Hverken Digitaliseringsstyrelsen eller CfCS har et samlet billede af it-sikkerheden i kommuner og regioner
Bortkommet brevpost, hacking og stjålne mobiltelefoner er blevet noget, man oplever i de danske kommuner og regioner.
Men selvom der løbende kommer historier om konsekvenserne ved sikkerhedsbrud rundt om i den offentlige sektor, så virker det ikke til, at der fra centralt hold er overblik over, hvordan det står til med it-sikkerheden i landets regioner og kommuner.
Det fremgår af et folketingssvar fra finansminister Nicolai Wammen (S) til Preben Bang Henriksen (V).
Ministeren har i sit svar indhentet oplysninger fra Digitaliseringsstyrelsen, og her er meldingen klar:
»Ansvaret for at sikre et passende cyber- og informationssikkerhedsniveau i kommuner og regioner ligger hos den enkelte kommune eller region. Digitaliseringsstyrelsen er ikke bekendt med det samlede billede af cyber- og informationssikkerheden i kommuner og regioner,« skriver styrelsen til at begynde med i besvarelsen.«
Heller ikke Center for Cybersikkerhed vil gå så langt som at sige, at man har et samlet overblik over sikkerheden i de enheder i den offentlige sektor, der dagligt har kontakt med borgere i hele landet.
»FE’s Center for Cybersikkerhed (CFCS) har ikke et samlet billede af it-sikkerheden i landets 98 kommuner og fem regioner,« lyder svaret fra centeret, der gør rede for, at man har modtaget fire indberetninger om ‘større sikkerhedshændelser’ fra landets kommuner i løbet af i år mod syv i kommunerne og en i regionerne sidste år.
Flere 4.000 henvendelser
I lyset af, at hverken CfCS eller Digitaliseringsstyrelsen har et samlet billede af sikkerheden, er det særligt interessant, at der i svaret fra ministeren også fremgår en samlet opgørelse fra Datatilsynet over antallet af anmeldelser og deres karakter for en periode på omkring fem måneder.
Perioden løber fra uge 17 i oktober sidste år og frem til oktober samme år. Her kan man blandt andet læse, at kommunerne i perioden har indberettet 22 tilfælde af hacking og 41 tilfælde af tab eller tyveri af enheder. I samme periode har man i regionerne oplevet 15 tilfælde af såkaldt ‘usikker transmission’.
Alt i alt beløber det sig til 4315 tilfælde, som man fra kommuner og regioner har valgt at indberette til Datatilsynet i den pågældende periode.
I svaret vurderer Digitaliseringsstyrelsen, at ud af de forskellige typer af hændelser var det tilfældene af såkaldt ‘brute force/credential stuffing', ‘hacking', ‘ransomware’ og ‘social engineering', der er decideret it-kriminalitet.
Den slags hændelser var der 31 af i kommunerne og tre af i regionerne i perioden. Det svarer til en procent ud af det samlede antal anmeldelser.
Digitaliseringsstyrelsen peger på, at den har et generelt billede af, at kommuner og regioner rundt om i landet har sat mange ting i værk for at varetage opgaven.
