Danmark er i krig. Hybridkrig.

Sådan lød det fra statsminister Mette Frederiksen (S) tilbage i september i forbindelse med de meget omtalte droneangreb på dansk grund.

I oktober vurderede Forsvarets Efterretningstjeneste, at Rusland aktivt fører hybridkrig mod NATO.

For nylig blev flere danske hjemmesider, herunder DSB, våbenproducenten Terma samt Ishøj, Tårnby, Gentofte, Rødovre og Rudersdal kommuners hjemmesider udsat for et såkaldt DDoS-angreb, hvor hjemmesiderne var utilgængelige i en rum tid. Den russiske hackergruppe NoName057(16) tog ansvaret for angrebene.

Der er mange tegn til, at vi i Danmark står i en tid, hvor der er behov for oprustning på mange fronter. 

I september lød det fra regeringen, at Danmark har udført sit største våbenindkøb nogensinde til 58 milliarder kroner. 

Men samtidig med at milliarder investeres i avancerede luftforsvarssystemer, rejser spørgsmålet sig om, hvor stærkt vores kommunale it-beredskab egentlig står, når hackere slår til.

En ny undersøgelse "IT i praksis" fra Dansk IT og Rambøll viser, at to ud af tre kommuner (66 procent), ikke har et stærkt og løbende afprøvet kriseberedskab for cybersikkerhed. 

Samtidig må to ud af tre offentlige organisationer fravælge vigtige sikkerhedsindsatser af økonomiske årsager.

Men det er et indsatsområde, der i højere grad skal prioriteres – især i det aktuelle trusselsbillede, lyder det fra flere relevante aktører. 

Hvis tilliden først begynder at vakle, er det alvorligt

For Ejvind Jørgensen, forperson for Dansk IT’s udvalg for it i den offentlige sektor og CFO i softwarevirksomheden cBrain, er status krystalklar: 

Cybersikkerhed er ikke et luksusgode, man hverken kan eller bør spare væk. 

- Det er vigtigt, fordi det beskytter både kommunen og dermed borgerne og virksomhederne mod angreb, hvor data kan blive låst, korrumperet, eller at driften bryder sammen, siger han.

- Der er ikke ret mange, der er uenige i, at trusselsniveauet er højt. Derfor er det afgørende at beskytte sine data og sin drift og sikre, at de systemer, som både myndighederne selv, men også borgere og virksomheder er afhængige af, fungerer.

Når sikkerheden får lov at halte efter, er det ikke kun systemerne, der er på spil, det er også borgernes tillid, som den offentlige sektor har brug for. 

- Hvis du ikke har styr på din sikkerhed, og der opstår problemer, så vil borgerne begynde at miste tillid. Og tillid er noget af det allervigtigste, den offentlige sektor har. Hvis den tillid begynder at vakle, kan konsekvenserne være mere langsigtede – at folk bliver nervøse, når de ser, at den offentlige sektor ikke kan håndtere det her, siger Ejvind Jørgensen.

Ifølge Dansk IT og Rambøll indtænker hovedparten af offentlige organisationer i dag scenarier om hybridkrig og cyberspionage i deres generelle beredskab. 

Men når det kommer til de konkrete planer for at holde driften i gang under et cyberangreb, ser billedet markant mere sårbart ud: Kun 28 procent vurderer, at de har robuste og afprøvede business continuity-planer - planer, som består af at styrke organisationens evne til at foregribe og håndtere forstyrrelser som f.eks. maskinnedbrud eller cyberangreb.

Særligt kommunerne skiller sig negativt ud: To ud af tre har ikke et stærkt og løbende afprøvet kriseberedskab for cybersikkerhed, og mere end hver tredje offentlig organisation mener generelt ikke, at deres beredskab er stærkt og afprøvet. 

Henrik Brix, it- og digitaliseringschef i Favrskov Kommune og formand for Foreningen af kommunale IT- og digitaliseringsansvarlige (KITA), kalder området et “klart indsatsområde”.

- Med det stigende trusselsniveau, vi oplever, er det nødvendigt at steppe op. Når de onde opruster, så er vi også nødt til at opruste. Det er helt klart et område, hvor der skal arbejdes målrettet, siger han.

Han peger samtidig på, at trusselsbilledet har ændret sig markant og hurtigt.

- Vi så en tydelig optrapning i forbindelse med kommunalvalget. Det var helt tydeligt, at der var nogen, der havde opdaget, at vi holdt kommunalvalg, og det udnyttede de til at prøve at skabe ustabilitet i samfundet, siger han.

- De angreb, vi har set på hjemmesiderne, er ikke de mest alvorlige. De er det jeg vil kalde moderat irriterende. Men de viser, at nogen har fået øje på os og det kræver et modsvar. Og et godt modsvar er at opruste og gøre os selv modstandsdygtige over for fremtidige angreb. 

“Hackerne venter jo ikke på, at kommunen får styr på sit arbejde”

Jacob Herbst, medlem af Dansk IT’s udvalg for it i den offentlige sektor og CTO i Dubex, er enig i, at tiden er en afgørende faktor.

- Kommunerne har i nogle tilfælde ikke haft cybersikkerhed som allerøverste prioritet. Man skal passe på med at skære alle over én kam, men der er kommuner derude, hvor modenhedsniveauet er relativt lavt, siger han.

- I forhold til dem synes jeg, det haster ret meget. Hackerne venter jo ikke på, at kommunen får styr på sit eget arbejde, før de angriber.

Han skelner mellem tre typer konsekvenser, hvis en kommune bliver ramt uden et ordentligt beredskab. 

1. Driften bryder sammen

- Man får svært ved at levere de services, man skal. Det er alt fra ældrepleje til borgerservice til udbetaling af støtte. Alle de kerneopgaver, en kommune har, bliver ramt, hvis it-systemerne ikke fungerer, siger Jacob Herbst.

2. Stjålne og lækkede borgerdata

- Der ligger rigtig mange følsomme data i kommunale systemer – om støtte, helbred og alle mulige andre ting. Hvis de bliver kompromitteret og lækket på nettet eller brugt til afpresning, er det et kæmpe problem, siger han.

3. Tilliden til den offentlige digitalisering

- Hvis det offentlige gentagne gange viser, at der ikke er styr på datasikkerheden, kan borgerne på et tidspunkt miste tilliden til den offentlige digitalisering. Det har meget store konsekvenser for mulighederne for at digitalisere og bruge digitale løsninger til at løse vores ressourcemæssige udfordringer, siger Jacob Herbst.

Man kan købe sig fattig i sikkerhed

Ifølge IT i praksis-undersøgelsen peger mange offentlige organisationer på økonomi som årsag til, at de må fravælge vigtige sikkerhedsindsatser.

Henrik Brix kan genkende billedet, men mener også, at der er flere nuancer i det.

- Med sikkerhed gælder det lidt ligesom, hvis du ringer til et alarmfirma: Du kan få en alarm på rigtig mange niveauer. Du kan simpelthen købe dig fattig i sikkerhed. Du kan blive ved og blive ved, siger han.

Han peger på, at økonomiaftalen for 2025 afsætter 150 millioner kroner til kommunernes arbejde med NIS2 og cybersikkerhed, og at flere kommuner allerede er i gang med at løfte niveauet. 

- I den kommune, jeg selv er i, bad vi allerede sidste år om penge til at hæve cybersikkerhedsniveauet, og det har politikerne været fremsynede nok til at bevilge. Så vi er i gang og det er der en række andre kommuner, der også er, siger han.

- Men nej, de 150 millioner er ikke nok. Nogle kommuner har et efterslæb og er nødt til selv at spæde til.

For Ejvind Jørgensen er pointen, at prioriteringen er politisk og ikke kun teknisk:

- Ledelser har jo aldrig penge nok, så det er altid et spørgsmål om prioritering – også politisk. Det kan ikke nytte, at man laver nye smarte løsninger, men til gengæld bliver udsat for et angreb, man ikke er beskyttet mod, siger han og fastslår: 

- Man er nødt til at have den “hygiejnefaktor” med og have en ret høj grad af sikkerhed, når truslerne stiger, siger han.

Kommunerne var for længe i limbo med NIS2

Den nye NIS2-lov trådte i kraft 1. juli og skærper kravene til blandt andet ledelsesansvar, risikostyring, hændelseshåndtering, leverandørstyring og dokumentation. Men kommunerne har været sent ude og ikke kun af egen drift, mener Ejvind Jørgensen.

- Der, hvor jeg især synes, der politisk er noget at sætte fingeren på, er, at det tog så lang tid at finde ud af, om kommunerne overhovedet var omfattet af NIS2 eller ej. Det fatter jeg simpelthen ikke, siger han.

Mange private virksomheder har implementeret NIS2-kravene uden at have ventet på lange vejledninger.

- NIS2 er ikke nyt. Vi har kendt til det i tre-fire år. Der er mange virksomheder, der har implementeret det uden at få en vejledning. De har læst, hvad der stod, og så har de implementeret.

- Havde man for tre år siden sagt klart, at kommunerne er med, havde de også haft længere tid til at forberede sig. I stedet har de været i limbo alt for længe, og så ender man med en “wait and see”-tilgang, hvor man prioriterer noget andet, der brænder mere, siger han.

Hvornår er nok godt nok?

Selv om kommunerne er i gang, er der stadig tvivl om, hvad et “stærkt” kriseberedskab egentlig er, påpeger Henrik Brix.

- Det er ikke sådan, at enten gør man det, eller også gør man det ikke. Du kan have en slags “skalsikring” eller gå all in med kameraer alle vegne. Sådan er det også her. Spørgsmålet er: Hvad er det rigtige niveau? siger han.

- Det er noget af det, vi kan være i tvivl om, og hvor vi gerne vil have tydeligere retningslinjer: Hvornår har vi et tilstrækkeligt niveau? Hvad er målestokken? Hvordan ved vi, at vi er i mål?

I hans egen kommune, Favrskov, gennemfører de jævnligt både generelle beredskabsøvelser og it-beredskabsøvelser – og har planlagt en fælles øvelse med nabokommuner.

- Hver gang vi har lavet en øvelse, har vi rettet i nogle af vores beredskabsplaner. Vi har lært noget og sagt: “Det her får en konsekvens, vi ikke havde tænkt over – planen skal justeres.”

- Så mit råd er: Start enkelt – og få det testet. Jeg tror egentlig, de fleste kommuner har nogle planer. Men jeg er ikke lige så sikker på, at alle får dem testet systematisk, siger han.

Små kommuner kan ikke stå alene

Jakob Herbst peger på, at forskellene mellem kommunerne er store og at især de små har svært ved at løfte opgaven selv.

- Fordi det er dyrt og besværligt. Hvis man er en lille kommune, sidder der måske én, måske to personer, der arbejder med sikkerhed. Så er det svært at følge med og gøre alle de ting, der egentlig er behov for, siger han.

Derfor giver det ifølge ham god mening, at kommunernes it-drift nu skal samles i større centre som led i den seneste økonomiaftale.

- Når man er i nogle større enheder, får man flere kompetencer og flere ressourcer, og man får mulighed for at gøre tingene mere struktureret og grundigt, siger han.

Han fremhæver også Kommunernes cybersikkerhedsskole som KL, KOMBIT og Komponent har etableret, og det kommende KommuneCERT som centrale brikker:

- Det er et forsøg på at lave en samlet enhed, der kan være med til at koordinere cybersikkerhed på tværs af kommunerne – også i forhold til beredskab og hændelser. Det er vejen frem, siger Jakob Herbst.

Første skridt: ISO, NIS2 – og øvelser, øvelser, øvelser

Spørger man Ejvind Jørgensen, hvor en kommune skal starte, er svaret relativt enkelt – i hvert fald på papiret:

- Hvis jeg sad i en kommune, ville jeg først sørge for at få ISO 27001 på plads. Når man har den, er man langt i forhold til NIS2, som så lægger et lag ovenpå – især omkring ledelsesforpligtelser, forsyningskæde, hændelseshåndtering og dokumentation, siger han.

Næste skridt er at tage beredskabet alvorligt – ikke kun som dokument, men som noget, der bliver afprøvet i praksis.

Det er Henrik Brix helt på linje med:

- Det er vigtigt at have planer – og det er bedre at komme i gang end at forsøge at beskrive hver eneste tænkelig situation i detaljer. Det kan man alligevel ikke.

- Få lavet nogle planer for fortsat drift – hvad gør vi, hvis der sker en sikkerhedshændelse? Og så test dem, siger han.

Men midt i alle tekniske standarder og direktiver glemmer vi måske let, hvad det i sidste ende handler om, påpeger Ejvind Jørgensen:

- Vi har jo set, hvad der sker, når data bliver låst, eller kriminelle lægger beslag på data og kræver penge for at frigive dem, eller når systemer bliver lagt ned – både i sundhedssektoren og i kommunernes omsorgssystemer, siger han.

- Det handler om mennesker. Det er borgere, der har behov. Og der er ikke meget, der fungerer i dag uden it.