Hverken Digitaliseringsstyrelsen eller CfCS har et samlet billede af it-sikkerheden i kommuner og regioner

Illustration: Rasmus Meisler.

Det virker ikke til, at der fra centralt hold er et samlet billede af sikkerheden i landets kommuner og regioner. Det viser et folketingssvar, der samtidig viser omfanget af anmeldte hændelser til Datatilsynet over en fem måneder lang periode.

Steffen Villadsen

Journalist

3. januar kl. 10:00

errorÆldre end 30 dage

Steffen Villadsen

Journalist

Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Bortkommet brevpost, hacking og stjålne mobiltelefoner er blevet noget, man oplever i de danske kommuner og regioner.

Men selvom der løbende kommer historier om konsekvenserne ved sikkerhedsbrud rundt om i den offentlige sektor, så virker det ikke til, at der fra centralt hold er overblik over, hvordan det står til med it-sikkerheden i landets regioner og kommuner.

Det fremgår af et folketingssvar fra finansminister Nicolai Wammen (S) til Preben Bang Henriksen (V).

Ministeren har i sit svar indhentet oplysninger fra Digitaliseringsstyrelsen, og her er meldingen klar:

Artiklen fortsætter efter annoncen

»Ansvaret for at sikre et passende cyber- og informationssikkerhedsniveau i kommuner og regioner ligger hos den enkelte kommune eller region. Digitaliseringsstyrelsen er ikke bekendt med det samlede billede af cyber- og informationssikkerheden i kommuner og regioner,« skriver styrelsen til at begynde med i besvarelsen.«

Heller ikke Center for Cybersikkerhed vil gå så langt som at sige, at man har et samlet overblik over sikkerheden i de enheder i den offentlige sektor, der dagligt har kontakt med borgere i hele landet.

»FE’s Center for Cybersikkerhed (CFCS) har ikke et samlet billede af it-sikkerheden i landets 98 kommuner og fem regioner,« lyder svaret fra centeret, der gør rede for, at man har modtaget fire indberetninger om ‘større sikkerhedshændelser’ fra landets kommuner i løbet af i år mod syv i kommunerne og en i regionerne sidste år.

Flere 4.000 henvendelser

I lyset af, at hverken CfCS eller Digitaliseringsstyrelsen har et samlet billede af sikkerheden, er det særligt interessant, at der i svaret fra ministeren også fremgår en samlet opgørelse fra Datatilsynet over antallet af anmeldelser og deres karakter for en periode på omkring fem måneder.

Artiklen fortsætter efter annoncen

Jobs

Dine job

Vis alle

Perioden løber fra uge 17 i oktober sidste år og frem til oktober samme år. Her kan man blandt andet læse, at kommunerne i perioden har indberettet 22 tilfælde af hacking og 41 tilfælde af tab eller tyveri af enheder. I samme periode har man i regionerne oplevet 15 tilfælde af såkaldt ‘usikker transmission’.

Alt i alt beløber det sig til 4315 tilfælde, som man fra kommuner og regioner har valgt at indberette til Datatilsynet i den pågældende periode.

I svaret vurderer Digitaliseringsstyrelsen, at ud af de forskellige typer af hændelser var det tilfældene af såkaldt ‘brute force/credential stuffing', ‘hacking', ‘ransomware’ og ‘social engineering', der er decideret it-kriminalitet.

Anton Gede Nervil er del af et stort globalt team i Accentures afdeling for Carveout Projects. Teamet står for at håndtere alt det it-tekniske i forbindelse med et ”carve out”, dvs. når en gren af en eksisterende virksomhed sælges fra og overtages af en anden.

Sponseret indhold

Problemknuser verden over: International site manager løfter virksomheder op i Cloud

Den slags hændelser var der 31 af i kommunerne og tre af i regionerne i perioden. Det svarer til en procent ud af det samlede antal anmeldelser.

Digitaliseringsstyrelsen peger på, at den har et generelt billede af, at kommuner og regioner rundt om i landet har sat mange ting i værk for at varetage opgaven.

It-sikkerhed

add

Persondata

add

GDPR

add

Jobs

Dine job

Vis alle

Debatten

Log ind for at deltage i debatten.

settingsDebatindstillinger

Følg denne debat

John Michael Foley

4. januar kl. 10:29

Titlen og opgaven som Danmarks nationale it- og cybersikkerhedsmyndighed er fejlagtigt tildelt CFCS, der ikke lever op til sit ansvar og forpligtelser. Heller ikke i denne sag.

Man kan med rette stille spørgsmålstegn ved om de civile opgaver, der i 2012 blev overført til FE og CFCS, var den rigtige måde at løse samfundets cybersikkerhedsmæssige problemer og opgaver på.

Forsvaret løser rigtigt mange civile opgave, f.eks. søredning, fiskerikontrol, farvandsovervågning og suverænitetshåndhævelse samt en række politimæssige opgaver til lands, vands og i luften. Men det gør de fordi der ikke er andre myndigheder eller instanser, der kan. De har hverken indsigt, kompetencer eller kapaciteterne til at varetage opgaverne. Derfor må Forsvaret træde til, hvilket de også gør på både en god og professionel måde, ingen tvivl om det.

Men sådan forholder det sig imidlertid ikke på cybersikkerhedsområdet, hvor kapaciteterne og kompetencerne i stor stil er tilstede i civilsamfundet, der sagtens kunne varetage, og nok også bedre, de mange civile opgaver, som Forsvaret er pålagt på dette vigtige område.

Tiden er kommet til nytænkning og en omorganisering af den måde hvorpå Danmark håndterer de cybersikkerhedsmæssige opgaver. Den nuværende løsning har spillet fallit og virker ikke efter hensigten.

At Danmark nu er placeret på en kedelig 32. plads, når det kommer til cybersikkerhed, jf. The Global Cybersecurity Index, udarbejdet af The International Telecommunications Union for FN, dokumenterer, at der er noget Danmark gør helt forkert.

more_vert
- insert_linkKopier link

Ditlev Petersen

3. januar kl. 14:10

Halvt så megen digitalisering ville vel betyde halvt så mange angrebspunkter? (sådan ca)

Nej da. Tænk på en flok fugle ved foderbrættet. Jo flere fugle, desto mindre er risikoen for den enkelte fugl.

Men måske gælder det ikke for it? [/ironi]

more_vert
- insert_linkKopier link

Anne-Marie Krogsbøll

3. januar kl. 13:43

Digitaliseringsforstyrrelsens opgave er at digitalisere Danmark - Singularity-style. Der er ingen, der siger, at det også skal være sikkert:

https://digst.dk/om-os/om-digitaliseringsstyrelsen/

(det mest sikre ville være at begrænse den hoved- og grænseløse digitalisering. Halvt så megen digitalisering ville vel betyde halvt så mange angrebspunkter? (sådan ca))

more_vert
- insert_linkKopier link

Claus Bobjerg Juul

3. januar kl. 12:47

Og her er det nok mere interessant at måle modenheden i de enkelte kommuner (altså er der en organisatorisk forandring, politik, awareness, risikovurdering, trusselkatatalog og og) I stedet for at kigge på antallet af indberetninger.

Grundlæggende enig, men set ud fra et helhedsbillede der går på tværs af stat, regioner og kommuner, så kunne modenheden hæves ved at definere fælles begreber som fx grader af databrud og via definitionerne også bede stat, regioner og kommuner indrapportere de forskellige hændelser, så der kan tegnes et retvisende og nationalt overblik.

more_vert
- insert_linkKopier link

Klavs Klavsen

3. januar kl. 11:42

Man KUNNE måske med fordel, lave en fælles "service" - f.ex. via KOMBIT eller noget andet - som rent faktisk kiggede på de problemer der har været og løsningerne herpå (her kunne en havarikommission rapport jo hjælpe) - og udarbejdede fælles måder at arbejde på, der minimerede sandsynligheden for disse problemer ? Lå det under kombit, kunne de jo også tage sig af servere/services direkte - altså tilbyde noget fælles drift - til dem der ikke engang har overskuddet til at få deres servere sikkerhedsopdateret?

Og sådan noget sker nok ikke uden en eller anden form for "konsekvens" trussel.. Der kan man godt sige at datatilsynet i rimelig høj grad BURDE være nok - da en sådan hændelse, jo forårsager at datatilsynet træder til.. Men hvis IKKE den konsekvens de udstikker er alvorlig nok (indenfor det offentlige burde det være chef-afskedigelser istedet for økonomisk - det giver mere mening IMHO) - så hjælper datatilsynet jo desværre ikke.

Så man SKAL IMHO kigge på at sikre at "truslen" om datatilsynet, hvis man fejler i sin IT-sikkerhed er tilstrækkelig, til at ledelsen bibeholder fokus.. På en eller anden måde.

more_vert
- insert_linkKopier link

Morten Fordsmand

3. januar kl. 11:08

Men Datatilsynet har i det mindste en idé om det - de har bare ikke ressoucer til at gøre noget ved det hele.

Joe men datatilsynet har jo kun fokus på persondataforordningen og ikke hele risikobilledet.

Men som der bliver gjort opmærksom på så ligger ansvaret jo hos kommunerne selv, så man bnurde nok nærmere have spurgt indenrigsministeren, der jo er ansvarlig for tilsynet med kommuner (og regioner?)

Og her er det nok mere interessant at måle modenheden i de enkelte kommuner (altså er der en organisatorisk forandring, politik, awareness, risikovurdering, trusselkatatalog og og) I stedet for at kigge på antallet af indberetninger.

more_vert
- insert_linkKopier link

Jørgen Elgaard Larsen

3. januar kl. 10:45

FE’s Center for Cybersikkerhed (CFCS) har ikke et samlet billede af it-sikkerheden

Men Datatilsynet har i det mindste en idé om det - de har bare ikke ressoucer til at gøre noget ved det hele.

Kan vi så ikke blive enige om at lade være med at spilde flere penge på CfCS og i stedet styrke Datatilsynet?

Og gerne give dem nogle muskler overfor andre myndigheder.

more_vert
- insert_linkKopier link

Hverken Digitaliseringsstyrelsen eller CfCS har et samlet billede af it-sikkerheden i kommuner og regioner

Flere 4.000 henvendelser

Jobs

Problemknuser verden over: International site manager løfter virksomheder op i Cloud

Jobs

Finanstilsynet dumper sikkerheden i NemID-nøglekort: Skal fjernes fra netbank 30. juni

Dansk Erhverv: »Man skal ikke undervurdere hvor meget kritisk infrastruktur, der kører på legacy-systemer«

V2 ANALYTICS Ny konference om effektiv anvendelse af data, strategisk overblik og hands-on erfaring