Nyvalgte og gjenvalgte kommunepolitikere må løfte IT-sikkerhet høyere på den kommunale agendaen
26 september 2023
Kommunene er det offentlige Norges førstelinjeforsvar mot datakriminelle som stjeler persondata, holder kritiske IT-systemer som gissel og indirekte svekker den tilliten samfunnet vårt er helt avhengig av. Men for at dette forsvaret skal ha noen effekt, må nyvalgte og gjenvalgte kommunepolitikere løfte IT-sikkerhet høyere på den kommunale agendaen.
Sigrun Hansen Bock, Global Head of Cybersecurity, Tietoevry
I mars 2022, i etterkant av Russlands invasjon av Ukraina, sendte Kommunal- og distriktsdepartementet, i samarbeid med KS, et brev til alle landets kommuner. Budskapet var ikke til å misforstå; start sikringen av kritiske IT-løsninger og digitale tjenester og forbered dere på hyppigere angrep over nettet fremover.
Trondheim kommune tok oppfordring på alvor, og politikerne bevilget penger. Først til en gjennomgang, deretter til en migrasjon av kommunens CMS-systemer fra egen løsning til skyen, hos en av de store, internasjonale IT-leverandørene. Nylig kunne IT-sjefen, Bjørn Villa, høste fruktene av en proaktiv IT-sikkerhetsstrategi, da han fulgte en rekke norske kommuners hektiske helgearbeid fra sofaen, mens kollegaer over hele landet håndterte et massivt DDoS-angrep som satt en rekke kommunale tjenester ut av spill.
Bjørn Villa fortjener både honnør og noen laurbær å hvile på. Samtidig er det et faktum at han, og hundrevis av tilsvarende dyktige IT-sjefer rundt om i kommune-Norge, er avhengig av politiske prioriteringer i arbeidet de gjør, både med digitalisering av offentlige tjenester, og med sikring av løsningene. Og da er det min erfaring at veien fra en velfortjent middagslur, til å bli tatt på sengen av IT-kriminelle med uærlige hensikter, er faretruende kort.
For er det noe vi vet om politikk, også lokalpolitikk, så er det at politikerne daglig blir dratt i mange retninger. De skal prioritere knappe midler og det ingen mangel på viktige, ofte kritiske, tiltak som både skal finansieres og deretter gjennomføres. I kombinasjon med et svært menneskelig trekk, nemlig at siste, dramatiske hendelse ofte får den største delen av oppmerksomheten, er det ikke vanskelig å se for at IT-sikkerhet akkurat nå, må finne sin plass i køen et godt stykke bak opprydningen etter ekstremværet Hans og arbeidet med å sikre at landets kommuner er bedre forberedt nest gang himmelen åpner sine sluser.
I Kommunal- og distriktsdepartementet og KS sin strategi fra 2019, «Én digital offentlig sektor», får sikkerhet sitt eget kapittel. Og den overordnede motivasjonen for å tenke IT-sikkerhet blir formulert allerede i ingressen:
«Digital sikkerhet er en grunnleggende forutsetning for å opprettholde tillit til offentlig sektors IT-systemer og offentlige digitale tjenester. En vellykket digitalisering handler derfor også om å ivareta krav til sikkerhet og den enkeltes personvern på en god måte.»
Det er ingen tvil om at tilliten til offentlige tjenester påvirkes direkte av oppmerksomhet rundt aktuelle dataangrep og hendelser der persondata kommer på avveie eller offentlige tilbud og tjenester blir utilgjengelige. Et nylig eksempel er DDoS-angrepet mot en rekke norske kommuner, nevnt ovenfor, men det er også datainnbruddet på Stortinget i 2021 og angrepet mot Østre Toten kommune samme år.
Skal det offentlige Norge ha befolkningen med seg i den nødvendige, omfattende digitaliseringen av prosesser og tjenester som strategien beskriver, er vi helt avhengige av at brukerne stoler på leverandørene, som er alt fra Altinn og Skatteetaten til den lokale fastlegen og det meste av kommunale tjenester.
Undersøkelsen Security Barometer, utført av Kantar på vegne av Tietoevry i desember 2022, viser at 1 av 4 ikke har tillit til offentlige myndigheters håndtering av persondata. Jeg mener bestemt at dette er for dårlig. Lista må ligge høyere, ikke minst når både myndighetene og KS har anerkjent at valutaen som tillit utgjør, er helt avgjørende for å få gjennomført digitaliseringen av Norge, og å få innbyggerne til å ta de digitale tjenestene i bruk.
Samtidig skal vi være forsiktige med å rope «ulv». Norge er et trygt land hvor de fleste har det godt. Samfunnet og næringslivet fungerer, og en viktig årsak til dette er nettopp at vi har tillit til hverandre. Men forutsetningen for at denne viktige, demokratiske verdien skal bestå, er at også lokalpolitikerne kjenner sin besøkelsestid.
Digitaliseringen av innbyggertjenester i norske kommuner og fylker fører til at vi får bedre og mer kostnadseffektive tjenester uavhengig av hvor vi bor i landet. Digitale løsninger gir fleksibilitet og forutsigbarhet som kommer både kommuner og innbyggere til gode. Økt digitalisering av innbyggertjenester er en forutsetning for samfunnsutvikling.
Men vi vet også at det vil komme flere angrep i år og i årene som kommer, og vi vet at angripere bevisst velger seg de mest sårbare virksomhetene. Og det kan ikke bli sånn at en kommune i fremtiden er identisk med et lett bytte for denne gruppen kriminelle.
Derfor etterlyser jeg konkrete tiltak for hvordan vi stadig kan bli bedre til holde kriminelle individer og grupper ute av de offentlige IT-løsningene og å forvalte og oppbevare nordmenns persondata på en sikker måte. Bare på den måten klarer vi å realisere ambisjonen om «Én digital offentlig sektor», uten at prisen for digitaliseringen må betales i noe annet enn krone og øre.