Publisert: 06.08.2024

Hovedformålet til kommunene er å levere gode kommunale tjenester. For å levere tjenester er kommunene helt avhengig av teknologi og kompetanse for å styre og forvalte teknologien, for å levere tjenester, og for å kunne ivareta kommunal funksjonsdyktighet. Innføring av ny teknologi øker mulighetene for kommunene, men hver ny teknologi øker også deres sårbarhet. Teknologisk sikkerhet, herunder personvern, er en forutsetning for trygg digitalisering, rettsikkerhet, demokratiutvikling og kommunens funksjonsevne. Feiler teknologien så feiler også kommunens evne til å levere gode kommunale tjenester.

Det vedlagte regnearket inneholder et forsøk på å lage anbefalte felles sikkerhetskrav og en metode som kan brukes for å følge opp at tjenestene som leveres er tilstrekkelig sikre og robuste. Løsningen erstatter ikke på noen måte andre verktøy og veiledninger, som ofte går i mye mer detalj, men håpet er at den kan være et nyttig hjelpemiddel.

Lenkeblokk Icon Skjema for oppfølging av felles sikkerhetskrav i kommunal sektor opp mot egen driftsorganisasjon

Husk at det kan være vanskelig å svare, siden det er enkle alternativer å velge mellom, mens virkeligheten er langt mer komplisert. Dette er delvis gjort med vilje, slik at det blir skaper diskusjon og refleksjon rundt hva situasjonen er i kommunen for sikkerhetsområdet. Svaret 'Delvis' kan ofte oversettes til "det er bra, men kan bli bedre". I praksis vil mange svar kunne havne på 'Delvis', spesielt for områder hvor det er vanskelig å ha full oversikt.

Det å svare "Vet ikke" er også akseptabelt, siden dette viser at en faktisk ikke vet, noe som igjen vil være en pådriver til å avklare hva situasjonen er.

Oppbygging av regnearket

Regnearket er inndelt i tre skjemaer:

  • Fanen "For Kommunedirektør" inneholder et lite utvalg med overordnede spørsmål som går på kommunedirektørens ansvar for kontroll og oversikt over det som skjer i kommunen. Dette kan fylles ut av kommunedirektøren alene, sammen med sikkerhetsansvarlig, og/eller med IT-direktøren.

  • Fanen "For IT/sikkerhetsansvarlig" inneholder en liste med krav og underliggende oppfølgingsspørsmål som kan besvares av kommunens sikkerhets/IT-leder. Disse kravene er koblet opp mot samme struktur brukt i "For Kommunedirektør", slik at en finner igjen de samme hovedkategoriene. Svarene på spørsmålene blir automatisk vurdert, slik at om et krav ikke er oppfylt mer enn 50% blir det markert med rødt.

  • Fanen "Restrisiko" kobler oppfølgingsspørsmålene fra "For IT/sikkerhetsansvarlig" opp mot faktiske scenarioer for angrep og trusler mot kommunen. Om det er flere oppfølgingsspørsmål hvor svaret "Nei" er valgt så blir angrepet markert med rødt. Dette betyr at det kan være fornuftig å diskutere nærmere om det er behov for å gjøre mer for å beskytte seg mot denne typen angrep.

Disse fanene kan settes i perspektiv med denne tegningen fra KS' Orden i eget hus:

image5uzkp.png

Prosessen består av fem deler:

  1. Kartlegge risiko: Identifisere hva som kan gå
  2. Vurdere risiko: Hvor galt kan det gå?
  3. Dokumentere hvilke kontrolltiltak som er iverksatt, altså hva som er gjort for å unngå at det går galt.
  4. Vurdere hvorvidt kontrolltiltakene i tilstrekkelig grad reduserer risiko til et akseptabelt nivå. Er det nok?
  5. Oppfølging ved å endre eller etablere

"Hva kan gå galt", "Hvor galt kan det gå", og "Hva er gjort for å unngå at det går galt" fremgår av fanen Restrisiko.

Om tiltakene er tilstrekkelige er prøvd illustrert ved automatisk fargelegging av tiltak og restrisiko, men her vil det være forskjeller mellom hvor høy risiko som aksepteres fra kommune til kommune.

Bruk av skjemaene i praksis

Som nevnt over er det to skjemaer, ett som går på kommunedirektørens ansvar, og ett som går på mer tekniske tiltak, mer passende for en IT/sikkerhetsansvarlig. Dette åpner for flere mulige prosesser hvor skjemaene kan brukes. Om IT/sikkerhetsansvarlig fyller ut begge skjemaene først, om kommunedirektør fyller ut sitt skjema først, eller om utfylling av skjema skjer i en workshop med representanter for kommune og IKS spiller mindre rolle. Det viktige er at sluttresultatet blir en forståelse av hvilke tiltak som er nødvendige, og helst en plan for gjennomføring.

Begge skjemaene viser en skåre på toppen av skjemaet, tanken bak dette er at det skal være mulig å bruke det samme skjemaet flere ganger, slik at en kan sammenligne og si om situasjonen har bedret seg.

Merk at noen tiltak gjentas flere ganger, siden disse tiltakene er viktige på flere områder. Et eksempel på dette er krav til dokumentasjon og oversikter over arkitektur. Et slikt tiltak er en forutsetning for godt og presist sikkerhetsarbeid:

  1. Skape oversikt, og vise hvordan deler av infrastrukturen henger sammen, inkludert hvilke komponenter som kommuniserer med hva og hvem
  2. Underbygge beredskapsplaner ved å kartlegge kritiske tjenester som kan ha mange avhengigheter
  3. Beskytte mot angrep ved å se hvilke komponenter som er eksponert mot hvem
  4. Bedre mulighet for sikkerhetsrevisjoner ved at en vet hva som faktisk finnes

Nyttige ressurser

Orden i eget hus - kommunedirektørens internkontroll
KS' Kommunedirektørens verktøykasse for personvern og informasjonssikkerhet
Nasjonalt senter for informasjonssikkerhet i kommunesektoren
Digdirs arbeid med informasjonssikkerhet
Lov om behandling av personopplysninger
NSMs grunnprinsipper for sikkerhetsstyring
Ny lov om digital sikkerhet
NIS 2 direktivet
Veileder fra Direktoratet for Sikkerhet og Beredskap (DSB)

Eksempler på dataangrep og hendelser

Angrep mot vannsystem i Drammen
Dataangrepet mot Østre Toten
Angrep på flere forsvarskommuner i 2023
Brann i kommunehuset i Gloppen