Kommunale it-chefer efter boom i cybercrime: Brugerne må opdrages til bedre it-sikkerhed

Illustration: REDPIXEL.PL/Bigstock
Kommunerne må overveje nye stramninger, f.eks. at blokere for Word-filer, hvis de oftere huser malware, lyder det fra KIT-formand.

Kommunernes balancering mellem brugervenlighed for medarbejderne og it-sikkerhed er en linedanser værdig. For det går galt, hvis man lægger for meget vægt på den ene disciplin.

Det siger formanden for foreningen af kommunale it-chefer (KIT) og daglig it-chef i Favrskov Kommune Henrik Brix:

»Vil man have et højt sikkerhedsniveau, så går det ud over brugervenligheden og funktionaliteten, og vice versa,« forklarer han og fortsætter:

»Det er en balance, vi dagligt tager stilling til.«

Udmeldingen kommer, efter at Version2 i sidste uge kunne fortælle, at de danske kommuner i 2016 har oplevet en kolossal vækst af cyberangreb.

Læs også: Danske kommuner bombarderet med cyberangreb i 2016

Heriblandt var Lyngby-Taarbæk Kommune, der i løbet af 2016 er blevet inficeret med ransomware tre gange og lagt ned tre gange af DDoS-angreb.

Læs også: Lyngby-Taarbæk inficeret med ransomware tre gange i 2016

Det fik en læser af Version2 til at stille spørgsmål om, hvor langt kommunerne bør gå i forhold til at hjælpe borgerne, uden det går ud over kommunernes sikkerhed.

Trusselsbillede, teknik og hændelser

I sin søgen efter at finde den rette balance er der flere parametre, der spiller ind, lyder det fra Henrik Brix .

Blandt andet det generelle trusselsbillede, de tekniske muligheder, der er tilgængelige, og det, kommunerne oplever i hverdagen.

»Vi er typisk nødt til at skrue på nogle parametre, når vi ser en ny trend,« fortæller Henrik Brix.

Han fortæller videre, at kommunerne aldrig har brugt så mange penge og ressourcer, som de gør nu på at forbedre it-sikkerheden.

Ifølge Henrik Brix er der to måder at imødekomme it-sikkerhed på, og den ene udelukker ikke den anden.

»Der er den tekniske sikkerhed. Det er alt det udstyr, som står og blinker her ved siden af mig.«

Og det er ifølge it-chefen absolut nødvendigt at have styr på, men det skaber ikke en sikkerhed på 100 procent.

»At tro, vi kan opnå 100 procent sikkerhed via den tekniske model - det er en illusion,« konstaterer han.

Hvis man vil have en ubrydelig sikkerhed, er der kun en vej at gå, og det er ikke særligt brugervenligt.

»Du får kun absolut sikkerhed, hvis du kobler dig af nettet, og det er svært nok i sig selv,« forklarer Henrik Brix.

Uddannelse er vejen frem

It-chefen mener, at det handler om at tage stilling til, hvilket sikkerhedsniveau kommunen vil integrere i deres systemer og så herfra tage arbejde på det andet aspekt, der handler om at uddanne brugerne til at bruge deres sunde fornuft.

»Vi bruger ressourcer på uddannelse nu, men det er klart noget, vi kommer til at opprioritere i den kommende tid,« siger Henrik Brix.

Yderligere forklarer han, at når man taler om it-sikkerhed i kommuner, så har man at gøre med rigtig mange borgeres følsomme oplysninger, hvorfor det også er vigtigt, at de bliver behandlet ordentligt.

Og her mener Henrik Brix, at awareness er vigtigt.

»Vi øger uddannelsen. Ganske almindelig digital opdragelse set med sikkerhedsbriller,« fortæller han.

Malware findes alle steder

Henrik Brix forklarer, at det er forskelligt fra kommune til kommune, hvilke filtyper der bliver accepteret, men generelt kan alle filtyper indeholde malware.

I Favrskov Kommune tillader de eksempelvis ikke exe-filer. Det er et valg, kommunen har taget med udgangspunkt i at øge sikkerhedsniveauet betragteligt, uden at det gik for meget ud over brugervenligheden.

»Vi arbejder med en dynamisk grænse. Hvis der kommer en eskalering af malware i wordfiler, så kan det sagtens være, at vi blokerer den filtype permanent,« fortæller Henrik Brix.

Han fortæller, at de næsten dagligt vurderer, hvad der kan være skadeligt, ligesom de også gør med de mails, de modtager.

»Vi sorterer lige knap 70 procent af alle mails fra,« fortæller han.

Henrik Brix er dog klar over, at hvis de strammer skruen for meget, så risikerer de, at egentlige borgerhenvendelser bliver sorteret fra, hvorfor det igen handler om at finde en balance.

»It-sikkerhed er konstant genstand for justering og indsats. Lige nu har vi rigtig meget fokus på awareness.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nils Bøjden

Vi starter med de små i folkeskolen. Så de kommunale chefer må nok forvente at deres ønske kan opfyldes om 25 - 35 år når de +50årige i vid udstrækning er ophørt med at bruge de kommunale IT systemet og en ny generation af brugere er dukket op.

Så på med tålmodighedshatten.

  • 3
  • 0
Ebbe Hansen

Med at vurdere en side på, om sproget er korrekt dansk. Selvfølgelig findes der der sider med "google-oversættelser" og håbløse formuleringer, men de it-kriminelle bliver dygtigere og dygtigere, både til selve sproget og til at copy-paste de originale siders formuleringer.
I første omgang skal vi nok vænne os af med at udveksle oplysninger direkte vha mails med vedhæftede filer, på usbstik og tilsvarende.

  • 1
  • 0
Knud Høgh Knudsen

at et El-selskab sender nedenstående meddelelse som almindelig tekst (også uden logo selv om det ikke havde hjulpet meget).
Der medsendes en .pdf fil som skal åbnes før man får information om link adresse til måleraflæsningen.
Den kunne bedre have stået i mailteksten.

"Kære kunde.

Det er igen tid til at aflæse din el-måler.

Se vedlagte fil for information.

Med venlig hilsen

Nordjysk Elnet A/S"

At e-mailen dateres 24 oktober og indsendelses frist er 1. november (med en undskyldning 26 oktober om den korte frist på grund af "tekniske udfordringer") tyder på en IT afdeling uden den nødvendige kompetance.

  • 0
  • 0
Log ind eller Opret konto for at kommentere