Hverken Digitaliseringsstyrelsen eller CfCS har et samlet billede af it-sikkerheden i kommuner og regioner

7 kommentarer.  Hop til debatten
Hverken Digitaliseringsstyrelsen eller CfCS har et samlet billede af it-sikkerheden i kommuner og regioner
Illustration: Rasmus Meisler.
Det virker ikke til, at der fra centralt hold er et samlet billede af sikkerheden i landets kommuner og regioner. Det viser et folketingssvar, der samtidig viser omfanget af anmeldte hændelser til Datatilsynet over en fem måneder lang periode.
3. januar kl. 10:00
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Bortkommet brevpost, hacking og stjålne mobiltelefoner er blevet noget, man oplever i de danske kommuner og regioner.

Men selvom der løbende kommer historier om konsekvenserne ved sikkerhedsbrud rundt om i den offentlige sektor, så virker det ikke til, at der fra centralt hold er overblik over, hvordan det står til med it-sikkerheden i landets regioner og kommuner.

Det fremgår af et folketingssvar fra finansminister Nicolai Wammen (S) til Preben Bang Henriksen (V).

Ministeren har i sit svar indhentet oplysninger fra Digitaliseringsstyrelsen, og her er meldingen klar:

Artiklen fortsætter efter annoncen

»Ansvaret for at sikre et passende cyber- og informationssikkerhedsniveau i kommuner og regioner ligger hos den enkelte kommune eller region. Digitaliseringsstyrelsen er ikke bekendt med det samlede billede af cyber- og informationssikkerheden i kommuner og regioner,« skriver styrelsen til at begynde med i besvarelsen.«

Heller ikke Center for Cybersikkerhed vil gå så langt som at sige, at man har et samlet overblik over sikkerheden i de enheder i den offentlige sektor, der dagligt har kontakt med borgere i hele landet.

»FE’s Center for Cybersikkerhed (CFCS) har ikke et samlet billede af it-sikkerheden i landets 98 kommuner og fem regioner,« lyder svaret fra centeret, der gør rede for, at man har modtaget fire indberetninger om ‘større sikkerhedshændelser’ fra landets kommuner i løbet af i år mod syv i kommunerne og en i regionerne sidste år.

Flere 4.000 henvendelser

I lyset af, at hverken CfCS eller Digitaliseringsstyrelsen har et samlet billede af sikkerheden, er det særligt interessant, at der i svaret fra ministeren også fremgår en samlet opgørelse fra Datatilsynet over antallet af anmeldelser og deres karakter for en periode på omkring fem måneder.

Perioden løber fra uge 17 i oktober sidste år og frem til oktober samme år. Her kan man blandt andet læse, at kommunerne i perioden har indberettet 22 tilfælde af hacking og 41 tilfælde af tab eller tyveri af enheder. I samme periode har man i regionerne oplevet 15 tilfælde af såkaldt ‘usikker transmission’.

Alt i alt beløber det sig til 4315 tilfælde, som man fra kommuner og regioner har valgt at indberette til Datatilsynet i den pågældende periode.

I svaret vurderer Digitaliseringsstyrelsen, at ud af de forskellige typer af hændelser var det tilfældene af såkaldt ‘brute force/credential stuffing', ‘hacking', ‘ransomware’ og ‘social engineering', der er decideret it-kriminalitet.

Den slags hændelser var der 31 af i kommunerne og tre af i regionerne i perioden. Det svarer til en procent ud af det samlede antal anmeldelser.

Digitaliseringsstyrelsen peger på, at den har et generelt billede af, at kommuner og regioner rundt om i landet har sat mange ting i værk for at varetage opgaven.

7 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
7
4. januar kl. 10:29

Titlen og opgaven som Danmarks nationale it- og cybersikkerhedsmyndighed er fejlagtigt tildelt CFCS, der ikke lever op til sit ansvar og forpligtelser. Heller ikke i denne sag.

Man kan med rette stille spørgsmålstegn ved om de civile opgaver, der i 2012 blev overført til FE og CFCS, var den rigtige måde at løse samfundets cybersikkerhedsmæssige problemer og opgaver på.

Forsvaret løser rigtigt mange civile opgave, f.eks. søredning, fiskerikontrol, farvandsovervågning og suverænitetshåndhævelse samt en række politimæssige opgaver til lands, vands og i luften. Men det gør de fordi der ikke er andre myndigheder eller instanser, der kan. De har hverken indsigt, kompetencer eller kapaciteterne til at varetage opgaverne. Derfor må Forsvaret træde til, hvilket de også gør på både en god og professionel måde, ingen tvivl om det.

Men sådan forholder det sig imidlertid ikke på cybersikkerhedsområdet, hvor kapaciteterne og kompetencerne i stor stil er tilstede i civilsamfundet, der sagtens kunne varetage, og nok også bedre, de mange civile opgaver, som Forsvaret er pålagt på dette vigtige område.

Tiden er kommet til nytænkning og en omorganisering af den måde hvorpå Danmark håndterer de cybersikkerhedsmæssige opgaver. Den nuværende løsning har spillet fallit og virker ikke efter hensigten.

At Danmark nu er placeret på en kedelig 32. plads, når det kommer til cybersikkerhed, jf. The Global Cybersecurity Index, udarbejdet af The International Telecommunications Union for FN, dokumenterer, at der er noget Danmark gør helt forkert.

5
3. januar kl. 13:43

Digitaliseringsforstyrrelsens opgave er at digitalisere Danmark - Singularity-style. Der er ingen, der siger, at det også skal være sikkert:

https://digst.dk/om-os/om-digitaliseringsstyrelsen/

(det mest sikre ville være at begrænse den hoved- og grænseløse digitalisering. Halvt så megen digitalisering ville vel betyde halvt så mange angrebspunkter? (sådan ca))

4
3. januar kl. 12:47

Og her er det nok mere interessant at måle modenheden i de enkelte kommuner (altså er der en organisatorisk forandring, politik, awareness, risikovurdering, trusselkatatalog og og) I stedet for at kigge på antallet af indberetninger.

Grundlæggende enig, men set ud fra et helhedsbillede der går på tværs af stat, regioner og kommuner, så kunne modenheden hæves ved at definere fælles begreber som fx grader af databrud og via definitionerne også bede stat, regioner og kommuner indrapportere de forskellige hændelser, så der kan tegnes et retvisende og nationalt overblik.

3
3. januar kl. 11:42

Man KUNNE måske med fordel, lave en fælles "service" - f.ex. via KOMBIT eller noget andet - som rent faktisk kiggede på de problemer der har været og løsningerne herpå (her kunne en havarikommission rapport jo hjælpe) - og udarbejdede fælles måder at arbejde på, der minimerede sandsynligheden for disse problemer ? Lå det under kombit, kunne de jo også tage sig af servere/services direkte - altså tilbyde noget fælles drift - til dem der ikke engang har overskuddet til at få deres servere sikkerhedsopdateret?

Og sådan noget sker nok ikke uden en eller anden form for "konsekvens" trussel.. Der kan man godt sige at datatilsynet i rimelig høj grad BURDE være nok - da en sådan hændelse, jo forårsager at datatilsynet træder til.. Men hvis IKKE den konsekvens de udstikker er alvorlig nok (indenfor det offentlige burde det være chef-afskedigelser istedet for økonomisk - det giver mere mening IMHO) - så hjælper datatilsynet jo desværre ikke.

Så man SKAL IMHO kigge på at sikre at "truslen" om datatilsynet, hvis man fejler i sin IT-sikkerhed er tilstrækkelig, til at ledelsen bibeholder fokus.. På en eller anden måde.

2
3. januar kl. 11:08

Men Datatilsynet har i det mindste en idé om det - de har bare ikke ressoucer til at gøre noget ved det hele.

Joe men datatilsynet har jo kun fokus på persondataforordningen og ikke hele risikobilledet.

Men som der bliver gjort opmærksom på så ligger ansvaret jo hos kommunerne selv, så man bnurde nok nærmere have spurgt indenrigsministeren, der jo er ansvarlig for tilsynet med kommuner (og regioner?)

Og her er det nok mere interessant at måle modenheden i de enkelte kommuner (altså er der en organisatorisk forandring, politik, awareness, risikovurdering, trusselkatatalog og og) I stedet for at kigge på antallet af indberetninger.

1
3. januar kl. 10:45

FE’s Center for Cybersikkerhed (CFCS) har ikke et samlet billede af it-sikkerheden

Men Datatilsynet har i det mindste en idé om det - de har bare ikke ressoucer til at gøre noget ved det hele.

Kan vi så ikke blive enige om at lade være med at spilde flere penge på CfCS og i stedet styrke Datatilsynet?

Og gerne give dem nogle muskler overfor andre myndigheder.