16. møde i Dialogforum - AI, cybersikkerhed og strategier

Christian Harsløf, direktør i KL, bød velkommen og indledte mødet med at give et rids af strategiarbejdet på digitaliseringsområdet. De nuværende strategier udløber i 2025 og KL er nu i fuld gang med overvejelserne om, hvordan vi fornyer det fællesoffentlige digitale samarbejde.

I fremtiden vil KL bl.a. arbejde på at styrke det digitale fokus i udviklingen af velfærdsområderne og i det hele taget have fokus på nødvendige digitaliseringsstrategiske indsatser, herunder AI. Christian nævnte den digitale task force for kunstig intelligens, som blev aftalt i sidste års økonomiaftale. Arbejdet er nu gået i gang. Der er meget stor interesse for, hvordan kommunerne arbejder med AI, navnlig på de store velfærdsområder, men der er samtidig stor opmærksomhed på at undgå at gøre noget, man ikke må. En af KL’s prioriteter i taskforcen er derfor at få skabt klarhed over de juridiske rammer for brug af kunstig intelligens.

Michael Wätjen er CCO, GovTech Lead i Trifork og Formand i Policy Board for Offentlig Digitalisering i IT-Branchen. Han gav branchens perspektiv på udviklingen og anvendelsen af AI i den offentlige sektor og gav også markedets indspil til kommende digitaliseringsstrategier.

Befolkningen har høj tillid til den offentlige digitalisering – og det skulle AI helst ikke lave om på. Michael opfordrede derfor til at bygge nogle gode og sikre AI-løsninger, hvor man også er i stand til at forklare, hvordan løsningerne virker, hvis nogen spørger – og dermed bevare den høje tillid; AI er ikke sort magi, men teknologi.

Der er lige nu mange AI-projekter i drift i kommunerne. Men de er oftest begrænset til enkelte afdelinger eller medarbejdere. Der er et meget større potentiale.

Michael nævnte et par eksempler fra den kommunale hverdag:

• En AI som ikke alene kan tage referat fra et møde med en borger eller patient, men også generere en handlingsliste på baggrund af mødet og foreslå kommende aftaler.
• En AI som kan genkende invasive plantearter. Her kan en kommunal medarbejder sætte et kamera på sin bil og køre en tur rundt i kommunen. AI-løsningen kan derefter fortælle, hvor der er invasive plantearter, som der skal gøres noget ved.

Det er dog nødvendigt, at medarbejderne i kommunerne forstår rammerne for den nye teknologi. AI ikke er et gratis program, man bare henter på nettet og begynder at bruge med det samme. Det kræver ressourcer at udvikle og drifte.

Michael gav derpå markedets indspil til det kommende arbejde med strategier, bl.a. ved at vende tilbage til sin indledende pointe om borgernes tillid til offentlige it-løsninger: Tillid til digitaliseringen er vigtig. Vi skal som borgere føle, at vi får service – ikke at det er besværligt eller at vi bliver fremmedgjort, overvåget eller tilfældigt behandlet.

AI giver mange muligheder, hvilket til gengæld gør det svært at overskue og navigere i. Et af midlerne til at forbedre dette, er digitale brugerrejser, som mange kommuner allerede bruger, i dialog med markedet.

IT-Branchen offentliggjorde sit indspil til den kommende fællesoffentlige digitaliseringsstrategi få dage efter Dialogforum. Læs indspillet her: 

Her er IT-Branchens indspil til Danmarks digitale udvikling - IT-Branchen (itb.dk)

Christian Harsløfs og Michael Wätjens oplæg blev derefter drøftet ved bordene, hvorefter KL faciliterede en opsamling i plenum. Strategiarbejdet blev drøftet overordnet, hvor KL bl.a. blev opfordret til at italesætte relationen mellem den offentlige sektor og markedet i mulige kommende digitaliseringsstrategier: Den offentlige sektor og markedet er sammen om at løse nogle store samfundsmæssige udfordringer, og denne relation spiller en stor rolle ift. at få løst disse udfordringer.

AI var også et stort tema i dialogen. I forlængelse af Michael Wätjens budskab om at AI ikke er noget, man blot henter fra nettet, blev det pointeret, at AI heller ikke er noget, man blot lægger ovenpå eksisterende forretningsprocesser og arbejdsgange. Det betyder at man er nødt til at tænke det ind i hele den forretningsproces, som AI skal bruges til. Anvendelsen af AI lægger også op til at genbesøge kommunernes databehandleraftaler.

I forlængelse af dette, blev organisationskulturen i kommunerne nævnt flere gange: Når kommunerne indarbejder AI, ikke blot i deres it-løsninger, men også i deres arbejdsgange og opgaveløsning generelt, er det nødvendigt at kigge på den nulfejlskultur, der findes i flere kommunale forvaltninger.

Det er naturligvis forståeligt, at kommunerne meget gerne vil undgå sager med datalæk og lignende, men markedet opfordrede på mødet til at begynde en samtale om at gøre op med nulfejlskulturen og begynde at fokusere på risikovurderinger, hvor man både anerkender at der kan være risici men hvor man samtidig tager grundige forholdsregler for både at undgå dem og hurtigt at inddæmme og afbøde eventuelle nedbrud. Det vil også gøre det nemmere at udbrede brugen af AI i kommunerne, helt ud i udførerleddet.

Mødets anden halvdel havde fokus på cybersikkerhed som længe har været centralt og som kun bliver vigtigere i fremtiden. Jacob Herbst (Duplex/IT-Branchen), Christian Christensen (KL) og Johanne Strabo Svendsen (KOMBIT) gav først hver deres vinkel på cybersikkerhed, hvilket blev efterfulgt af livlig dialog.

Trusselsbilledet

Jacob Herbst, CTO og Partner hos Dubex samt forperson i IT-Branchens policy board for cybersikkerhed, gennemgik på vegne af IT-Branchen og DI Digital, det aktuelle trusselsbillede for Danmark.

Indtil nu har Danmark haft relativt færre cyberangreb end mange andre lande. Det skyldes vores høje digitaliseringsgrad, hvor it-sikkerheden er fulgt naturligt med digitaliseringen, og hvor det derfor kræver flere ressourcer at angribe os. I mange andre lande er digitaliseringen – og dermed it-sikkerheden på et lavere niveau, og disse lande er derfor mere eftertragtede at angribe.

Problemet er, at sikkerhedsniveauet i Danmark ikke længere følger med digitaliseringsniveauet; digitaliseringsgraden stiger hurtigere end sikkerheden og vi har derfor en udfordring med såvel gammel teknisk gæld og ny teknisk gæld, fx i form af manglende opdateringer i gamle systemer og forceret udvikling af nye løsninger uden tilstrækkeligt fokus på sikkerheden.

Vi må derfor forvente flere cyberangreb i fremtiden. For truslen fra cyberaktivisme er steget og truslen om destruktive cyberangreb kan meget hurtigt stige. Flere lande har kapaciteten til at gøre skade og hvis de også får større intention om at gøre skade, er vi nødt til at være klar, for sådanne angreb kan komme med kort eller intet varsel.

En af de særlige udfordringer for kommunerne er tillid: Hvis borgerne begynder at føle, at de ikke kan stole på kommunernes it-løsninger, mister man ikke kun befolkningens tillid – man mister også muligheden for at udnytte det høje teknologiske niveau og muligheden for at tilbyde nye digitale løsninger.

Vi skal derfor satse på governance for hhv. beskyttelse og beredskab: Hvordan beskytter vi os mod angreb og hvordan minimerer vi generne efter et vellykket angreb.

Det politiske landskab

Christian Christensen er programleder for sikkerhedsprogrammet i KL. Han konstaterede, at kommunerne har hundredvis af it-systemer, og stort set alle kommuner har hele opgaven og hele ansvaret for it-sikkerheden for disse systemer. Det er en meget bred opgave og et stort ansvar – ikke mindst med tanke på, at sikkerheden i den enkelte kommune er med til at styrke sikkerheden nationalt pga. de mange koblinger til stat, regioner og andre kommuner via fælles løsninger og fælles leverandører.

KL ønsker derfor at få defineret det grundniveau, som kommunernes sikkerhed skal ligge på. Det kan måske lyde uambitiøst og KL ved godt, at endemålet er et andet; men vi er nødt til at starte et sted, hvor det giver mening og hvor det kan lade sig gøre ressourcemæssigt. Så kan vi udvide løbende, i takt med behovet.

Vi skal også dele viden med hinanden på tværs af sektorer. Vi har brug for at kunne opdage kommende angreb endnu tidligere. I den forbindelse kan man diskutere, om vi i fremtiden skal have 98 forskellige it-driftsorganisationer eller om der er andre måder at organisere it-sikkerheden i kommunerne på, som vil styrke sikkerheden.

Derudover er der stadig væsentlige forhold på sikkerhedsområdet, som er uafklarede: Vi har endnu ikke et klart billede af, hvad der kommer til at gælde for kommunerne i relation til NIS2, og vi afventer også at se, hvilken betydning ministeriet for Samfundssikkerhed og beredskab vil have for kommunernes it-sikkerhed.

KommuneCERT

Johanne Strabo Svendsen, direktør for Compliance, Kvalitet og Sikkerhed i KOMBIT, orienterede om den kommunefælles cybersikkerhedsenhed KommuneCERT (CERT = Computer Emergency Response Team).

Baggrunden for enheden er bl.a. det klare fokus, kommunerne har på cybersikkerhed, herunder behovet for at sikre tillid til at kommunerne kan håndtere cybersikkerheden omkring de systemer, som borgerne er afhængige af. Dette, kombineret med manglende krav til kommunerne om, hvordan de skal arbejde med cybersikkerhed, har resulteret i KommuneCERT.

Enheden driver pt. et videndelingsforum med kommunerne og er i gang med et pilotprojekt omkring monitorering af netværkstrafik. KommuneCERT skal dog over de kommende år udvikles til at være kommunernes SOC (security operations center) og sikre en sektorfælles tilgang til trussels- og sårbarhedsvurderinger, monitorering, beredskabs- og krisestøtte, rådgivning, vejledning og kompetenceudvikling.

Kompetenceniveauet i kommunerne på sikkerhedsområdet stiger hele tiden og koblet med konsolidering af krav til løsningerne, betyder det, at leverandørerne kan forvente nye krav til cybersikkerhed.

Læs mere om KommuneCERT:: 

Om KommuneCERT (kombit.dk)

Læs også Momentums artikel:

9 ud af 10 kommunale it-chefer: Cybertruslen er større, end vores ressourcer kan håndtere