Kommunernes balancering mellem brugervenlighed for medarbejderne og it-sikkerhed er en linedanser værdig. For det går galt, hvis man lægger for meget vægt på den ene disciplin.
Det siger formanden for foreningen af kommunale it-chefer (KIT) og daglig it-chef i Favrskov Kommune Henrik Brix:
»Vil man have et højt sikkerhedsniveau, så går det ud over brugervenligheden og funktionaliteten, og vice versa,« forklarer han og fortsætter:
»Det er en balance, vi dagligt tager stilling til.«
Udmeldingen kommer, efter at Version2 i sidste uge kunne fortælle, at de danske kommuner i 2016 har oplevet en kolossal vækst af cyberangreb.
Heriblandt var Lyngby-Taarbæk Kommune, der i løbet af 2016 er blevet inficeret med ransomware tre gange og lagt ned tre gange af DDoS-angreb.
Det fik en læser af Version2 til at stille spørgsmål om, hvor langt kommunerne bør gå i forhold til at hjælpe borgerne, uden det går ud over kommunernes sikkerhed.
Trusselsbillede, teknik og hændelser
I sin søgen efter at finde den rette balance er der flere parametre, der spiller ind, lyder det fra Henrik Brix .
Blandt andet det generelle trusselsbillede, de tekniske muligheder, der er tilgængelige, og det, kommunerne oplever i hverdagen.
»Vi er typisk nødt til at skrue på nogle parametre, når vi ser en ny trend,« fortæller Henrik Brix.
Han fortæller videre, at kommunerne aldrig har brugt så mange penge og ressourcer, som de gør nu på at forbedre it-sikkerheden.
Ifølge Henrik Brix er der to måder at imødekomme it-sikkerhed på, og den ene udelukker ikke den anden.
»Der er den tekniske sikkerhed. Det er alt det udstyr, som står og blinker her ved siden af mig.«
Og det er ifølge it-chefen absolut nødvendigt at have styr på, men det skaber ikke en sikkerhed på 100 procent.
»At tro, vi kan opnå 100 procent sikkerhed via den tekniske model - det er en illusion,« konstaterer han.
Hvis man vil have en ubrydelig sikkerhed, er der kun en vej at gå, og det er ikke særligt brugervenligt.
»Du får kun absolut sikkerhed, hvis du kobler dig af nettet, og det er svært nok i sig selv,« forklarer Henrik Brix.
Uddannelse er vejen frem
It-chefen mener, at det handler om at tage stilling til, hvilket sikkerhedsniveau kommunen vil integrere i deres systemer og så herfra tage arbejde på det andet aspekt, der handler om at uddanne brugerne til at bruge deres sunde fornuft.
»Vi bruger ressourcer på uddannelse nu, men det er klart noget, vi kommer til at opprioritere i den kommende tid,« siger Henrik Brix.
Yderligere forklarer han, at når man taler om it-sikkerhed i kommuner, så har man at gøre med rigtig mange borgeres følsomme oplysninger, hvorfor det også er vigtigt, at de bliver behandlet ordentligt.
Og her mener Henrik Brix, at awareness er vigtigt.
»Vi øger uddannelsen. Ganske almindelig digital opdragelse set med sikkerhedsbriller,« fortæller han.
Malware findes alle steder
Henrik Brix forklarer, at det er forskelligt fra kommune til kommune, hvilke filtyper der bliver accepteret, men generelt kan alle filtyper indeholde malware.
I Favrskov Kommune tillader de eksempelvis ikke exe-filer. Det er et valg, kommunen har taget med udgangspunkt i at øge sikkerhedsniveauet betragteligt, uden at det gik for meget ud over brugervenligheden.
»Vi arbejder med en dynamisk grænse. Hvis der kommer en eskalering af malware i wordfiler, så kan det sagtens være, at vi blokerer den filtype permanent,« fortæller Henrik Brix.
Han fortæller, at de næsten dagligt vurderer, hvad der kan være skadeligt, ligesom de også gør med de mails, de modtager.
»Vi sorterer lige knap 70 procent af alle mails fra,« fortæller han.
Henrik Brix er dog klar over, at hvis de strammer skruen for meget, så risikerer de, at egentlige borgerhenvendelser bliver sorteret fra, hvorfor det igen handler om at finde en balance.
»It-sikkerhed er konstant genstand for justering og indsats. Lige nu har vi rigtig meget fokus på awareness.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
