To år senere er et handlekraftig sektorvist responsmiljø (SRM – samme som CERT) på plass i Mjøs-regionen med et 30-talls kommuner som medlemmer - geografisk fordelt over hele vårt langstrakte land. Medlemsfordeler som informasjonsdeling, trusseletterretning og rådgiving innen digital sikkerhet kommer medlemmene til gode hver dag.
Nasjonal sikkerhetsmyndighet (NSM), Digitaliseringsdirektoratet og KS har i mange år bidratt med generell rådgivning, anbefalinger og rettledninger innenfor informasjonssikkerhet. Men norske kommuner har manglet direkte, operativ, en-til-en praktisk rådgivning innenfor dette feltet, samt noen å støtte seg til ved digitale sikkerhetshendelser.
Kommunene har måttet bygge praktisk kompetanse på operativ digital sikkerhet selv, i den grad man har satt av tid og ressurser til dette. Nettopp på grunn av ressursmangel har det vært vanskelig – for ikke å si umulig – å bygge et sikkerhetsmiljø (dvs. med flere enn en person) i små og mellomstore kommuner. Samtidig har digitaliseringspresset økt. Digitalisering er som kjent en meget god effektiviseringsstrategi, i hvert fall i teorien og når alt går bra!
Denne utviklingen faller sammen med skjerpet trusselbilde mot kommunal sektor. Cyberangrepene øker i antall, kompleksitet og profesjonalitet. Kriminelle bander som det blir stadig flere av, har oppdaget at cybersvindel krever lite ressurser og kan gi svært store gevinster. Enkelte løsepengeangrep har gitt utbetaling på 50-100 millioner kroner for å få låst opp dataene sine. Dermed blir håndteringen av denne situasjonen en stor utfordring for mange kommuner – de har rett og slett ikke kapasitet til å følge med i dette racet samtidig som de skal drifte og iverksette digitale løsninger.
Kriminelle bander som det blir stadig flere av, har oppdaget at cybersvindel krever lite ressurser og kan gi svært store gevinster.
Mange kjenner til angrepet på Østre Toten som ble utført av en avansert kriminell aktør i januar i år. De kriminelle skaffet seg først tilgang inn via ekstern pålogging, deretter hacket de seg administratortilgang, fjernet sikkerhetsmekanismer, hentet ut noe data, slettet sikkerhetskopiene og låste til slutt ned alle serverne ved å kryptere innholdet.
Vår etterretning skaffet oss kunnskap som ga grunnlag for frykt for slike angrep mot norske kommuner – vi varslet det i vår rapport som kom ut en måned før angrepet skjedde. En av kjerneoppgavene våre er å utføre slik etterretning og gjøre analyser og vurderinger basert på kunnskapen vi bygger. Etter Østre Toten har vi hatt lignende angrep på blant annet TietoEvry, Nordlo (drifter for Vakt og Alarm), Drammen kommunes vannforsyning og Powel/Volue som leverer systemer til kraftbransjen og vann- og avløp.
Andre aktuelle trusler er kanskje først og fremst fakturasvindel og generell nettfisking (phishing). Førstnevnte hendelser har vært kostbare for mange norske offentlige organisasjoner, for eksempel Norfund som tapte 100 millioner kroner, og en høyere utdanningsinstitusjon som også ble svindlet for tilsvarende beløp.
Svindlene foregår på ulike måter, men fellestrekkene er at man blir lurt til å utbetale til feil konto. Phishing kan brukes både til å lure til seg innloggingsdetaljer og å infisere med skadevare datamaskinen som eposten leses på.
Med de alvorlige hendelsene som har skjedd siste halve året, har Kommune-CSIRT opplevd et søkelys på informasjonssikkerhet i kommune-Norge. I dag har vi 30 medlemmer – og tallet øker stadig - som mottar medlemsfordeler fra senteret. Vår finansieringsmodell er å dekke utgiftene våre med medlemsavgifter og samtidig være non-profit, og vi har et høyt ambisjonsnivå når det gjelder hva vi skal gjøre for norske kommuner. Sikkerheten vinner på at kommunen er medlem i et kompetansesenter hvor man har tilgang til informasjonsdeling, trusseletterretning og rådgivning, og erfaring viser at kommuner som blir medlemmer raskt får en forbedring av informasjonssikkerheten.
Med de alvorlige hendelsene som har skjedd siste halve året, har Kommune-CSIRT opplevd et søkelys på informasjonssikkerhet i kommune-Norge.
Noe av det første vi gjør etter at medlemskapet er tegnet, er å gjennomføre en onboardingsprosess. Denne prosessen består blant annet i å gjennomgå sikkerhetspolicy, -mekanismer, -tilstand og -prosedyrer. Dette omfatter også de delene av kommunen som vanligvis ikke er så mye i søkelyset for informasjonssikkerhet, for eksempel vann og avløp, tekniske anlegg, idrettsanlegg, velferdsteknologi og kulturinstitusjoner. Denne prosessen har blitt tatt godt imot av kommunene, og bidrar både til å påskynde sikkerhetsarbeidet og til å avdekke og utbedre sårbarheter som det haster å gjøre noe med.
Organisering og drift av digitale systemer hos norske kommuner varierer mye – fra å drifte alt selv til å sette bort driften til kommersielle aktører. I tillegg er mange løsninger flyttet til skyen, og blir da som regel driftet av leverandøren selv. Mange kommuner har også gått sammen om å opprette en felles driftsorganisasjon – enten med vertskommuneprinsippet eller andre organisasjonsformer. Kommune-CSIRT sin rolle er da todelt: For det første å støtte kommuneledelsen med strategiske vurderinger rundt informasjonssikkerhet og et bindeledd mellom ledelsen og teknisk drift, og for det andre operasjonalisere tett samarbeid med teknisk drift om operativ sikkerhet. Dermed har kommunen fått en ny, uhildet støttespiller og sparringspartner på informasjonssikkerhet, også for de etatene som ikke kommer under felles IT-drift i kommunen.
Kommune-CSIRT bidrar gjennom sikkerhetsarbeidet mot medlemsmassen vesentlig til mottoet «Et løft for digital sikkerhet i kommunesektoren».
Lenke til Kommunerevisoren nr. 5/2021: