg selv.

Les mer om våre regler her.

På forsiden nå