Kommunale it-chefer efter boom i cybercrime: Brugerne må opdrages til bedre it-sikkerhed

26. oktober 2016 kl. 06:283
Kommunerne må overveje nye stramninger, f.eks. at blokere for Word-filer, hvis de oftere huser malware, lyder det fra KIT-formand.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Kommunernes balancering mellem brugervenlighed for medarbejderne og it-sikkerhed er en linedanser værdig. For det går galt, hvis man lægger for meget vægt på den ene disciplin.

Det siger formanden for foreningen af kommunale it-chefer (KIT) og daglig it-chef i Favrskov Kommune Henrik Brix:

»Vil man have et højt sikkerhedsniveau, så går det ud over brugervenligheden og funktionaliteten, og vice versa,« forklarer han og fortsætter:

»Det er en balance, vi dagligt tager stilling til.«

Artiklen fortsætter efter annoncen

Udmeldingen kommer, efter at Version2 i sidste uge kunne fortælle, at de danske kommuner i 2016 har oplevet en kolossal vækst af cyberangreb.

Heriblandt var Lyngby-Taarbæk Kommune, der i løbet af 2016 er blevet inficeret med ransomware tre gange og lagt ned tre gange af DDoS-angreb.

Det fik en læser af Version2 til at stille spørgsmål om, hvor langt kommunerne bør gå i forhold til at hjælpe borgerne, uden det går ud over kommunernes sikkerhed.

Trusselsbillede, teknik og hændelser

I sin søgen efter at finde den rette balance er der flere parametre, der spiller ind, lyder det fra Henrik Brix .

Blandt andet det generelle trusselsbillede, de tekniske muligheder, der er tilgængelige, og det, kommunerne oplever i hverdagen.

»Vi er typisk nødt til at skrue på nogle parametre, når vi ser en ny trend,« fortæller Henrik Brix.

Han fortæller videre, at kommunerne aldrig har brugt så mange penge og ressourcer, som de gør nu på at forbedre it-sikkerheden.

Ifølge Henrik Brix er der to måder at imødekomme it-sikkerhed på, og den ene udelukker ikke den anden.

»Der er den tekniske sikkerhed. Det er alt det udstyr, som står og blinker her ved siden af mig.«

Og det er ifølge it-chefen absolut nødvendigt at have styr på, men det skaber ikke en sikkerhed på 100 procent.

»At tro, vi kan opnå 100 procent sikkerhed via den tekniske model - det er en illusion,« konstaterer han.

Hvis man vil have en ubrydelig sikkerhed, er der kun en vej at gå, og det er ikke særligt brugervenligt.

»Du får kun absolut sikkerhed, hvis du kobler dig af nettet, og det er svært nok i sig selv,« forklarer Henrik Brix.

Uddannelse er vejen frem

It-chefen mener, at det handler om at tage stilling til, hvilket sikkerhedsniveau kommunen vil integrere i deres systemer og så herfra tage arbejde på det andet aspekt, der handler om at uddanne brugerne til at bruge deres sunde fornuft.

»Vi bruger ressourcer på uddannelse nu, men det er klart noget, vi kommer til at opprioritere i den kommende tid,« siger Henrik Brix.

Yderligere forklarer han, at når man taler om it-sikkerhed i kommuner, så har man at gøre med rigtig mange borgeres følsomme oplysninger, hvorfor det også er vigtigt, at de bliver behandlet ordentligt.

Og her mener Henrik Brix, at awareness er vigtigt.

»Vi øger uddannelsen. Ganske almindelig digital opdragelse set med sikkerhedsbriller,« fortæller han.

Malware findes alle steder

Henrik Brix forklarer, at det er forskelligt fra kommune til kommune, hvilke filtyper der bliver accepteret, men generelt kan alle filtyper indeholde malware.

I Favrskov Kommune tillader de eksempelvis ikke exe-filer. Det er et valg, kommunen har taget med udgangspunkt i at øge sikkerhedsniveauet betragteligt, uden at det gik for meget ud over brugervenligheden.

»Vi arbejder med en dynamisk grænse. Hvis der kommer en eskalering af malware i wordfiler, så kan det sagtens være, at vi blokerer den filtype permanent,« fortæller Henrik Brix.

Han fortæller, at de næsten dagligt vurderer, hvad der kan være skadeligt, ligesom de også gør med de mails, de modtager.

»Vi sorterer lige knap 70 procent af alle mails fra,« fortæller han.

Henrik Brix er dog klar over, at hvis de strammer skruen for meget, så risikerer de, at egentlige borgerhenvendelser bliver sorteret fra, hvorfor det igen handler om at finde en balance.

»It-sikkerhed er konstant genstand for justering og indsats. Lige nu har vi rigtig meget fokus på awareness.«

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
27. oktober 2016 kl. 10:08

at et El-selskab sender nedenstående meddelelse som almindelig tekst (også uden logo selv om det ikke havde hjulpet meget). Der medsendes en .pdf fil som skal åbnes før man får information om link adresse til måleraflæsningen. Den kunne bedre have stået i mailteksten.

"Kære kunde.

Det er igen tid til at aflæse din el-måler.

Se vedlagte fil for information.

Med venlig hilsen

Nordjysk Elnet A/S"

At e-mailen dateres 24 oktober og indsendelses frist er 1. november (med en undskyldning 26 oktober om den korte frist på grund af "tekniske udfordringer") tyder på en IT afdeling uden den nødvendige kompetance.

2
26. oktober 2016 kl. 14:22

Med at vurdere en side på, om sproget er korrekt dansk. Selvfølgelig findes der der sider med "google-oversættelser" og håbløse formuleringer, men de it-kriminelle bliver dygtigere og dygtigere, både til selve sproget og til at copy-paste de originale siders formuleringer. I første omgang skal vi nok vænne os af med at udveksle oplysninger direkte vha mails med vedhæftede filer, på usbstik og tilsvarende.

1
26. oktober 2016 kl. 08:49

Vi starter med de små i folkeskolen. Så de kommunale chefer må nok forvente at deres ønske kan opfyldes om 25 - 35 år når de +50årige i vid udstrækning er ophørt med at bruge de kommunale IT systemet og en ny generation af brugere er dukket op.

Så på med tålmodighedshatten.