Økt risiko for dataangrep – slik må kommunene ruste seg

KS, Nasjonal sikkerhetsmyndighet og Nasjonalt cybersikkerhetssenter viser nå også i et rundskriv av 9. mars til landets kommunedirektører og ordførere til at situasjonen i Ukraina fører til en skjerpet risiko for datasikkerhet her hjemme.

Risikobildet endrer seg raskt og kommunene bør oppdatere styringssystemet deretter.

Da er det en del viktige spørsmål for ledelsen å stille seg:

• Har virksomheten oppdatert oversikt over aktuelle behandlinger i 2022?

Virksomhetene skal ha oversikt over sine behandlingsaktiviteter, og det er viktig at denne er oppdatert. Har virksomheten for eksempel tatt i bruk ny IKT-leverandør, blir personopplysninger overført til tredjeland, har man underleverandører som er berørt av konflikten i Ukraina?

På bakgrunn av oppdatert oversikt kan virksomheten også vurdere behovet for en personvernkonsekvensanalyse (DPIA) eller oppdatere personverndokumentasjon som personvernerklæring og rutiner.

• Er kommunen rustet for et dataangrep?

2021 har vist at cyberangrep kan ramme alle. Løsepengevirus, deling og videresalg av personopplysninger på det mørke nettet («Dark Web») skjer hyppig, samtidig som virksomheten kan lide store tap fordi personopplysninger blir kryptert av kriminelle og ikke lar seg gjenopprette.

Kommunen bør ha oversikt over kritiske funksjoner og tjenester og ha oppdaterte beredskapsplaner for å sikre data ved bortfall av tjenester.

To nylige saker fra Datatilsynet illustrerer hvor aktuell denne risikoen er, og hva virksomhetene bør gjøre for å sikre seg mot dataangrep.

Stortinget er varslet et overtredelsesgebyr på 2 millioner kroner for manglende sikring av personopplysninger ved dataangrep mot e-postkontoer til stortingsrepresentanter og administrative ansatte.

Østre Toten kommune er ilagt et overtredelsesgebyr på 4 millioner kroner for omfattende brudd på datasikkerheten. Dataangrepet mot kommunen førte til at mer enn 300.000 dokumenter ble rammet, flere opplysninger videresolgt på det mørke nettet, og et stort antall personopplysninger gikk tapt fordi kommunen ikke hadde tilstrekkelig backup eller logg.

• Har kommunen aktivert to-faktor autentisering?

Datatilsynet vektla i begge de nevnte sakene at tofaktorautentisering ikke var innført, enda det er et velkjent, anbefalt og effektivt tiltak. Det var videre et ledelsesansvar å se til at risikoene ble håndtert og tiltak gjennomført.

Kommunen bør altså undersøke om dette er på plass, særlig for digitale tjenester som er tilgjengelige over internett, hvor risikoen er størst. Hvis ikke, bør tiltaket implementeres raskest mulig.

• Har virksomheten internopplæring og jevnlige kontroller?

Misbruk av e-post er en hyppig framgangsmåte for kriminelle hackere. Organisatoriske tiltak som opplæring, interne obligatoriske kurs, bevisstgjøring mv. er viktig for å håndtere denne risikoen. Informasjonssikkerhet er ikke forbeholdt noen få med IKT-kompetanse, det gjelder alle som bruker virksomhetens nett og digitale utstyr.

• Har virksomheten en god beredskapsplan?

Digital sikkerhet krever at politisk og administrativ ledelse har felles fokus og målrettede strategier. Ettersom det ofte gjelder IT-tekniske begreper, kan det være krevende å få til.

Scenarioer er da nyttig. Gjennom målrettede spørsmål om hvordan kritiske tjenester blir berørt ved dataangrep, kan man utarbeide treffende oversikt og rutiner. På den måten kan virksomheten sikre at alle vet hva man skal gjøre dersom uhellet er ute, gjenopprette dokumenter, ha backup, kunne logge aktiviteten både internt og eksternt og melde og samarbeide med Datatilsynet.

Kommunens årsberetning er en gyllen anledning til å sikre fokus på datasikkerhet og rette styringsmål, og at administrativ ledelse, fagmiljø og IT-tjenesten har nok kunnskap.

Datasikkerhet bør også inngå i kommunedirektørens redegjørelse om internkontroll.