Kommunerne befinder sig i et mere komplekst trusselsbillede end tidligere. Vi er i hybridkrig, og kommunale servere landet over har allerede været udsat for flere slags angreb, som har hæmmet adgang for borgere. 

Alligevel er beredskabet samlet set ikke fulgt med udviklingen i trusselsbilledet, som hele tiden udvikler sig i den gale retning. 

Det mener brancheorganisationen SikkerhedsBranchen, som nu opfordrer til, at staten melder klarere ud om, hvad der forventes af kommunerne, og hvordan risiko og sikring bør prioriteres i praksis.

Ifølge direktør i SikkerhedsBranchen Kasper Skov-Mikkelsen står mange kommuner i dag alene med svære vurderinger, fordi der mangler fælles nationale retningslinjer for både fysisk og teknisk sikring.

- Trusselsbilledet har ændret sig markant, men beredskabet og de rammer, kommunerne arbejder indenfor, er ikke fulgt med. Kommunerne bliver i høj grad overladt til selv at vurdere, hvornår nok er nok, og hvad et passende sikringsniveau egentlig er, siger han.

Fysisk og digital sikkerhed kan ikke adskilles

Debatten om kommunernes beredskab har i høj grad kredset om cybersikkerhed, og senest fremgik det af  en undersøgelse fra Dansk IT og Rambøll, at to ud af tre kommuner mangler et stærkt og løbende afprøvet kriseberedskab for cybersikkerhed.

Selvom fysiske rammer ikke er det samme som sikkerheden på en kommunes hjemmeside mener Kasper Skov-Mikkelsen, at det er en fejl at se cyber og fysisk sikring som to adskilte discipliner.

- Cybersikkerhed handler i bund og grund om modstandsdygtighed. Og den har både en digital og en fysisk side. Hvis man kan få fysisk adgang til et serverrum eller et teknisk knudepunkt, så kan man med meget simple midler gøre enorm skade, siger han.

Ifølge direktøren er der en udbredt tendens til at undervurdere betydningen af fysisk adgang, selv om mange kritiske systemer er afhængige af netop det samspil.

- Kameraer, adgangskontrol og alarmer er ofte koblet direkte på kommunens netværk. Et kamera på ydersiden af en bygning kan faktisk være en meget nem indgang for en hacker. Det er ofte lettere end at hacke sig ind helt udefra. Derfor overlapper fysisk og logisk sikkerhed hinanden langt mere, end mange er opmærksomme på, siger han.

Hvor kommunerne generelt er kommet længere med cybersikkerhed, er billedet et andet, når det gælder den fysiske sikring, vurderer SikkerhedsBranchen.

- Jeg har ikke hørt om kommuner, der for alvor er kommet i gang med den fysiske del af sikringen. Mange steder har man alarmer og tv-overvågning, men de løsninger er typisk tænkt til almindelig indbrudskriminalitet, ikke til målrettede angreb, hybridkrig, spionage eller sabotage, siger Kasper Skov-Mikkelsen.

Ifølge ham er kommunernes eksisterende løsninger i høj grad designet til at afskrække opportunistisk kriminalitet, mens mere bevidste og organiserede angreb kræver en helt anden tilgang.

- En indbrudstyv går måske et andet sted hen, hvis der er kameraer. En sabotør gør ikke. Hvis målet er at skabe kaos, så lader man sig ikke afskrække af klassiske sikringsløsninger, siger han.

Manglende retningslinjer giver usikker prioritering

Styrelsen for Samfundssikkerhed har udgivet vejledninger på NIS2-området. Men på CER-området (Critical Entities Resilience) mangler der fortsat klare nationale retningslinjer.

CER er et EU-direktiv, der stiller krav til, at virksomheder med samfundskritiske funktioner som energi, transport, sundhed og digital infrastruktur kan forebygge, håndtere og komme sig efter alvorlige hændelser som cyberangreb, naturkatastrofer og terror.

Ifølge SikkerhedsBranchen efterlader det kommunerne i et vadested.

- Kommunerne er forskellige, og de kan ikke gøre alting på én gang. Det koster penge. Derfor har man brug for et fælles grundlag for risikoanalyserne. Noget, der siger: Det her er et passende niveau, og her er eksempler på, hvad man kan gøre. Det grundlag mangler i dag, siger Kasper Skov-Mikkelsen.

Konsekvensen kan ifølge direktøren være, at kommunerne enten gør for lidt eller investerer i løsninger, der viser sig ikke at være tilstrækkelige.

- Man kan ende med at bruge mange penge på noget, der ikke virker. Og i sidste ende er det ligegyldigt, om man har gjort noget, hvis det ikke har haft effekt, siger han.

- Især kan det være et hårdt slag for de kommuner, som i forvejen ikke har mange penge i kassen, men som gerne vil have, at sikkerheden følger med tiden. 

I yderste konsekvens kan manglende fysisk sikring føre til længerevarende nedbrud i kommunernes service til borgerne, advarer direktøren også.

- Hvis nogen får adgang til et serverrum eller et teknisk knudepunkt og ødelægger udstyr eller sætter ild til det, kan kommunen være nede i lang tid. Det kan betyde lammelse af centrale dele af servicen til borgerne, siger Kasper Skov-Mikkelsen.

Ifølge direktøren er kommunerne i sig selv attraktive mål, hvis formålet er at destabilisere samfundet.

- Kommunerne leverer langt størstedelen af den tryghed og service, borgerne møder i hverdagen. Hvis målet er at skabe utryghed, mistillid til myndighederne og kaos, så er kommunerne måske højere på ønskelisten, end man umiddelbart skulle tro, siger han.

SikkerhedsBranchen efterlyser ikke kun politisk handling, men tilbyder også selv at bidrage fagligt til udarbejdelsen af nationale retningslinjer. 

- Vi vil gerne hjælpe med teknisk viden og konkrete råd. Vi har også tilbudt myndighederne at bidrage til at skrive de vejledninger, der mangler, så de bliver fagligt og teknisk dækkende i forhold til de trusler, vi ser i dag, siger Kasper Skov-Mikkelsen.

Samtidig opfordrer han kommuner, der er i tvivl om, hvor de skal starte, til at søge sparring hos dem.

- Det hele starter med processen. Og hvis kommunerne har brug for guidance til, hvor de skal gå hen, og hvad de skal gøre først, så vil vi gerne hjælpe, siger han.