Norske kommuner må ta cyberansvar

I flere konkrete eksempler har manglende cybersikkerhet allerede satt norske virksomheter og enkeltpersoner i fare. Store mengder sykehusdata er allerede på avveie etter et alvorlig cyberangrep mot Helse Sør Østs datterselskap Sykehuspartner, og hacking har resultert i at persondata om 35.000 skoleansatte og elever i Bergen har vært tilgjengelig på internett.

I begge tilfeller kan dataene om enkeltpersoner brukes til å lage falske ID-er, og i saken om pasientdata kan dataene fra din sykehusjournal i tillegg bli manipulert av fremmede makter.

Mangel på forsvarlig håndtering har i mange tilfeller allerede fått store konsekvenser både for styrer og ledelser i de virksomhetene som er blitt rammet.

Det vil aldri være mulig å sikre seg 100 prosent mot dataangrep og inntrengere fra cyberspace, men med ledelsesfokus er det fullt mulig å begrense skade, tap av omdømme og unngå bøter som følge av brudd på de nye reglene for håndtering av persondata, GDPR.

I tillegg kommer ny og revidert sikkerhetslov fra 1. januar 2019. Norske kommuner er allerede underlagt sikkerhetsloven og vil trolig få sitt ansvar ytterligere innskjerpet.

Hva kan ledelsen i en kommune gjøre for å sjekke om man er godt nok forberedt på et dataangrep?

Punkt 1: Virksomheten bør ha Cybersecurity-planer (CS-planer) som dekker både varslingsplikter og krisehåndtering i tilfelle cyberangrep eller lekkasje av persondata. Planene må svare på hvilke varslingsplikter som gjelder, og hvem som eventuelt er riktig varslingsmyndighet(er). Her kan flere offentlige instanser komme inn i bildet. Det er varslingsplikt i gitte situasjoner både til sektormyndigheter, Datatilsynet, Nkom og Nasjonal sikkerhetsmyndighet (NSM), men politi og andre regulatoriske myndigheter kan også være aktuelle. I en CS-plan må det etableres en operativ beredskapsgruppe og rutiner for å øve på planen regelmessig.

Punkt 2: I tillegg bør planene ha et opplegg for krisehåndtering av selve datainnbruddet og utkast til strategi, budskap og informasjonsrutiner overfor egne ansatte, innbyggere og kunder, partnere og leverandører om at IKT-infrastrukturen er kompromittert og/eller persondata er på avveie. CS-planene bør på plass raskt. Faren for dataangrep og/eller tap av persondata er en permanent trussel. Varslingsfristene er korte. Når uhellet er ute, er det for sent å planlegge.

Punkt 3: IKT-infrastrukturen må også være godt nok beskyttet. Her er noen spørsmål en rådmann eller en ledergruppe i en kommune bør stille og helst få tilfredsstillende svar på:

• Finnes det en sentral oversikt over egne virksomhetskritiske IKT-systemer? En liste med prioriterte systemer. Stikkord er tjenesteproduksjon og adgangen til persondata. Hvis uhellet er ute, er det viktig å vite hvor man bør sette inn beskyttelsestiltak for å kunne drive hele eller deler av kommunen videre, selv under angrep.

• Har vi et system for risikovurdering som også omfatter cybersikkerhet? Uten en slik vurdering vil det være vanskelig å prioritere og sette inn beskyttelsestiltak på riktig sted.

• Er man allerede kompromittert uten å vite om det? Her vil de fleste være avhengig av ekstern hjelp til en gjennomgang og å etablere aktiv nettovervåking. Stikkord her er løpende tilgang til sikkerhetsovervåkings SOC (security operations center)- og analyse CERT (Computer Emergency Response Team) -tjenester. Ifølge undersøkelser er det bare et fåtall av norske kommuner som har slik overvåking i dag.

• Er IT-infrastruktur og persondata godt nok beskyttet mot inntrengere eller eksponering? Dataangrep er en ting, men Datatilsynet kan også komme på kontroll og sjekke at alt er i henhold til lover og regler. Dette ble innskjerpet med GDPR.

• Er IT-infrastrukturen slik at et mulig dataangrep kan begrenses? Supertankere er bygget med vanntette skott som hindrer vannet i å fylle hele tankeren ved en grunnstøting. I mange virksomheter er det slik at hvis man hacker seg inn ett sted, så har man tilgang til hele virksomhetens infrastruktur, det vil si IKT-infrastrukturen med produksjonssystemer, servere og e-post.

• Forvalter vi vårt ansvar for IKT-sikkerhet godt nok? Mange kommuner og private virksomheter har satt bort IT-drift (outsourcing) og -håndtering til eksterne leverandører. Da er det viktig å huske på at både kommunen og private virksomheter kan sette ut drift og arbeidsoppgaver, men ansvaret ligger hos kommuneledelsen.

Til slutt: Hvis svaret på noen av disse spørsmålene er nei, bør man handle raskt. Gode forberedelser kan minimere direkte økonomiske tap, hindre tap av omdømme og unngå eller redusere eventuelle bøter.