6 av 10 kommuner ikke godt nok rustet mot dataangrep
Et økende antall digitale angrep på offentlige virksomheter i Norge de siste årene har ført til et tydeligere trusselbilde enn tidligere. Noe som er blitt forsterket av krigen i Ukraina og en forandret geopolitisk situasjon.
Flere dataangrep
I 2021 ble både kommunene Østre Toten, Skien og Drammen utsatt for cyberangrep.
I mai i år ble det oppdaget et datainnbrudd hos Norkart, et norsk teknologiselskap innen kommunalteknikk, kart- og eiendomsinformasjon til både privat og offentlig sektor. Norkart eies av investeringsselskapet Ferd AS som igjen eies av Andresen-familien.
Uvedkommende hadde utnyttet en sårbarhet i søketjenesten som henter kopidata fra Norges offisielle eiendomsregister. Det har oversikt over hvem som eier hva i Norge.
Persondata på avveie
Personopplysninger om opp mot 3,3 millioner huseiere havnet på avveie, ifølge den ferske offentlige utredningen «Ditt personvern – vårt felles ansvar». I etterkant av datainnbruddet advarte flere eksperter om at opplysningene kan misbrukes av svindlere for å manipulere potensielle ofre, eller til identitetstyveri, heter det i rapporten.
Eksemplene viser en økende trend de siste årene hvor både kommuner, statlige virksomheter og private selskaper angripes av profesjonelle hackere som er ut etter verdifulle personopplysninger.
Ikke kompetente nok
Da er det enda mer foruroligende at verken norske kommuner eller statlige virksomheter føler at de sitter på tilstrekkelig kompetanse innen informasjonssikkerhet i 2022. Altså at de ikke er i stand til å stå imot eventuelle cyberangrep.
Kun 38 prosent av norske kommuner mener at de har kompetansen som trengs innen informasjonssikkerhet for å avverge eller takle ondsinnede angrep. 62 prosent mener det motsatte, nemlig at de ikke har det.
Det går fram av undersøkelsen «IT i praksis 2022 – Status for digitalisering i offentlig sektor». Bak den står Rambøll Marketing Consulting AS, med Digitaliseringsdirektoratet, NTNU og IKT-Norge som oppdragsgivere (se faktaboks).
Heller ikke tallene for statlige virksomheter er noe å skryte av. 54 prosent svarte at de hadde god nok digital kompetanse «inhouse». 46 prosent, nesten halvparten, mener det motsatte.
Både tallene fra kommunene og statlige virksomheter betyr en liten forbedring, sammenlignet med resultat fra undersøkelsen i 2021.
Dårlig på risikostyring også
Heller ikke når det kommer til prosessen for risikostyring i virksomheten, er tallene særlig oppløftende. Her mener 43 prosent av kommunene at de ansatte vet hvilke beslutninger som skal tas, og hvilket risikonivå som er risikabelt. I fjor var andelen nede på 32 prosent.
Bedringen kan muligens forklares som en reaksjon på flere dataangrep på kommuner i 2021 hvor dette sørget for større fokus på sikkerhetsproblemer internt hos kommunene. «Like fullt er dette områder der virksomhetene opplever mest utfordringer. Og kommunene opplever det i størst grad», skriver Rambøll Marketing Consulting i sin rapport.
For Staten er tallene uforandret. Både i 2021 og 2022 mente halvparten av de statlige foretakene at deres ansatte ikke vet hvilke beslutninger som må tas når «cyber-uhellet» er ute. Og heller ikke hvilket risikonivå som er akseptabelt før det må tas høyst nødvendige sikkerhetsgrep.
Cybersikkerhetspakt
– Selv om tallene tyder på en liten forbedring, så er dette fortsatt foruroligende tall, sier Geir Olsen, direktør for næringspolitikk og kommunikasjon i IKT-Norge, til Dagens Perspektiv.
Det finnes ikke tilstrekkelig med IKT-kompetanse, verken i kommunesektoren eller i staten. Det er åpenbart at særlig små kommuner sliter. Dessuten fremstår ansvaret for sikkerheten som veldig pulverisert, mener han.
– Hvis du stiller spørsmålet om hvem som har det politiske ansvaret for datasikkerhet, så tipper jeg at du får fem ulike svar, poengterer Olsen.
Han forteller at IKT-Norge lenge har ivret for å samle all datasikkerhet på ett sted og at organisasjonen ønsker et samarbeid om datasikkerhet mellom regjeringen og næringslivet – slik som danskene har gjort i år med sin «Cybersikkerhetspakt».
21. oktober skal IKT-Norge møte næringsminister Christian Vestre (Ap) for å diskutere nødvendigheten av et slikt grep, og hvordan dette lar seg gjøre.
Kompetanse Norge
Geir Olsen mener at det finnes en generell kompetansemangel innen IKT, at den har vært kjent en stund, og at situasjonen er blitt akutt fordi den har kunnet eskalere over tid ettersom det ikke ble tatt gode nok grep.
Direktøren er særlig opptatt av mangelen på kompetanse, som blant annet vises i hele 3000 ubesatte IKT-stillinger i næringslivet – og altfor få studieplasser for å dekke inn det skrikende behovet på sikt.
Olsen mener at Kompetanse Norge, som ble opprettet for å samle statlig kompetanse om voksnes læring, kunne ha hjulpet et stykke på vei. Arbeidsområdene er blant annet utvikling av nasjonale systemer for dokumentering av realkompetanse, tilrettelegging av metoder som er tilpasset voksnes behov og etterutdanning etter arbeidslivets behov.
Kompetanse Norge, tidligere Vox, skulle lage en digital plattform for etter- og videreutdanning, for eksempel innen IKT, hvor bedrifter kunne legge inn sine tilbud, og melde om behovene sine. Men den er fortsatt ikke på plass, sier Geir Olsen.
Helt svart er det imidlertid ikke innen datasikkerhet, mener IKT-Norge-direktøren og peker på finanssektoren.
– De har kommet langt innen digital sikkerhet og utvikler stadig nye løsninger. Det ville vært verdt å se nærmere på hva de har fått til, og om det er noe å lære av dem.