Gå til hovedindhold
Momentum
Digitalisering og teknologi

9 ud af 10 kommunale it-chefer: Cybertruslen er større, end vores ressourcer kan håndtere

Der er ikke ressourcer nok til at sikre kommunerne mod hackerangreb i en tid, hvor cybertruslen bliver både mere omfattende og mere kompleks. Det viser en ny Momentum-undersøgelse blandt landets it-chefer. Den kommunale cybersikkerhed skal tages meget mere alvorligt af regeringen, lyder det fra eksperter.

10. dec. 2024

Indhold

    Af Jon Kirketerp Jørgensen

    Selvom det helt store og lammende cyberangreb mod den kommunale it-infrastruktur indtil videre er undgået, så tegner der sig et dystert billede af de kommunale it-forsvarslinjer. For landets kommuner har ikke tilstrækkeligt med ressourcer til at håndtere et forværret trusselsbillede, hvor antallet af angreb er stigende, og hvor kompleksiteten øges.

    Det viser en ny Momentum-rundspørge blandt landets kommunale it-chefer. Her svarer 97 procent af it-cheferne, at cybertruslen er større eller langt større end kommunens ressourcer til at håndtere truslen. Samtidig erklærer 93 procent af it-cheferne sig enige i, at den digitale trussel er blevet mere kompleks i løbet af de seneste to år. Og 77 procent af it-cheferne vurderer, at antallet af cyberangreb er steget i de seneste to år.

    Søjlediagram der viser, at 98% af kommunerne vurderer at cybertruslen er større eller langt større end kommunens ressourcer

    Det alarmerende billede genkendes af it-sikkerhedsspecialisten Jacob Herbst, der er CTO og partner i it-sikkerhedsvirksomheden Dubex og forperson for regeringens nationale Cybersikkerhedsråd. Han peger på en række forhold, der udfordrer kommunernes it-afdelinger.

    »Vi står med et væsentligt mere komplekst trusselsbillede med nogle væsentligt mere kompetente trusselsaktører, som udfører væsentligt flere angreb. Det er dels et resultat af den geopolitiske situation, men også at de cyberkriminelle kan tjene rigtig mange penge på deres aktiviteter og derfor har mange ressourcer til at udføre cyberangreb og udvikle nye metoder,« siger Jacob Herbst.

    Han forklarer, at kommunerne i højere grad end tidligere er dybt afhængige af kompleks, digital infrastruktur, som er sværere og dyrere at beskytte.

    »Det handler ikke bare om at købe nye antivirusprogrammer. Det handler om at risikovurdere hele sin it-infrastruktur og afklare, hvor og hvordan man kan blive angrebet, og hvordan man bedst beskytter sig mod det. Det er enormt ressourcekrævende. Og hver gang vi finder en ny måde at beskytte os på, så finder de cyberkriminelle på nye måder at angribe os på,« forklarer Jacob Herbst.

    Kompleksitet kræver ressourcer

    I Herning Kommune kan it- og digitaliseringschef Poul Venø nikke genkendende til udfordringerne med cybersikkerheden.

    Kommunen blev i februar i år udsat for et såkaldt DDoS-angreb (et digitalt overbelastningsangreb, der har til formål at forstyrre eller lamme online tjenester. Angrebet udføres ved at oversvømme målet med en enorm mængde trafik, hvilket overstiger systemernes kapacitet til at håndtere dem, red.), hvor kommunens forsvarsværker skulle afværge op mod 250.000 forespørgsler i sekundet. Det kunne systemet ikke klare, og det betød, at kommunens systemer blev langsommere, og for at modstå angrebet, måtte kommunen øge forsvaret til at kunne håndtere 2.5 millioner angreb i sekundet.

    »Når vi skal beskytte os mod sådan nogle angreb, så kræver det både andre it-systemer og flere hænder til at overvåge vores systemer, så vi kan se, hvor angrebet rettes mod. Men vi har den samme bemanding i dag, som vi havde for fem år siden,« forklarer Poul Venø.

    Søjlediagram der viser, at 93% af kommunerne er enige eller meget enige i at cybertruslen er blevet mere kompleks at håndtere de seneste to år

    Den stigende intensitet og kompleksitet i angrebene sammenholdt med et nyt trusselsbillede, får Poul Venø til at tænde en rød lampe.

    »Det her er en tidlig advarsel om, at hvis ikke vi prioriterer kommunernes cybersikkerhed, så ender vi med at blive meget sårbare. Og så risikerer vi, at vi kan blive ramt af angreb, som lægger vigtige it-systemer ned, så vi for eksempel ikke har overblik over, hvilke borgere der skal have besøg af plejepersonale. Og det er jo alvorligt,« siger Poul Venø og fortsætter:

    »Det er heldigvis ikke sket endnu. Men jeg siger ’endnu’. For når vi kigger på udviklingen i de seneste fem år, så går det i retning af mere alvorlige angreb.«

    Livsvigtige funktioner

    Professor i cybersikkerhed ved Aalborg Universitet, Jens Myrup Pedersen, mener, at it-chefernes svar bør give anledning til bekymring. Både på et mere generelt plan i forhold til, at borgerne skal have tillid til, at der bliver passet ordentligt på deres data, men også på et helt konkret plan.

    »Kommunerne løser masser af opgaver, som er afhængige af, at der er adgang til it-systemerne. Der kan få alvorlige konsekvenser, hvis et angreb lammer den kommunale it-infrastruktur. Hjemmeplejere, der ikke kan se, hvilken borger de skal besøge, eller ikke kan se i systemet, hvilken medicin borgeren skal have. Så i sidste ende kan det handle om liv og død,« siger Jens Myrup.

    Han peger desuden på, at truslen ikke blot er hypotetisk. Eksempelvis blev den norske kommune Østre Toten udsat for et angreb for et par år siden. Angrebet betød bl.a., at it-udstyr ikke kunne bruges, man kunne ikke tilgå sundhedsjournaler, og hverken de ældres alarmkald eller brandalarmer virkede. Det tog over ni måneder at få alt op at køre igen, og angrebet kostede den norske kommune omkring 33 mio. norske kroner.

    »Det var et ret voldsomt ransomwareangreb (hvor hackere stjæler og låser data for at få udbetalt en løsesum, red.), som lammede kommunen. Vi har ikke set det i samme grad i Danmark, men vi ser forsøg på det samme,« siger Jens Myrup Pedersen.

    Kan efterlade bagdør på klem

    Cybersikkerhedsprofessoren forklarer desuden, at hvis den kommunale it-sikkerhed ikke er stærk nok, så risikerer vi, at kommunerne bliver en bagdør til andre myndigheder, fordi systemerne er tæt forbundne. Både direkte og indirekte.

    »Hvis to systemer er bundet direkte sammen, så skal sikkerheden selvfølgelig være god nok i begge systemer. Ellers risikerer man, at en aktør ved at få adgang til et system kan ”hoppe” videre til et andet system. Det skal man selvfølgelig sikre sig imod,« forklarer Jens Myrup Pedersen og fortsætter:

    »Men det kan også være mere sofistikeret og mere indirekte end det. Hvis en aktør ved at angribe et kommunalt system for eksempel får adgang til data om en kommunal ansat, der gør vedkommende i stand til at udgive sig for at være den ansatte, så kan man potentielt bruge det til at komme ind i andre systemer,« siger Jens Myrup Pedersen.

    Kommunerne bør omfattes af national plan

    Regeringen har for nylig sendt et lovforslag om det såkaldte NIS2-direktiv i høring. Det drejer sig om implementeringen af et EU-direktiv om national cybersikkerhed. Her er der ikke lagt op til, at kommuner skal være omfattet af de samme sikkerhedsstandarder som staten og regionerne. I stedet kan enkelte kommunale opgaver blive omfattet.

    Søjlediagram der viser, at 98% af kommunerne er enige eller meget enige i at antallet af cyberangreb er steget de seneste to år

    Og det er ifølge de to it-eksperter den helt forkerte vej at gå, hvis man vil beskytte borgernes data og velfærd mod ondsindede hackerangreb.

    »Helt principielt og konceptuelt giver det slet ingen mening at undlade at omfatte kommunerne som udgangspunkt. Dybest set lægger man fra regeringens side op til, at hegnet skal have forskellig højde, afhængigt af, om det er systemer i stat, region eller kommune ,selvom det hele handler om borgernes data i offentlige systemer,« siger Jacob Herbst, forperson for regeringens nationale Cybersikkerhedsråd

    Også Jens Myrup Pedersen fra Aalborg Universitet undrer sig over, at kommunerne som helhed indtil videre ser ud til ikke at blive omfattet i samme grad som staten og regionerne.

    »Jeg er spændt på at se, hvordan det skal fungere i praksis, hvis man kun vil omfatte dele af den kommunale sektor. Mit indtryk er ikke, at man i kommunerne har delt it-systemerne op i en grad, hvor man kan have to forskellige sikkerhedsniveauer. Det vil jo ofte være de samme ansatte på de samme computere, der bruger flere forskellige systemer. Så det er meget tvivlsom, om beskyttelsen bliver effektiv nok,« siger Jens Myrup Pedersen.

    Kommunerne skal ind bag muren

    I KL får rundspørgen blandt it-cheferne Peter Rahbæk Juel, formand for KL’s Arbejdsmarkeds- og Borgerserviceudvalg, til at kræve, at regeringen træder i karakter.

    »It-chefernes svar viser tydeligt, at der er behov for, at regeringen tager affære. Hvis NIS 2-direktivet bliver implementeret som foreslået, så bliver kommunerne efterladt på ydersiden af en digital sikkerhedsmur, og det er uholdbart, når trusselsbilledet bliver mere og mere alvorligt. Det her handler om opgaver helt tæt på borgernes hverdag, og de er alt for vigtige til ikke at blive omfattet af en national plan. Det har vi gentaget og gentaget over for regeringen, men der er af en eller anden grund ikke hul igennem,« siger Peter Rahbæk Juel.

    Han mener, at kommunerne bør være en del af det nationale cyberforsvar. Det kræver, at kommunerne som helhed bliver omfattet af NIS2-direktivet, ligesom resten af Norden og hovedparten af Europa har gjort.

    »I Danmark bryster vi os af at være det mest gennemdigitaliserede land i verden. Men det betyder også, at vi er et af de mest digitalt udsatte lande. Den sårbarhed er vi nødt til at tage hånd om. Kommunerne skal ikke være en åben flanke for angreb i en tæt forbundet offentlig, digital infrastruktur, hvor det svageste led kan blive vejen ind. Vi har brug for ét samlet, nationalt cyberforsvar, hvor også kommunerne er inkluderet, og jeg forstår simpelthen ikke, at regeringen gør så lidt for det,« siger Peter Rahbæk Juel.

    Minister: Vi har også fokus på kommunerne

    Ansvaret for implementering af NIS2-direktivet ligger hos det nydannede ministerium for samfundssikkerhed og beredskab. Her forklarer minister Torsten Schack Pedersen (V), at implementeringsarbejdet er en ”vigtig og højt prioriteret opgave”, og at Danmark har valgt at minimumsimplementere direktivet. Det betyder, at kommunale opgaver kan blive omfattet, hvis de løses inden for en af de sektorer, som direktivet dækker.

    »Minimumsimplementeringen betyder ikke, at der ikke er fokus på, at der også i kommunerne er et passende cybersikkerhedsniveau,« siger ministeren.

    Han peger på, at der med økonomiaftalerne for både 2024 og 2025 er taget initiativer, der skal sikre den kommunale cybersikkerhed. Blandt andet fremgår det aftalen, at regeringen noterer sig, at  kommunerne opbygger en fælles enhed til at overvåge de kommunale netværk for cyberaktivitet.

    »Det vil være et vigtigt skridt på vejen mod at styrke den kommunale sektor mod cyberangreb. Når det er sagt, så er jeg selvfølgelig meget opmærksom på, at NIS2-direktivet får stor betydning for de omfattede myndigheder og virksomheder. Derfor ligger det mig også meget på sinde, at vi får tilrettelagt en god proces, hvor vi tager os tid til at lytte til de input, der er kommet fra interessenter. Det gælder selvfølgelig også kommunernes input,« siger Torsten Schack Pedersen.

    Ministerens melding giver dog langt fra ro i maven hos kommunerne, og Peter Rahbæk Juel håber derfor, at regeringen – som det også er aftalt i økonomiaftalen – snarest muligt vil gå i dialog med KL om implementeringen af NIS2.

    ”Det giver jo ingen mening, at kommunerne går sammen, hvis vi bliver holdt uden for de nationale varsler og overvågninger. Alle offentlige systemer hænger sammen – og det svageste led kan blive bagindgangen for hackerne. Hybridkrigen er en realitet. Angrebene bliver voldsommere og hyppigere. Og kommunerne – og dermed millioner af data om borgerne og livskritiske funktioner – er efterladt uden for sikkerhedsmuren. Det er altså danskernes sikkerhed, der er på spil her,” siger Peter Rahbæk Juel.

     

    Kontakt

    Redaktør

    Jens Baes-Jørgensen

    Kommunikation

    Telefon: +45 3370 3328

    E-mail: jjr@kl.dk