Sikkerheden rykker op til topledelsen

Sikkerheden rykker op til topledelsen

Sikkerheden rykker op på topledelsens dagsorden, mens budskaberne om hverdagens it-sikkerhed er svære at sælge til de menige medarbejdere i organisationen. Det siger it-cheferne i Hjørring og Varde Kommune. I Hjørring Kommune er sikkerhedskoordinatoren rykket ind på borgmesterkontoret og it-sikkerheden har fået selvstændig plads i budgettet.
”Budskaber om it-sikkerhed er bare ikke særlig nemme at sælge. Nogle medarbejdere kan godt tænke, at ’den tager vi lige på et senere tidspunkt’,” siger it-supportchef Kim Sørensen i Hjørring.
 
Begge tiltag i Hjørring med topledelsens større bevågenhed og at it-sikkerheden har  fået plads i kommunens budget, anbefales af chef Kim Aarenstrup, Rigspolitiets Nationale Cyber Crime Center (NC3). ”Det er nødvendigt ellers risikerer it-sikkerheden at blive taber i den løbende kamp om de kommunale midler. En fast procentdel af it-budgettet vil være udtryk for seriøs governance og reel ledelsesmæssig forankring på området.”
 
Ny sikkerhedsdirektør i KMD, Lars Neupart, siger, der er et gab mellem den ledelsesmæssige opbakning til it-sikkerheden og så de ressourcer kommunerne rent faktisk giver. Topledelsen bakker helt og fuldt op om it-sikkerheden, men giver ikke nok ressourcer. Han mener, at EU’s nye Persondataforordning vil ændre på det billede. Den kalder på mere ledelsesopbakning og risikostyring.
 
”Det er vigtigt ikke at overdrive it-sikkerheden og gøre sikkerhedsarbejdet for bureaukratisk, da det vil hindre sagsgangene i at glide effektivt og dermed gøre digitaliseringen mindre værd for kommunerne. Omvendt så kan kommunerne heller ikke tage for let på beskyttelsen af personlige data,” siger Lars Neupart. 

It-sikkerheden skal med i budgetterne
Ifølge Kim Aarenstrup, chef for Rigspolitiets Nationale Cyber Crime Center (NC3), skal it-sikkerheden ind i budgetterne, hvis den ikke skal blive taber i den løbende kamp om de kommunale midler. En fast procentdel af it-budgettet vil være udtryk for seriøs governance og reel ledelsesmæssig forankring på området.
 
Kim Aarenstrup har været chef for NC3 siden oprettelsen i 2014 og har årelange og omfattende erfaringer med it-sikkerhed fra sine tidligere job og tillidsposter. Han konstaterer, at der helt generelt er en stigning i angrebene på it-systemerne i offentlige og private virksomheder, men at set fra hans stol i NC3, er kommunerne ikke mere eller mindre ramt af tilfældighedsangreb, så som phishing, malware, ransomware og DDoS end andre. Eneste specielle forhold, der eventuelt kunne peges på, er skolenetværkene, som i de seneste par år i nogle tilfælde har været angrebspunkter.
”Det generelle billede er, at der bliver anvendt automatiserede hacker-værktøjer til at finde og angribe sårbarheder i et stort antal systemer samtidig. Både i private og offentlige systemer”.
Jeg kan selvfølgelig ikke udelukke, at der har været målrettede angreb mod en kommune, men det er ikke noget, der er særligt for kommunerne, som har fået alarmlamperne til at blinke hos os i NC3,” fortæller Kim Aarenstrup.
 
Governance via budgetlægningen
NC3-chefen fornemmer, at it-sikkerheden er på vej op på den kommunale dagsorden, men at der stadig er et stykke vej, før den er en integreret del af den samlede it-governance.
”En helt grundlæggende problemstilling består i at få it-sikkerheden ind i budgetterne, så det ikke alene er nye features og borgervendte initiativer, der bliver tilgodeset, når de kommunale midler skal prioriteres,” siger Kim Aarenstrup.
Han ser helst, at en fast procentdel bliver sat af til it-sikkerhed, så det ikke er til diskussion, hver gang der bliver overvejet tiltag på området.
”Det er i høj grad et spørgsmål om governance, at den øverste ledelse gennem budgetlægningen sørger for, at mandatet med at etablere den nødvendige sikkerhed bliver båret hele vejen igennem organisationen,” siger han.
 
Placér ansvaret i en komité
Den rigtige ledelsesforankring er en central del af it-governance, og her peger Kim Aarenstrup på nogle faldgruber, man bør forsøge at undgå.
”En af de mest fundamentale fejl, der er begået de seneste mange år, er, at man ofte har placeret ansvaret for it-sikkerheden under it-direktøren. Det betyder, at hvis it-manden med den operative rolle i forhold til it-sikkerheden, mener, at it-sikkerheden ikke bliver prioriteret højt nok, så er han potentielt på kollisionskurs med sin chef. Det er meget uheldigt og kan betyde, at han bliver stækket i sine muligheder for at tale åbent om sikkerhedsproblemer,” siger Kim Aarenstrup.
At placere det organisatoriske ansvar for sikkerheden hos en specifik person er, ifølge Kim Aarenstrup, et problem i sig selv.
”Det er meget uheldigt at gøre it-sikkerheden afhængig af en konkret leder, da sikkerhedsniveauet i for høj grad risikerer at afspejle det fokus, som lige præcis den person har,” siger han og uddyber:
”Jeg er normalt stor tilhænger af at placere ansvar hos en specifik person, men lige netop med it-sikkerhed vil det give god mening at have en it-sikkerhedskomité, som er bredt besat med ledere i kommunen, inklusive it-chefen, og med eksempelvis kommunaldirektøren som formand. Dermed vil sikkerhedsniveauet komme med et stærkt ledelsesmandat og således opnå bredere tilslutning i organisationen.”
 
Governance og teknik
På grund af det generelt stigende antal angreb vil det, ifølge Kim Aarenstrup, være nødvendigt at se på, om der er nogen nye strategiske håndtag, som både offentlige og private virksomheder skal til at trække i, eksempelvis på governancefronten ifølge ISO-standarderne. Men han understreger, at governance ikke gør det alene.
”Det er et samspil mellem den tekniske og den governancemæssige del, at man skaber en god it-sikkerhed. Det er afgørende, at det tekniske også er helt på plads. Her bør strategien hedde væg-til-væg-sikkerhed, så man ikke kun har sikret de kritiske systemer, men eksempelvis har elimineret sårbarheder hele vejen rundt i sit it-landskab,” siger han.
Kim Aarenstrup har ingen viden om specifikke sårbarheder i de kommunale systemer, men fortæller, at der generelt er for mange sårbarheder i operativsystemer og applikationer hos både offentlige og private organisationer, som gør det for nemt at trænge ind. Han anbefaler desuden at implementere ”digitale snubletråde”, som eksempelvis kan bestå i ikke blot at logge efter standardmetoden, for den kender hackerne også, men at logge langt mere omfattende i et alternativt logningssystem, så det opfanges, hvis nogen eller noget forsøger at ændre sikkerhedsindstillingerne eller forsøger at slå standard logningssystemet fra for ikke at efterlade spor.
 
Flere detaljer i kontrakterne
Når de kommunale løsninger i stigende grad udgøres af en lang række services udviklet af et større antal leverandører kan der ifølge nogle sikkerhedseksperter opstå flere angrebsflader end i traditionelle monolitiske systemer fra forholdsvis få leverandører. Kim Aarenstrup kan genkende bekymringen i forhold til sådan en systemarkitektur og understreger vigtigheden af, at sikkerhedsniveauet bliver formuleret helt eksplicit i kontrakterne, inklusive muligheden for at foretage sikkerhedskontroller.
”De personer, der udfærdiger kontrakterne, forstår sig typisk bedre på kontraktjura end på it-sikkerhed. Det er derfor vigtigt, at folk med dyb viden inden for it-sikkerhed er med inde over, så man kan få flere detaljer med, end det ofte er tilfældet i dag,” siger han.
 
En helt grundlæggende problemstilling består i at få it-sikkerheden ind i
budgetterne, så det ikke alene er nye features og borgervendte initiativer, der bliver tilgodeset, når de kommunale midler skal prioriteres.