Ekspert om kommuners cybersikkerhed: Der er håb, hvis vi kommer i gang

Et cyberforsvar uden kommunerne. Mangel på ansatte og ressourcer. Et NIS2-direktiv, som kommunerne heller ikke er omfattet af. Det hele kan se lidt sort ud for it-afdelingerne og særligt for cybersikkerheden i kommunerne.

Men vi skal ikke gå rundt og være bekymrede hele tiden — det vigtigste er bare, at vi kommer i gang, mener Jens Myrup Pedersen, der er professor i cybersikkerhed på Aalborg Universitet.

- Vi har en udfordring i forhold til at få løftet cybersikkerheden i kommunerne. Det, som jeg særligt kan være bekymret for, er, at vi ikke kommer i gang. Der sker simpelthen for lidt, og det går for langsomt, siger han.

Danmark er et meget digitaliseret samfund, og det samme er kommunerne. Vi er meget afhængige af, at vores it-systemer fungerer, for at vores samfund kan fungere. Til gengæld betyder det også, at fordi vi har så mange forskellige it-systemer, gør det angrebsfladen større for eventuelle angreb.

Det øger sandsynligheden for cyberangreb og konsekvenserne, hvis et angreb lykkes, mener Jens Myrup Pedersen.

KL har i over et år kæmpet for, at kommunerne bliver en del af det danske cyberforsvar, for ellers bliver kommunerne en bagdør for hackere til det offentlige Danmark. Jens Myrup Pedersen mener også, at det ville kunne resultere i svage led i vores offentlige it-sikkerhed.

- Kommunerne sidder på mange opgaver, som er vigtige for at få hverdagen til at fungere i Danmark, og det kan man godt overse. Hvad har ældrepleje og børnehaver med it-sikkerhed at gøre? Her glemmer man bare, at der er en masse systemer inde bagved, der får dagene til at hænge sammen, siger han.

Mangel på kompetencer

Manglende kompetencer har længe været et fokuspunkt i det offentlige. Også i kommunerne er det svært at tiltrække de rette kompetencer — bl.a. til cybersikkerhed.

Hvorfor vi mangler kompetencer til cybersikkerhed, er ikke nemt at svare på, men Jens Myrup Pedersen kommer med et par bud.

- Mange, der arbejder med it, er enten ikke uddannet i it-sikkerhed, eller de er uddannet engang, hvor trusselsbilledet var et andet. Derudover har vi været for langsomme til at uddanne specialister inden for cybersikkerhed, og der er også en generel tendens til, at det er svært at tiltrække unge til især de mere tekniske dele af it-fagene, siger han.

Et højt lønniveau kan være svært at matche for kommunerne, og geografien kan også spille en rolle, især hvis der er tale om en lille ø-kommune. Det gør det svært at få de rette folk med de rette kompetencer.

Problemet er også, at man ikke har et reelt overblik over, hvordan det egentlig står til med it-sikkerheden. Det bliver i høj grad baseret på, hvad enkelte it-chefer fortæller om deres egen situation rundt om i kommunerne.

Der er håb, men vi skal i gang

For at opnå et mere tilfredsstillende niveau af cybersikkerhed mener Jens Myrup Pedersen, at man bør centralisere nogle af systemerne og funktionerne, så man kan få et ensartet cybersikkerhedsniveau på tværs af kommunerne.

- Vi skal yde hjælp til kommunerne, men man bør også begynde at stille krav, fordi det er der, man virkelig flytter på tingene. Her ville det være oplagt at lade kommunerne være omfattet af NIS2. Der ville måske være dele, som ikke er samfundskritiske, og dem kunne man så undtage, siger han.

Hvis kommunerne bliver omfattet af NIS2, vil det betyde flere krav til kommunernes cybersikkerhed, og også KL kæmper for, at kommunerne omfattes af direktivet. EU vedtog direktivet i slutningen af 2022, og med forskellige krav til cybersikkerhed skal direktivet sikre et højt fælles cybersikkerhedsniveau i medlemslandene.

Selvom det hele måske kan se sort ud, er professorens konklusion, at det stadig er muligt at rette op på det.

- Det er jo ikke raketvidenskab, og langt hen ad vejen ved vi godt, hvad vi skal gøre. Derfor er min konklusion, at der er håb forude, hvis vi begynder at agere på det.