En undersøkelse gjennomført av Telia oppgir at 28 prosent av kommunene har vært utsatt for cyberangrep, og mange i kommunene er usikre og bekymret for kommunenes datasikkerhet.
Bekymringene deres er ikke ubegrunnet. Østre Toten fikk mye medieoppmerksomhet i ukene etter cyberangrepet for tre år siden hvor person- og helsedata kom på avveie, noe som blant annet medførte blant annet at helsetjenestene i kommunen ble redusert. NSM rapporterer i sin årlige trusselrapport om mer sofistikerte cyberangrep og en økt trusselaktivitet i helsesektoren.
Når et cyberangrep får medieoppmerksomhet, setter man som oftest fokus på hva som gikk galt, konsekvensene av det og mulige cybertiltak. Likevel er håndteringsfasen et like viktig steg, men blir ikke like mye diskutert. For hva kan kommunene gjøre når et angrep først har oppstått?
Stor rapport: Farligere cybertrusler gir kraftig økning i stressnivå
Det digitale brannvesenet
I Norge har vi flere responsmiljøer som er ansvarlige for å håndtere sikkerhetshendelser i sin sektor. Disse såkalte sektorspesifikke responsmiljøene (SRM) er underlagt NSMs nasjonale cybersenter (NCSC). Hensikten er at selskaper i samme sektor skal kunne henvende seg til folk som forstår og kjenner bransjen deres, for så å kommunisere tverrsektorielt og til det nasjonale responsmiljøet hos NCSC.
SRM-ene i Norge er organisert som Computer Security Incident Response Teams (CSIRT). Opprinnelig brukte Carnegie Mellon University (CMU) begrepet CERT, men CERT og CSIRT blir brukt om hverandre i dag.
Siden 2011 er det HelseCERT som har støttet kommunene og andre deler av helsesektoren med hendelseshåndtering, men i desember i fjor fikk Norsk Helsenett i oppdrag fra regjeringen å opprette KommuneCERT som en ny SRM, til tross for at kommunene Gjøvik og Lillehammer etablerte KommuneCSIRT i 2020.
Det er dessverre slik at få hendelser blir rapporter til disse CSIRT-ene. Ifølge Mørketallsundersøkelsen fra 2022 var det kun 2 prosent av virksomhetene som innrapporterte hendelsen til en sektorspesifikk CSIRT.
Størrelsen på virksomhetene har stor betydning for om de er mer villige til å rapportere, hvor 14 prosent av virksomheter med over 100 ansatte rapporterte hendelsen, mens med under 100 ansatte blir tallet mye lavere (20-99, 3 prosent og 1-19, 1 prosent).
Mindre virksomheter benytter seg altså ikke like mye av CSIRT-er, selv om man har sett en økning av cyberangrep i den siste tiden, også mot de små aktørene. I undersøkelsen til Telia kommer det frem at det er en signifikant forskjell mellom ulike regioner i Norge, noe som kan tyde på at mindre kommuner stiller seg enda mer sårbare om de ikke benytter seg av tjenestene til sin CSIRT.
Rammeverket for håndtering av IKT-hendelser sørger for håndtering av sikkerhetshendelser på nasjonalt og sektorielt nivå. SRM-ene, eksempelvis HelseCERT og nyetablerte KommuneCERT, er «digitale brannvesen» som er ansvarlige for å kommunisere med virksomheter i sin sektor, andre CSIRT-er og NCSC.
CSIRT-medlemmer er virksomheter som eksempelvis kommuner og sykehus. De kan ringe «110» for å tilkalle og varsle CSIRT om en sikkerhetshendelse har skjedd, eller det er mistanke om det. Selv om CSIRT-en ikke nødvendigvis rykker ut fysisk til lokalet der sikkerhetshendelsen har skjedd, bistår de over telefon eller på e-post. Det er også viktig å forhindre at kriser oppstår i utgangspunktet, og derfor er det viktig å ha fokus på bevissthetstrening og å bidra til å forbedre sikkerhetsstandarder.
Milliontap bør være et varsel til alle som jobber med IT og OT
Hva skal til for å varsle mer?
Mørketallsundersøkelsen viser ikke tall for de ulike sektorene i Norge, men det er nærliggende å tro at helse- og kommunesektoren dessverre ikke skiller seg positivt ut. CSIRT-ene i Norge tilbyr medlemskap for virksomhetene i sektoren sin, og noen stiller krav for rapportering av hendelser. Hvorfor er det da så mange hendelser som ikke blir rapportert?
Ikke alle kommuner er medlem av sektorens CSIRT. Det kan være flere grunner til dette, men konsekvensen av det er at man ikke er like oppdatert på det digitale situasjonsbilde i sektoren sin som de som er medlemmer, og at man ikke har et digitalt brannvesen som kan hjelpe til å slukke «brann» eller forhindre at den oppstår.
Med så mange som er bekymret i kommunene, er det gode grunner til å se litt nærmere på nåværende og kommende praksis hos HelseCERT og KommuneCERT. Hvordan er kommunikasjonen med kommunene, både før, under og etter krisehåndtering? Hvordan mindre kommuner (og de uten medlemskap) blir hørt, er noe av det som skal undersøkes nærmere denne våren, som en del av en masteroppgave på NTNU.
Basert på funn fra litteratur vet vi at det er et ønske om forbedret kommunikasjon mellom fagmiljøene i CSIRT og aktørene deres, siden villighet til informasjonsdeling er noe av det viktigste i arbeidet for å forhindre og håndtere cyberangrep. Foreløpig har det blitt kartlagt uavklarte kommunikasjonskanaler mellom medlemmene og CERT-ene (se bildet over), men disse kommunikasjonskanalene fungerer best når aktørene har tillit til hverandre. Dermed blir det ekstra viktig å skape tillit blant kommunene med den nyetablerte KommuneCERT, slik at informasjonsdeling og varsling blir standard prosedyre.
Vi trenger et godt brannvern mot digitale ildspåsettelser og å slukke de digitale brannene som oppstår!
At norske virksomheter ikke er forberedt, er en bekymring