Cybersikkerhed i kommunerne

Cybersikkerhed og kompetencer i fokus i nyt projekt

Trusselsniveauet er stigende, og ny EU-lovgivning betyder, at kommunerne har brug for medarbejdere, der kan arbejde med cybersikkerhed.

Af Bettine Romme Andersen 19/02/2024
Fremfærd

Vi tager ofte ting som rent drikkevand, strøm i stikkontakterne og trafiklys, der virker, for givet.

Men den borgernære infrastruktur i Danmark er ikke per definition sikker.

Det er her cybersikkerhed kommer ind i billedet, og dermed også landets 98 kommuner og deres medarbejdere. De har nemlig ansvaret for at beskytte og skærme borgerne mod nedbrud og angreb på kritisk service og infrastruktur.

Hvad er et cyberangreb?

Cyberangreb er forsøg på at stjæle, ødelægge eller afpresse data og oplysninger ud af en virksomhed eller offentlig myndighed med sårbare computersystemer. Angrebene vil ofte være motiveret af økonomisk vinding eller politisk overbevisning. Phishing og malware kan være eksempler på cyberangreb.

Hvordan kan administrative medarbejdere hjælpe?

Cybersikkerhed er ikke alene - men i høj grad - et spørgsmål om at have tunge it-faglige kompetencer til rådighed. Dog er meget af arbejdet også funderet i at have styr på processer, beredskabsplaner, politikker, opfølgning, ledelsesstøtte, årshjul og dokumentation, it-kontrakter, risikovurdering/styring mv. 

Det er alt sammen opgaver af potentielt administrativ karakter, som administrative medarbejdere kan byde ind på at løse.

Derfor vil et nyt projekt fra Fremfærd Borger undersøge, hvilke opgaver der kræver øget fokus i forhold til cybersikkerhed, og hvilken kompetenceudvikling der er nødvendig for, at administrativt personale kan løfte opgaverne i samarbejde med den tekniske del af IT-organisationen i kommunerne.

Hvad skal medarbejderne kunne?

Formålet med projektet er at afdække, hvilken kompetenceudvikling administrative medarbejdere har brug for, så de kan understøtte informations- og cybersikkerhedsarbejdet i kommunerne - særligt med henblik på implementeringen af NIS2-direktivet.

- Vi ser oftere og oftere virkelige cyberangreb på tværs af virksomheder og myndigheder også i forhold til kommunerne på en bred række af opgaveområder. Vi står i en virkelighed, hvor truslerne er store både fra kriminelle og statslige aktører. Samtidigt skal EU-lovgivning om cybersikkerhed (NIS2) i 2024 omsættes til dansk lovgivning. Det kan stille krav til kommunerne om at have kompetencer, der kan løfte cyber-opgaverne, siger chefkonsulent Marianne Just Mortensen, der er projektleder fra KL.

NIS2-direktivet er EU's nye regler for cybersikkerhed, som træder i kraft til oktober 2024. Her skal organisationer og myndigheder være klar til at modstå cybertrusler og leve op til direktivets bestemmelser og retningslinjer for at beskytte digital infrastruktur.

- De administrative medarbejdere kan således potentielt komme til at spille en ganske betydelig og vigtig rolle for den enkelte kommune ved at tilegne sig kompetencer og være bærer af en sikkerhedskultur, siger fagkonsulent Lisbeth Barkholt Hansen, projektleder fra HK Kommunal.

Kommune svindlet for 277.000 kroner

Næstved Kommune meldte i juli 2022 ud, at kommunen var blevet svindlet for 277.000 kroner. En medarbejders kommunale mailkonto var blevet hacket og misbrugt til at sende falske fakturaer til en økonomimedarbejder i kommunen. Hackeren havde fået adgang til medarbejderens mail via en phishingmail sendt fra en lokal elektriker, som hackeren også havde kompromitteret. Medarbejderen havde tidligere haft kontakt til elektrikeren og mistænkte derfor ikke mailen for at være ondsindet. Det kan være særligt svært at opdage phishing-mails, hvis de er sendt som led i en eksisterende og legitim dialog. Dette kaldes også e-mail thread hijacking.

Kilde: Rapporten "Cybertruslen mod Danmark 2023" udgivet af Center for Cybersikkerhed, der er en del af Forsvarets Efterretningstjeneste.

Kommunal sparringsgruppe bidrager med viden

Projektet fokuserer på at kortlægge kompetencebehovet samt den viden, man allerede har på området. Der skal også nedsættes en kommunal sparringsgruppe, som skal bistå med faglig viden.

Dertil skal der etableres et samarbejde med en uddannelsesudbyder, som kan udvikle og afprøve et undervisningsforløb til administrative medarbejdere i 1-2 kommuner i løbet af foråret 2024.

- Med vores afdækning af kompetencer kan uddannelsesinstitutioner tilrettelægge efteruddannelse til medarbejdere i kommuner, så de bliver i stand til at løfte de nødvendige opgaver for at sikre cyber- og informationssikkerhed så godt som muligt. Det er en helt oplagt opgave for administrative medarbejdere at bidrage til, siger Lisbeth Barkholt Hansen fra HK Kommunal.

Herefter tages der i Fremfærd Borger stilling til, om projektet skal udbygges med inddragelse af endnu flere kommuner og medarbejdere, der kan kompetenceudvikles både i de helt konkrete, praktiske kompetencer men også i et mindset med styrket fokus på sikkerhedshensyn.

Fakta om EU's NIS2-direktiv

NIS2 står for Netværk- og Informationssikkerhedsdirektivet.

Direktivet træder i kraft i oktober 2024.

Det er på 244 sider og indeholder krav og retningslinjer om informations- og cybersikkerhed, som organisationer, virksomheder og myndigheder i EU skal overholde.

Baggrunden for direktivet er at styrke EU's digitale robusthed og cyberforsvar af samfundskritiske sektorer.