LEIF MARTIN KIRKNES

leif.martin.kirknes@fagbladet.no

– Et digitalt angrep mot kommuner eller bedrifter kan få meget store og kostbare konsekvenser, sier justis- og beredskapsminister Emilie Enger Mehl.

På en pressekonferanse om norsk håndtering av situasjonen i Ukraina mot slutten av forrige uke var hun bekymret for det digitale forsvaret av Norge, og viste til blant annet dataangrep vi har sett mot Helse Sør-Øst og Østre Toten kommune.

– Store mengder sensitive data kan komme på avveie. Drift av kommunen, sykehus, vannforsyning eller andre samfunnskritiske funksjoner kan bli satt ut av spill, sier Mehl.

Regjeringen vil derfor bevilge flere penger til å få på plass mer strukturelle ordninger for å bedre nasjonens IT-sikkerhet. Regjeringen ønsker blanta annet å tvinge kommuner til å bli med på et samarbeid som staten skal betale 50 millioner kroner av.

{u1}

Kommune-CERT

Konkret nevnte Mehl ordet «kommune-CERT» i et intervju med Fagbladet etter pressekonferansen.

CERT er et kjent begrep innen IT-sikkerhet, og står for Computer Emergency Response Team. Det er en type instans som jobber med å forebygge og håndtere sikkerhetshendelser for visse sektorer eller områder. Norsk senter for informasjonssikring (Norsis) har tidligere beskrevet det som et slags digitalt brannvesen.

Blant annet har helsesektoren, kraftsektoren, finansnæringen, Telenor og Norge som sådan (NorCERT) sine egne CERTer. Og nå skal også altså kommunene pålegges å delta i en kommuneCERT-ordning, som kan hjelpe dem om krisen oppstår. Kommune-CERT er ifølge Mehl på planstadiet foreløpig, for at det skal bli realisert må Stortinget først stemme forslaget gjennom.

Fra før har Norge et kommune-CSIRT (Computer Security Incident Team, i prinsippet det samme som en CERT), etablert i Gjøvik-regionen i 2019 som et interkommunalt selskap mellom Gjøvik og Lillehammer, sammen med daværende Oppland fylkeskommune.

Det er ikke kjent for Fagbladet hvilken rolle Kommune-CSIRT har eller kan få i Mehls CERT-planer, men det er heller ikke utenkelig at det konkret er dem hun sikter til. Det er landets eneste etablerte kommune-CERT/CSIRT, og de har i dag 50 kommuner som medlem. Les mer i undersaken.

Bekymret

– Regjeringen er bekymret for kommunenes sårbarhet knyttet til datasikkerhet. Det er mange kommuner som er sårbare. Et angrep på en eller flere kommuner vil kunne sette viktige funksjoner ut av spill og kunne skape uro og usikkerhet, sa Mehl på pressekonferansen.

Ifølge Mehl er det også et ønske om å få flere kommunale og statlige aktører inn i alarm-ordningen til Nasjonalt cybersikkerhetssenter, en ordning der det installeres digitale innbruddssensorer hos viktige aktører i samfunnet. 40 millioner kroner bevilges til dette.

– Vi er bekymret for kommunenes sårbarhet knyttet til datasikkerhet. Et angrep på en eller flere kommuner kan sette viktige funksjoner ut av spill og skape stor usikkerhet og ustabilitet i Norge.

– Men akkurat IT-sikkerhet har vært et problem i mange år, det er jo ikke akkurat noe nytt. Hvorfor har man ikke kommet til et nivå – og hvor fort kan man komme til et nivå – der det monner, for å sikre at ikke mobilkommunikasjon blir revet ned eller sykehusregistre kommer på avveie?

– Regjeringen kom jo på plass i oktober. Vi har vært opptatte fra starten av å styrke beredskapen i samfunnet og styrke datasikkerheten. Så er det veldig viktig at vi nå får dette raskt på plass i lys av vi ser trusler mot Norge i at fremmede stater utøver dataangrep mot oss, sier Mehl.

Mangler kompetanse

Hun peker på at det er en utfordring at samfunnet begynner å bli så gjennomdigitalisert at behovet for kompetanse og personell som kan drive jobbe med slikt er veldig stort, og at det er stor konkurranse om få hoder. Det er noe av bakgrunnen for at regjeringen nå mener det er viktig å få kommunene inn i et sikkerhetssamarbeid.

– Hvor bekymra er du for kommunene?

– Mange kommuner har god kontroll på dette, og så vet jeg at det er utfordrende for kommunene å prioritere penger til datasikkerhet når man kanskje har knapt med ressurser til sykepleiere, lærere og andre tjenester man skal levere. Det er derfor regjeringen nå vil stille opp og dekke kostnaden det er å delta i sikkerhetssamarbeidet i kommuneCERT, sier ministeren.

Hun fastslår at digitale angrep har blitt en sentral del av verktøyboksen til fremmede stater.

Nasjonal sikkerhetsmyndighet (NSM) er landets sikkerhetstjeneste mot digitale angrep. Mehl sier NSM rapporterer om en tredobling i antall dataangrep mot norske virksomheter som har fått alvorlige konsekvenser. NSM får 25 millioner kroner til å forebygge og håndtere angrep.

Sivil klareringsmyndighet får 5 millioner kroner for å redusere risiko for innsidere i tjeneste for utenlandsk etterretning.  

Kommunale tjenester

For litt over to år siden holdt Telenors dekningsdirektør Bjørn Amundsen foredrag for telekommontører tilknyttet EL og IT Forbundet.

Da kunne forbundets medlemsblad Nettverk skrive at Amundsen oppfordrer kommuner til å føre oversikt over sine automatiserte tjenester.

– Hvis noen skyter på et kontor, kommer politiet. Hvis noen skyter på kjerneinfrastruktur, kommer ingen, sa han.

Poenget hans var at selv om norsk telenett er i verdensklasse når det kommer til oppetid og stabilitet, kan det komme situasjoner som gir nedetid. Enten det skyldes gravemaskin, terror eller naturkrefter.

– Det er et problem hvis kommuner ikke har oversikt, og heller ikke har personale som kan rykke ut fordi alt er automatisert, sa han i bladet Nettverk i 2018.

 – Beskjeden sum til kommunal IT-sikkerhet

50 millioner kroner til kommunalt IT-sikkerhetssamarbeid er jo penger, men ikke så fryktelig mye penger, påpeker Bjørn T. Tveiten, leder av en landsomfattende kommuneorganisasjon for IT-sikkerhetssamarbeid.

 Leder for Kommune-CSIRT, Bjørn T. Tveiten, sier han ikke vet om justisministeren refererte til dem i sin pressekonferanse, men sier at han ser det som sannsynlig siden de så langt har samlet 50 kommuner fra hele landet til digitalt sikkerhetssamarbeid. Det interkommunale selskapet ble opprettet i 2019, og eies av Gjøvik og Lillehammer kommune.

 Han forteller at det har vært snakk om å utpeke dem til offisiell kommune-CERT, men at det har havnet litt i byråkratiets bakevje med alle partene som må være involvert i en slik avgjørelse. Det interkommunale selskapet er en non-profit organisasjon med nasjonale ambisjoner, og som er åpen for at også andre kan komme inn på eiersiden.

 – Jeg kan ikke se for meg at de kan ha snakket om noen andre enn oss. Jeg er spent på detaljformuleringene i forslaget, sier han til Fagbladet, men legger til at han gjerne skulle sett at departementet hadde invitert dem til møte for å diskutere saken.

 Beskjedent

Når det gjelder forslaget om 50 millioner kroner til obligatorisk kommunesamarbeid, mener han det egentlig er en nok så beskjeden sum enten en deler det på antall kommuner eller antall innbyggere i landet.

Helst skulle han sett at staten stilte opp og bidro med noe penger direkte til Kommune-CSIRT, som i dag er en 100 prosent brukerfinansiert organisasjon. Det vil si at kommunene som finner rom i budsjettene sine kan kjøpe seg medlemskap for å få hjelp med IT-sikkerheten.

– Vi har ikke noen støtte fra staten, vi er fullfinansiert av medlemmene. At vi på litt over et år har fått såpass mange flere nye kommuner inn hos oss, tyder på at det er et stort behov, sier han.

– Vi kjenner norske kommuner på pulsen og har mye å gjøre hver eneste dag. Kommunene gjør så godt de kan. Dette er kompetanse det ikke er så lett for kommunene å få tak i, samtidig som kommunene presses på at de skal bli mest mulig effektiviserte og digitaliserte, sier Tveiten.

Utpressingsangrep

Den største trusselen i dag forteller han at er såkalt løsepengevirus, utpressingsangrep. Angrepsaktørene er proffe og standhaftige. Dog jobber mange av dem i aksen mellom Russland og Ukraina, så akkurat nå kan det hende de har litt problemer med samarbeidet.

 Ellers er det mye forsøk på phishing, det vil si forsøk på å svindle til seg brukernavn og passord fra kommunale brukere.

I tillegg er Kommune-CSIRT påpasselig med å hjelpe nye medlemskommuner med å gå gjennom kritisk digital infrastruktur som for eksempel vannforsyning.

 – Heldigvis er det foreløpig få hendelser i denne delen av kommunal sektor, men Drammen fikk deler av sin vannforsyning hacket for ett år siden, og Volue, som leverer vannrelaterte skytjenester til kommunene, ble tatt av løsepengevirus i mai 2021. Derfor samarbeider vi om å gå gjennom kommunale installasjoner, sier Tveiten, som legger til at kommunesektoren tidvis har samarbeidsutfordringer internt mellom sine ulike etater og kommunes IT-avdeling når ting skal digitaliseres.

Fagbladet har kontaktet departementet for å forsøke å finne ut om pengene skal gå til Kommune-CSIRT, eller om det er en annen plan med det foreslåtte obligatoriske digitale IT-sikkerhetssamarbeidet i Kommune-Norge. Vi har foreløpig ikke fått noe svar, men vil komme tilbake om det dukker opp.