Av Marie Berntsen

Innledning

Digital sikkerhet har fått mer oppmerksomhet etter at krigen i Ukraina førte til et økt trusselnivå. Hybride trusler vil prege fremtiden, hvilket gjør at offentlig sektor må forberede seg på uforutsette hendelser (NSM, 2022; Departementene, 2019). Grunnet hyppig angrepsaktivitet ser kommuner seg nødt til å vektlegge digital sikkerhet i større grad. Østre Toten kommune opplevde blant annet et omfattende digitalt angrep (KS, 2022; NRK, 2021; Datatilsynet, 2022). Dette har skapt en årvåkenhet også ellers i sektoren.  

Formålet med oppgaven er å undersøke et digitalt sikkerhetsarbeid med tre caser i den kommunale sektoren. Oppgaven undersøker hvilken betydning medarbeidernes kompetanse har i møte med dagens risikobilde. Deretter vurderes bruken av teknologi for å nå sikkerhetsmålene. Målet for oppgaven er også å avklare hvilke tiltak lederne har arbeidet med for å bedre sikkerheten. Informantenes synspunkter om arbeidet bidrar til å belyse tiltak og endringer som dagens risikobilde har medført. Oppgaven tar i bruk et teoretisk sikkerhetsperspektiv ved navn MTO. Det teoretiske rammeverket består av litteratur om digital governance og resiliens. Denne artikkelen er en forkortet versjon av en masteroppgave om digital sikkerhet i offentlig sektor. Med utgangspunkt i oppgavens tema og formål er følgende problemstilling formulert: 

Hvilke endringer og tiltak har dagens risikobilde utløst i kommunal sektor? 

For å bidra til å svare på problemstillingen vil det utformes tre forskningsspørsmål som tar utgangspunkt i MTO-perspektivet: 

  1. Hvordan kan menneskelig kompetanse møte dagens risikobilde?
  2. Hvordan benyttes teknologi for å nå sikkerhetsmålene? 
  3. Hvilke tiltak gjør lederne i organisasjonen for å forbedre sikkerhetsarbeidet? 
  4. Teori og begrepsavklaring

MTO-Perspektivet 

MTO-perpsektivet forteller at uønskede hendelser best kan studeres med et helhetlig utgangspunkt, det vil si at det sjeldent er kun én enkelt årsak som har forårsaket en situasjon Elementene som inngår i en virksomhet, er relatert til hverandre og danner en helhet som skiller seg ut fra en organisasjon til en annen. Dette legger føringer for at de ulike systemene i en virksomhet påvirker hverandre og er avhengig av hverandre (Kongsvik, 2013). Det har lenge vært akseptert at suksessen til organisasjonsaktiviteter bestemmes av hvor godt organisasjonen, menneskene og teknologien støtter hverandre, selv om denne ideen har fått ingen eller liten oppmerksomhet i det siste tiåret (Xu & Lu, 2022).  

Menneskelige feilhandlinger omtales ofte i litteraturen. Tidligere forskning var opptatt av hvordan mennesker gjør feil, men har med tiden skiftet fokus til hvorfor mennesker gjør feil. Kompetanse og kunnskap er viktige elementer for å utnytte menneskelige ressurser (Kongsvik et al., 2018a). Teknologien er svært viktig for sikkerheten da den må være pålitelig og driftssikker. Den teknologiske kapasiteten må være tilstrekkelig, samt at det eksisterer redundans som ved bruken av reservesystemer (Schiefloe, 2017). Bakenforliggende forhold faller ofte inn under O-faktoren: de organisatoriske forholdene. Det kan eksistere flere utfordringer i en virksomhet som manglende opplæring, uklare rutiner, utgåtte systemer, fraværende ledelse, manglende risikovurderinger, fraværende kommunikasjon eller svak sikkerhetskultur. En må se de organisatoriske faktorene i forhold til hverandre og vurdere hvordan de utgjør en felles organisatorisk kontekst (Schiefloe, 2017).  

Digital Governance og digital transformasjon 

Digitalisering og teknologiske innovasjoner har blitt en integrert del av hvordan offentlige organisasjoner styres i dag. Digital governance gir dermed rom for å tenke annerledes og implementere nyttige løsninger (Mergel, Edelmann & Haug, 2019; Lips, 2020). Vellykket transformasjon av offentlige tjenester finner sted i organisasjoner med klare retningslinjer støttet av effektive ledere, høyt utdannede ansatte og aktive velinformerte borgere (Milakovich, 2022). Innenfor et digital governance er teknologi og arbeid godt inngrodd i hverandre. Denne sammenfiltringen av teknologisk fremgang og utviklingen av arbeidsprosesser er kjernen i vellykket digital transformasjon (Grøtan et al, 2022). Digital transformasjon kan dermed forstås som en prosess som tar sikte på å utnytte digitale data og nye teknologier, for å blant annet muliggjøre endringer og effektivitet i en organisasjon (Osmundsen, Iden & Bygstad, 2018).  

Wilson og Mergel (2022) forklarer at forskning om digital governance viser til en variasjon av barrierer. Strukturelle barrierer er spesielt fremtredende og inkluderer teknologiske barrierer som kompleks infrastruktur, mangel på interoperabilitet og datatilgang. I tillegg finnes organisatoriske barrierer som mangel på strategi, menneskelige ressurser, digitale ferdigheter og kapasiteter til ledere. Silo-organisatoriske ordninger er også problematisk i en slik sammenheng (Almklov et al., 2018). Wilson og Mergel (2022) fant at kapasitet og ressurser er mest utfordrende. I tillegg strever offentlig sektor med å ansette folk med tilstrekkelig kompetanse, grunnet konkurranse med privat sektor. Kulturelle barrierer som fornektelse av risiko, manglende sikkerhetsbevissthet, byråkratisk kultur og frykt for forandringer preger offentlig sektor. 

Resiliens 

Resiliens er den kapasiteten et system eller en organisasjon har til å motstå og tilpasse seg forventede og uforventede forstyrrelser, og til å gjenopprette funksjonaliteten etter alvorlige påkjenninger (Hollnagel, 2022). Hovedpoenget er at en trenger balanse mellom regler (etterlevelse) og resiliens (tilpasningsevne) for å ivareta sikkerheten. Regler setter rammer for hva som er akseptabelt innen en organisasjon, men det er likevel viktig at reglene gir rom for tilpasning (Kongsvik, et al., 2018).  

Et nyere begrep er cyber-resiliens som i enkel forstand forstås som å forbedre digital sikkerhet. Cyber-resiliens har et fokus på sosio-teknisk praksis, styringsstrukturer og kulturelle betydninger av risikofellesskap, som sees i sammenheng med digital transformasjon (Grøtan et al., 2022). For å skape en kultur preget av resiliens må ledelsen sammen med de ansatte etablere et miljø preget av åpenhet og tillit, hvilket er essensielt for å bekjempe digitale trusler. Andre faktorer for å skape resiliens er å sørge for at digitale strategier samsvarer med virksomhetens andre strategier og at resiliens vurderes som en viktig kompetansefaktor innad i organisasjonen. Cyber-resiliens skal ikke behandles som et IT-prosjekt, da slike prosjekter kan forvitre når nye initiativer finner sted (Loonam et al., 2022). 

Metodisk innblikk

Masteroppgaven bygger på en komparativ studie, hvor semi-strukturerte intervjuer og en dokumentanalyse er benyttet. Dette fungerer som primær- og sekundærdata for oppgaven. Totalt ble ti informanter intervjuet. Masteroppgaven faller innenfor kategorien komparativ case-studie da de tre analyseenhetene (Tabell 1) sammenlignes opp mot hverandre. Valget om å inkludere en stor kommune, en mindre kommune og et kommunesamarbeid viser til kontraster i utvalget. Det gjør det mulig å se om variasjonene avhenger av kommunestørrelse eller andre faktorer.  

imageibt4q.png

Tabell 1: Masteroppgavens caser med innbyggertall 

For å sikre forskningens reliabilitet og validitet ble det valgt å samle mer informasjon ved bruk av triangulering, gjennom ulike datakilder og metoder. Case-studier er en svært intensiv form for forskning som kan ta lang tid (Johannesson & Perjons, 2014; Thiel, 2022). Det ble dermed vurdert å utelukke andre kommuner i Norge og heller inkludere to informanter fra KS for å få et overordnet perspektiv på kommunal sektor. Under viser tabell 2 oversikt over oppgavens informanter. 

imagebry9k.png

Tabell 2: Oversikt over informanter 

Empiriske resultater og diskusjon

Innholdet fordeles på bakgrunn av de tre kategoriene som utgjør MTO-perspektivet, og inkluderer utdrag fra intervjuer. Relevante dokumenter fra Digdir (2020), Riksrevisjonen (2023), DigiTrøndelag (Buan, 2021) og Sopra Steria (2021) komplementerer funnene fra intervjuene.  

Mennesker 

I noen tilfeller blir den menneskelige faktoren et forstyrrende element i arbeid med å bevare sikkerheten. Undersøkelsen av DigiTrøndelag vurderer svak opplæring i kommunene som bekymringsfullt ettersom kriminelle ofte handler igjennom mennesker (Buan, 2021). Det blir stadig viktigere med bedre kompetanse for å etterleve et funksjonsbasert regelverk, vurdere risikoer og finne frem til nyttige sikkerhetsløsninger (Riksrevisjonen, 2023). Informantene etterlyser et større fokus på å lære, noe som anses som viktig for å utvikle resiliens. Erfaringer fra tidligere hendelser blir i liten grad benyttet til læring i ettertid.  

Vi har hatt noen hendelser opp igjennom årene som virkelig, ikke bare skulle vært til læring for oss selv, men også andre kommuner, men i liten grad har vi greid å få til det. (Informant 2) 

Likevel virker det som at kommunene er gode på å bevare en trygg kultur, slik at de ansatte våger å innrømme avvik. Når menneskene i organisasjonen ikke har tilstrekkelig kompetanse om digital sikkerhet, resulterer det ofte i at de som jobber med det tekniske må ta et større ansvar. Et fellestrekk blant kommunene er at et kompetent IT-miljø sørger for at sikkerheten overholdes til et akseptabelt nivå. Dette utelukker likevel ikke frustrasjon over manglende kunnskaper, spesielt blant toppledelsen. Digdir (2020) fremhever at manglende forståelse og kompetanse hos ledere utgjør et av de største hindrene for arbeidet med digital sikkerhetskompetanse. 

Litt sånn historisk har de hatt litt for lite fokus på det og tenker at kanskje det der er noe de bare fikser på IT. Ja, så jeg vet ikke, det går vel egentlig litt på kompetanse [...] de tenker ikke på det nok kanskje, at det er et ansvar de har. (Informant 5) 

Rapporten fra Riksrevisjonen (2023) ser at en felles forståelse er viktig, blant annet er arbeidet med sikkerhetsloven en kontinuerlig prosess som rommer flere samfunnsområder. Varierende begrepsbruk kan gjøre det krevende for folk å forstå hva de ulike anbefalingene innebærer. Et annet element som særlig trekkes opp er rekruttering av ny kompetanse. Informant 3 mener det er svak kompetanse i markedet. Det skal likevel bemerkes at antall uteksaminerte kandidater innenfor digital sikkerhet økte med 114% i perioden 2014-2021 (Riksrevisjonen, 2023). Fosen IKT og Midtre Gauldal kommune, som er mindre i størrelse enn Trondheim kommune, har færre forutsetninger for å rekruttere nye medarbeidere. Fosen IKT mener det også kan være utfordrende å få folk til å engasjere seg i sikkerhet. 

Det er like så viktig å trekke frem at de tre organisasjonene også anser mennesker som en ressurs. Flere nye tiltak faller innenfor kategorien mennesker og går ut på å styrke kunnskapen om digitale trusler og sikkerhetsatferd. Testene handler til dels om å motstå fristelsen til å trykke på en lenke. 

Før var det å trykke på en lenke det artigste som fantes fordi det kunne oppstå noe spennende, men man tenker jo annerledes nå, nå har man sett konsekvensene. [...] Jeg var litt deprimert når vi gjorde den testen da [...] Jeg håpet at det skulle være null som skulle trykke på den linken, men det var det ikke. (Informant 7)   

Kompetansekampanjer er positivt, men det kan virke som at disse ikke alene kan sørge for økt kollektiv kompetanse. Det er trolig at et endret trusselnivå vil kreve mer fra kommunene. Samtalene med informantene tydeliggjør et endret mediebildet som hovedårsak bak en økt bevissthet. I tillegg kan erfaringer fra andre kommuner også påvirke dette. Digdir (2020) mener at spesielt små og mellomstore kommuner trenger hjelp med kompetansehevende aktiviteter. Det kan virke som at dette også gjelder for Trondheim kommune, da det kun gjennomføres sporadiske kompetanseløft. Vesentlige endringer foregår, men alle organisasjonene har riktignok en lang vei å gå. Lederne strever med å få med seg hele organisasjonen i digitale transformasjonsprosesser. 

Teknologi 

Funn fra intervjuene indikerer at T-faktoren er det mest overkommelige området i det digitale sikkerhetsarbeidet. En av utfordringene som blir fremhevet med teknologien er balanse mellom gamle og nye systemer. Resultatene indikerer at dette hovedsakelig er en problemstilling blant de mindre kommunene.  

Jeg kaller det gammel morro. Vi har veldig mange systemer som har vært i drift i en del år også driver vi til enhver tid og prøver å fornye oss [...] Sånn digital transformasjon som er på gang i det siste. [...] det er ikke bestandig at alle data blir flyttet over i det nye systemet, for det kan være omfattende å gjøre og det tar tid, koster mye penger. Så vi ender opp med en infrastruktur som er ganske sånn kompleks da fordi at vi innfaser ganske mange nye systemer, selv om vi holder det gamle i live en stund. (Informant 5) 

Kommunene møter utfordringer med komplekse systemer, hvor mange avhengigheter påvirker hverandre. Dette opptrer som en barriere i et digital governance. I 2021 ble det vurdert at Trondheim kommune har gode muligheter «til å håndtere uønskede hendelser innenfor faktoren teknologi» (Sopra Steria, 2021, s. 42). Likevel kan utfordringer med digital transformasjon også forekomme i en stor kommune. Det kan være krevende å overholde regler og kontroll når mer data deles. Alle informantene forteller at teknologien følges opp og utvikles jevnlig. For å sikre konfidensialitet, integritet og tilgjengelighet har Trondheim kommune arbeidet med klarering av individer, tilgangsstyring og autorisasjonsnivå. Fosen IKT har nylig tatt en gjennomgang av alle fagsystemene, og Midtre Gauldal kommune har innlemmet en ny overvåkningstjeneste. Kommunene benytter NSM grunnprinsipper for IKT-sikkerhet, men internasjonale standarder som ISO27001 anses som dyrt og komplisert. Det har også oppstått et økt fokus på tofaktorautentisering etter hendelsen i Østre Toten. De tre organisasjonene har enn så lenge klart å benytte teknologien til å bekjempe alvorlige angrep, men arbeidet utfordres av økende digital transformasjon og manglende administrering. Funnene indikerer at det er nødvendig med et samspill mellom mennesker, teknologi og organisering. 

Helseplattformen er vel egentlig beste eksempelet på at folk tror det motsatte, sant, at det er 20% organisasjon og 80% teknologi. [...] De tror jo at det bare er noen som har fått en ny datamaskin også ordner alt seg. Helseplattformen krever jo at de som skal bruke den jobber annerledes og det er det ikke alle som har fått med seg heller. (Informant 6) 

Organisering 

Roller og sikkerhetsstyring 

Resultatene indikerer at kommunene sliter med å tilpasse seg et helhetlig arbeid som sørger for god sikkerhetsstyring og internkontroll. Sopra Steria (2021) oppfatter Trondheim kommunes rollebaserte tilnærming til informasjonssikkerhet som delvis fragmentert og utfordrende. En av de største utfordringene med rollefordeling blir utpekt av informant 3:  

Så er det jo generelt sett for lite ressurser rundt omkring i organisasjonen til å ivareta på en måte det store ansvaret som påligger hvert virksomhetsområde da. Så per i dag er det nok best organisert ifølge teknisk sikkerhet. (Informant 3) 

Midtre Gauldal kommune har organisert arbeidet med utgangspunkt i forankring av roller og årlige ledelsesgjennomganger, noe som har gjort kommunen mer sikker på evnen til å oppnå en funksjonell vurdering av risiko. Gjennom å utpeke sentrale roller, ansvar og krav kan organisasjoner oppnå mest mulig effektiv bruk av ressurser (Riksrevisjonen, 2023). Selv om kommunen har fordelt sikkerhetsansvaret, presiserer informant 7 at mye av det praktiske arbeidet fortsatt blir gjort av IT-teknikerne. Det tyder på at arbeidet med digital sikkerhet enda ikke er fullstendig og helhetlig forankret i organisasjonen. Fosen IKT har også fordelt ansvar ut til enkelte roller. Dersom noe i de fire kommunene oppfattes som kritisk, får alle de ansatte i Fosen IKT varsel. Samarbeidet er nyttig for å avdekke mulige angrep hos kommunene. Informantene hevder likevel at organiseringen ut i de fire kommunene mangler god forankring. Det er ikke alle kommunene som har utfylte roller på informasjonssikkerhet, personvern og beredskap, noe som går utover effektiv kommunikasjon på tvers av samarbeidet. 

Det er jo litt problemet i mindre kommuner at de ikke har ressursene på alle disse rollene, og om noen får den rollen som er kanskje 100% jobber på arkivet eller andre ting, så da blir det jo arkivet som personen egentlig jobber med. (Informant 4) 

Beredskapsøvelser og samarbeid 

Tidligere undersøkelser har observert beredskapsøvelser som nedprioritert (Buan, 2021; Riksrevisjonen, 2023). Det er ingen av organisasjonene i utvalget som har beredskapsøvelser spesifikt for digital sikkerhet, i så fall gjelder dette kun for IT-avdelingen og ikke på tvers av de ulike enhetene. 

Vi fikk for litt siden et politisk spørsmål om det gjøres i andre deler av kommunen også [...] men da fikk vi svart at det kjøres ikke noe separat innenfor hvert virksomhetsområde for det der, men de anser det for å være en del av sin ordinære beredskapsplanlegging og beredskapstesting. Så er vel sannsynligvis det å pynte litt på sannheten da. (Informant 3) 

Fosen IKT og Ørland kommune planlegger riktignok en omfattende øvelse. Erfaringer fra en slik øvelse kan være verdifullt for samarbeidet som helhet. Resultatene viser at informantene ser verdien av øvelser. Det kreves likevel flere ressurser for å iverksette øvelser for digital sikkerhet. Øvelser kan gi ledere trening i å vurdere mulige samfunnskonsekvenser av digitale angrep, og søke etter realistiske mål om håndtering av situasjonen. Dette fremmer en cyber-resilient tilnærming, hvor risikostyring er sentralt (Grøtan et al., 2022; Loonam et al., 2022). Et nettverk som DigiTrøndelag kan bidra til å fremme samarbeid mellom kommuner. De kan trolig ta en mer aktiv roller i gjennomførelse av ulike prosjektrelaterte situasjoner.   

KS er opptatt av at kommunene skal benytte ulike samarbeidstilbud. Statlige aktører som NSM bidrar med å analysere trusselbildet for kommunene. I tillegg er eksterne samarbeid med private aktører også forekommende. Rapporten fra Riksrevisjonen (2023) viser at samarbeid mellom flere aktører, for eksempel mellom privat og offentlig sektor, øker kompleksiteten i verdikjeder og i digitale systemer. Det kan dermed være utfordrende for virksomheter å opprettholde oversikt. Likevel syntes flere av informantene at områder som grenser mot digital sikkerhet er såpass spesialisert at det blir urealistisk å være fullstendig selvforsynt. 

Ledelse 

Funn fra intervjuene indikerer at det har vært, og fortsatt eksisterer, en form for ansvarsfraskrivelse i kommunal sektor, da ansvar og prosjekter blir delegert videre til IT-avdelingen. Informantene gir likevel inntrykk av at digital sikkerhet nylig har begynt å prioriteres. Ifølge informant 7 har toppledelsen blitt gode på å håndtere kriser, grunnet erfaringer fra pandemien, men risiko- og sårbarhetsanalyser anses som krevende. Informant 10 utpeker at det er et viktig ansvar som er pålagt ledelsen, spesielt kommunedirektøren, for å ivareta internkontroll. Riksrevisjonen (2023) oppdaget at kommunene trenger anbefalinger om hva som kan vurderes som akseptabel risiko. I henhold til dokumentstudiet fra Digdir (2020) er det ledere sitt ansvar å ha kontroll på risikoen som følger av mål og arbeidsoppgaver. 

Funnene indikerer at det er avgjørende å ha ledere som kan operere i en digital kontekst, for å skape en læringsarena der både feil og suksesser kan deles. En bør ifølge KS-informantene iverksette planer for hvordan kommunen skal håndtere at systemer blir utilgjengelig og hvor lenge en kan operere i et slikt landskap. Loonam et al. (2022) presiserer at ledere må ha god forståelse av organisasjonens teknologiske kapabiliteter og tilpasningsevner. De må redegjøre for en gunstig hastighet av digital transformasjon. Deltakerne bemerket at manglende vurderinger på nye teknologiske løsninger forekommer. Dette vil trolig forhindre en gunstig sammenfiltring av teknologi og arbeidsprosesser, og gevinstrealisering vil mislykkes.  

Endringsrutiner 

Det er flere endringer som har oppstått blant organisasjonene. Med hensyn til masteroppgavens problemstilling er det endringer som et resultat av dagens risikobilde som har vært mest relevant. Politikerne prioriterer mer ressurser, noe som utgjør en forskjell i arbeidet med digital sikkerhet i kommunal sektor. Informantene reflekterer over et økt trusselnivå der det er faren rundt Russland som utpeker seg. 

Det er ikke så rart da å tenke at russerne faktisk på statlig nivå i flere år [...] har de bevisst drevet hybride angrep mot Norge og til og med Trondheim som kommune. Men vi har vent oss til det på en måte, vi har liksom justert oss litt, bare justert skalaen. Ja, det er den nye normalen. (Informant 2) 

Alle kommunene opplever hyppige angrep på sine systemer, men foreløpig ikke av alvorlig grad. Likevel forstår informantene at de ikke kan være helt trygge. Informantene nevner at endrede omgivelser, som følge av pandemien og krigen i Europa, har blitt den nye normalen. En konsekvens at dette er at individer blir vant med en høyere usikkerhet og dermed aksepterer en slik risiko i hverdagen. Det er tydelig at det har blitt vanskeligere å oppdage svindelforsøk. I tillegg er ressursene begrensede, noe som forsterker behovet for å samarbeide med andre kommuner. 

Hvilke tiltak gjør lederne i organisasjonen for å forbedre sikkerhetsarbeidet? 

Til slutt viser funnene at lederne har iverksatt flere tiltak for å bedre det digitale sikkerhetsarbeidet. Det er særlig bemerkelsesverdig at Midtre Gauldal kommune og Fosen IKT, som har færre ressurser enn Trondheim kommune, også har iverksatt ulike sikkerhetshevende tiltak. Tiltak som direkte påvirker O-faktoren, er noe mangelfullt. Dette indikerer at det fortsatt eksisterer svak forståelse av hva digital transformasjon og digital sikkerhet krever, nemlig en helhetlig tilnærming. Resultatene viser likevel noen prioriteringer av risikovurderinger og rolleforankring. Dette anses som viktig for å bedre O-faktoren. Riktignok omtaler informantene hovedsakelig opplæringsprogrammer og innstramming på teknisk nivå. Dette skal ikke misforstås som noe negativt, til tross for at flere tiltak som styrker styring- og internkontroll bør iverksettes. 

Nr. 

Tema (MTO) 

Bakgrunn og begrunnelse for tiltak 

Kommune/IKS 

 

1 

Kunnskap/kompetanse opplæring og bevisstgjøring (M) 

Kampanje i sikkerhetsmåneden oktober: Kjørt tester i form av e-post, med hensikt å se hvor mange som trykker på en lenke, noe som indikerer at en har blitt lurt. 

Trondheim kommune 

 

2 

 

Rekruttering (M) 

Ansetter nytt personvernombud som kan drive opplæring ut i organisasjonen og en jurist med spesiell kompetanse på informasjonssikkerhet. I tillegg til to nye på informasjonssikkerhet for IT-avdelingen 

 

Trondheim kommune 

 

3 

 

Øvelser og teknologisk løft (T) 

Kjørt øvelse på utbrudd av krypto virus (2022) og strammet inn teknisk nivå etter krigens utbrudd (blant annet gjennom å flytte utsatte tjenester over i ‘Public Cloud’) 

Trondheim kommune 

 

4 

 

Internkontroll og oversikt (O) 

Gjennomført to revisjoner med bruk av ekstern leverandør. Blant annet Sopra Steria rapport (2021). Hensikt om å få et utenfra blikk på organisasjonen og peke ut sentrale sårbarheter. 

Trondheim kommune 

5 

Forankring av roller og tilgangsstyring (O) 

Klarert nøkkelpersoner og ledere, med hensikt om å skape oversikt over hvem som har tilgang til konfidensiell og hemmelig informasjon 

Trondheim kommune 

 

6 

 

Organisering av arbeidet, roller og ansvar(O) 

Ny enhet: sikkerhet og beredskap (opprettet april 2022). Har overordnet ansvar for sikkerhet. Forsøker i disse tider å vurdere hvilken rolle de skal ha, særlig med hensyn til den sikkerhetspolitiske situasjonen utløst av invasjonen i Ukraina. 

 

Trondheim Kommune 

 

1 

Kunnskap/kompetanse opplæring og bevisstgjøring (M) 

Informasjonskampanje med e-post tester, til slutt sendes ut en lenke, med hensikt om å se hvem som blir lurt. 

Midtre Gauldal kommune 

 

2 

Kunnskap/kompetanse opplæring og bevisstgjøring (M) 

Planlegger kurs innen digital sikkerhet for ledere og et kurs for nyansatte (ikke innført da intervjuet ble gjort). 

Midtre Gauldal kommune 

 

3 

 

Nytt teknologisk verktøy (T) 

Ny overvåkningstjeneste hvor en ekstern aktør fører logger og har en programvare som slår alarm hvis det blir datainnbrudd 

Midtre Gauldal kommune 

 

4 

 

Tilgangsstyring/to-faktor (T) 

Mer bruk av tofaktorautentisering som et resultat av pandemien og hendelsen i Østre Toten, med hensikt om å skape sikker sone ved bruk av hjemmekontor. 

Midtre Gauldal kommune 

 

5 

 

Risikovurderinger (O) 

 

Innført noen prosedyrer (ble ikke spesifisert hvilke) som skal skje før nye anskaffelser. Det innebærer risiko- og sårbarhetsanalyser. 

Midtre Gauldal kommune 

 

6 

 

Forankring av ledelse (O) 

Innført årlig oppsummering av sikkerhetsarbeidet (hensikt om å vurdere status og prioriteringer for neste års budsjett) og fordelt formelle roller, som en sikkerhetsansvarlig. 

 

Midtre Gauldal kommune 

 

1 

Kunnskap/kompetanse opplæring og bevisstgjøring (M) 

Fosen IKT ansatte sendes på kurs som hovedsakelig faller innenfor kategorien tekniske ferdigheter (Microsoft kurs). 

 

Fosen IKT 

 

2 

Kunnskap/kompetanse opplæring og bevisstgjøring (M) 

I forkant av ny kriseøvelse skal det bli sendt ut falske phishing mailer, med hensikt om å se hvor mange som lar seg lure. De har også kjørt ut noen videoer med hensikt om å bevisstgjøre rundt sikkerhet 

 

Fosen IKT 

 

3 

 

Teknologisk løft (T) 

Gjennomgang av fagsystemer (2022) med hensikt om å finne viktige verdier og sikre disse. Også benyttet mer bruk av tofaktorautentisering.  

 

Fosen IKT 

4 

 

Beredskapsøvelse (O) 

Skal gjennomføre beredskapsøvelse for informasjonssikkerhet i Ørland kommune i mai (uvisst om dette har blitt gjennomført). 

 

Fosen IKT 

5 

 

Forankring av ledelse (O) 

Planlegger å innsette en informasjonssikkerhetsleder med hensikt om å samle en ressurs for de fire kommunene (uvisst om dette har blitt gjennomført). 

 

Fosen IKT 

Tabell 3: Oppsummering av tiltak eller planlagte tiltak som et resultat av dagens risikobilde 

 Avslutning

I arbeidet med analysen ble det tydelig at det har oppstått et økt fokus på digital sikkerhet som et resultat av dagens risikobilde. Likevel viste analysen at arbeidet med å iverksette en helhetlig tilnærming kan være lettere sagt enn gjort. Det er spesielt utfordrende for kommuner som er begrenset i form av størrelse, kapasitet, ressurser og komplekse systemer.  

Forskningsspørsmålet om mennesker viser at det er nødvendig å lære av egne feil for å utnytte menneskelige evner på best mulig måte. Dersom menneskenes kompetanse om digital sikkerhet er tilstrekkelig, kan de være bevisst på hvilke trusler som eksisterer og hvordan de skal håndtere dette. Likevel viser oppgaven at mennesker også kan møte dagens risikobilde med et felles språk som redegjør for en helhetlig forståelse av sikkerhetsarbeidet. Dette vil trolig bedre prioritering av ulike sikkerhetstiltak. Deretter vil god ledelse gjennom generering av tillit sørge for en åpen og tydelig kommunikasjon, som er nødvendig for å forankre en sikkerhetskultur. I tillegg vil dette bidra til å redusere skadeomfanget fra oppståtte situasjoner, ved at ansatte tør å innrømme et sikkerhetsbrudd. Følgelig vil opplæringsprogrammer forsterke evnen til å fungere under hverdagslige aktiviteter, som bidrar til forebygging av uønskede hendelser. På denne måten kan menneskelig situasjonsforståelse styrke kapasiteter rundt risikostyring, og etablere en nødvendig balanse mellom regler og tilpasningsevne.  

For å besvare forskningsspørsmålet om teknologi trekkes det frem at programvarer og verktøy arbeides kontinuerlig med for å sikre at de har tilstrekkelig redundans for å bekjempe sårbarheter. Det er tydelig at IT-avdelingene har mange oppgaver som de må ha kontroll over. Overvåkningstjenester, brannmurer og «back-up» systemer benyttes for å dekke sikkerhetsmålene om konfidensialitet, integritet og tilgjengelighet. Systemene må dermed være beskyttet og til å stole på. Det er også blitt mer forekommende med tofaktorautentisering for å etablere sikker sone. Nye og gamle systemer må ofte balanseres, grunnet en økende digital transformasjon, noe som krever tilstrekkelig oversikt. De ulike tekniske løsningene bidrar til å overholde sikkerhetsmål, men de krever bedre styring og administrering for å ha kontroll over komplekse systemer som finnes i en kommune. 

Det ble nevnt flere tiltak som lederne arbeider med for å kunne besvare forskningsspørsmålet om organisering. Tiltak som informasjonskampanjer, rekruttering, nye teknologiske løsninger og forankring av roller er et resultat av dagens risikobilde. Dette bidrar til å svare på den overordnede problemstillingen, om tiltak og endringer forårsaket av et samfunn i endring. Dagens risikobilde har utløst flere endringer, blant annet opplever informantene fra Fosen IKT at ledergruppene fra de ulike kommunene tar mer initiativ til å diskutere digital sikkerhet enn tidligere. I Midtre Gauldal kommune har de opplevd store endringer og mer flyt av data som har økt behovet for risikovurderinger. Dette er også gjeldende for Trondheim kommune, som har sett seg nødt til å stramme inn det tekniske nivået. Det har også oppstått endringer på politisk nivå, som har resultert i noe mer tilgang på ressurser. I tillegg har mediebildet sørget for at ansatte er mer nysgjerrige enn før og har bedre forståelse for hvilke trusselaktører som finnes. Økt angrepsaktivitet har fått lederne til å forstå at sikkerhetsarbeidet krever en helhetlig tilnærming der flere hensyn må tas. Det er blant annet formidlet et behov for mer samarbeid både internt og ekstern, særlig blant de mindre kommunene i utvalget.  

Anbefalinger 

Det kan være gunstig om Midtre Gauldal kommune og Trondheim kommune iverksetter en beredskapsøvelse for digital sikkerhet, som inkluderer flere enheter av kommunen enn kun IT-avdelingen. Dette kan blant annet bidra med risikostyring og ansvarsfordeling. Kommunene kan la seg inspirere av Fosen IKT og Ørland kommune. Det er trolig at en omfattende øvelse kan løses i samarbeid med andre kommuner, i tillegg vurderes det som relevant om DigiTrøndelag bidrar med det strategiske arbeidet rundt en slik øvelse.  

Det anbefales at Fosen IKT arbeider mot å forbedre kommunikasjonen ut til de fire samarbeidskommunene. Derfor er det vurdert som positivt å ansette en informasjonssikkerhetsleder. Funnene fra intervjuene tyder på at teknologien trenger støtte gjennom styringssystemer. Det kan derfor være nyttig for det interkommunale samarbeidet å forankre arbeidet innen M- og O-faktorene, eller å presisere tydeligere krav til de fire Fosen-kommunene.  

Det oppfordres til at alle benytter menneskelige feil som en mulighet for læring og integrerer et kontinuerlig arbeid med ulike sikkerhetstiltak. Det bør også etableres et felles språk blant kommunalt ansatte, hvor alle forstår kravene som er inkludert i sikkerhetsloven. For å oppnå dette, kan det være hensiktsmessig å utvikle styrende dokumenter. I tillegg bør ledere fremme en åpen og tillitsfull kultur. Det kan også være gunstig å iverksette flere ledelsessamlinger per år for å øke involvering fra toppledelsen og bevare internkontroll.  

​​Referanseliste 

Almklov, P. G., Antonsen, S., Størkersen, K. V., & Roe, E. (2018). Safer societies. Safety Science, 110(C), 1-6. 

Buan, T. A. (2021). Sluttrapport - Felles løft på informasjonssikkerhet og personvern. DigiTrøndelag. 

Datatilsynet. (2022, 11. januar). Overtredelsesgebyr til Østre Toten kommune. https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2022/overtredelsesgebyr-til-ostre-toten-kommune/ 

Departementene. (2019, 30. januar). Nasjonal strategi for digital sikkerhet. https://www.regjeringen.no/no/dokumenter/nasjonal-strategi-for-digital-sikkerhet/id2627177/ 

Digdir. (2020). Arbeidet med informasjonssikkerhet i fylkeskommuner og kommuner. Oslo: Digitaliseringsdirektortatet. https://www.digdir.no/media/1102/download 

Grøtan, T. O., Antonsen, S., & Haavik, T. K. (2022). Cyber Resilience: A Pre-Understanding for an Abductive Research Agenda. I F. Matos, P. M. Selig, & E. Henriqson (Red.), Resilience in a Digital Age: Global Challenges in Organisations and Society (ss. 205-229). Springer International Publishing. https://doi.org/10.1007/978-3-030-85954-1_12  

Hollnagel, E. (2022). Systemic Potentials for Resilient Performance. I F. Matos, P. M. Selig, & E. Henriqson (Red.), Resilience in a Digital Age: Global Challenges in Organisations and Society (ss.7-19). Springer International Publishing. 

Johannesson, P., & Perjons, E. (2014). An Introduction to Design Science. Sverie, Stockholm: Springer. 

Kongsvik, T. (2013). Sikkerhet i organisasjoner. Fagbokforlaget. 

Kongsvik, T., Albrechtsen, E., Antonsen, S., Herrera, I. A., Hovden, J., & Schiefloe, P. M. (2018a). Mennesket som feilkilde og ressurs. I Sikkerhet i arbeidslivet (ss. 191-204). Fagbokforlaget. 

Kongsvik, T., Albrechtsen, E., Antonsen, S., Herrera, I. A., Hovden, J., & Schiefloe, P. M. (2018). Regelstrying, etterlevelse og tilpasning. I Sikkerhet i arbeidslivet (ss. 205-218). Fagbokforlaget. 

Lips, M. (2020). Digital Government. Routledge. 

Loonam, J., Zwiegelaar, J., Kumar, V., & Booth, C. (2022), Cyber-Resiliency for Digital Enterprises: A Strategic Leadership Perspective. IEEE Transactions on Engineering Management, 69(6), 3757-3770. https://www.scopus.com/record/display.uri?eid=2-s2.0-85128078945&doi=10.1109%2fTEM.2020.2996175&origin=inward&txGid=3e83b341a6661e8a6e0ce94e3871c509  

Mergel, I., Edelmann, N., & Haug, N. (2019). Defining digital transformation: Results from expert interviews. Goverment Information Quarterly, 36(4), 1-16. https://www.sciencedirect.com/science/article/pii/S0740624X18304131  

Milakovich, M. E. (2022). Digital governance: applying advanced technologies to improve public service (Utg.2). Routledge. 

NRK. (2021, 17. desember). Hacket kommune får 16 millioner kroner i statsstøtte. NRK. https://www.nrk.no/innlandet/ostre-toten-kommune-far-16-millioner-kroner-i-statsstotte-etter-dataangrep-1.15776277 

NSM. (2022a). Nasjonalt digitalt risikobilde 2022. Nasjonal sikkerhetsmyndighet & Nasjonalt cybersikkerhetssenter. https://nsm.no/getfile.php/1311995-1664550278/NSM/Filer/Dokumenter/Rapporter/NDIG%202022.pdf 

NSM. (2022). Risiko 2022. https://nsm.no/getfile.php/137798-1644424185/NSM/Filer/Dokumenter/Rapporter/NSM_rapport_final_online_enekeltsider.pdf   

Osmundsen, K., Iden, J., & Bygstad, B. (2018). Hva er digitalisering, digital innovasjon og digital transformasjon? En litteraturstudie. NOKOBIT, 26(1). https://ojs.bibsys.no/index.php/Nokobit/article/view/532  

Riksrevisjonen. (2023, 2. februar). Myndighetenes samordning av arbeidet med digital sikkerhet i sivil sektor. https://www.riksrevisjonen.no/globalassets/rapporter/NO-2022-2023/myndighetenes-samordning-av-arbeidet-med-digital-sikkerhet-i-sivil-sektor.pdf 

Schiefloe, P. M. (2017). Pentagonanalyse: En helhetlig modell for sikkerhet i organisasjoner. I S. Antonsen , F. Heldal, & S. A. Kvalheim, Sikkerhet og ledelse (ss. 281-301). Oslo: Gyldendal Akademisk. 

Sopra Steria. (2021). Informasjonssikkerhet og personvern i Trondheim kommune. Sopra Steria. 

Thiel, S. V. (2022). Research Methods in Public Administration and Public Management. New York: Routledge. 

Wilson, C., & Mergel, I. (2022). Overcoming barriers to digital government: mapping the strategies of digital champions. Government Information Quarterly, 39(2), 1-11. https://www.sciencedirect.com/science/article/pii/S0740624X22000144  

Xu, J., & Lu, W. (2022). Developing a human-organization-technology fit model for information technology adoption in organizations. Technology in Society, 70(102010).