It-sikkerheden skal forbedres i kommuner og offentlige institutioner

Tine Olsen - mandag d. 12. oktober, 2015

Adskillige danske kommuner har store udfordringer med it-sikkerhed og flere tilfælde viser, at kommuner er et bekvemt mål for it-kriminelle.

Truslen er stigende
Truslen fra it-kriminelle er fortsat stigende i Danmark. Ifølge en ny undersøgelse foretaget af Codan, har over en fjerdedel af virksomhederne i Region Hovedstaden været udsat for it-kriminalitet i 20141, og ifølge politiets opgørelse er hacking-relateret kriminalitet steget markant de seneste tre år, fra 42 anmeldelser i 2012 til 191 anmeldelser i 20142.

Kommuner ramt af ransomeware-angreb
I starten af 2015 blev to danske kommuner udsat for de såkaldte ransomeware-angreb, der betød, at kommunerne fik krypteret hele eller dele af deres digitale arkiv(er), og anmodet om en løsesum.

Siden er lignende angreb blevet udført i massevis både mod offentlige og private organisationer. Angrebene er omkostningsfulde og kræver både tid, penge og fokus.

Kommuner er typisk et attraktivt mål fordi it-sikkerheden ofte er mere tilgængelig end hos private virksomheder, da kommunerne har mange aktive brugere, hvilket betyder, at der er mange indgangskanaler. Desuden opbevarer kommunerne en stor mængde fortroligt data samt data, der er kritisk for både borgere og staten.

Datatilsynet kommer på inspektion
Hos datatilsynet er fokus på it-sikkerhed i forbindelse med opbevaring af persondata også steget samtidig med optakten til den nye EU-forordning, der ændrer lovgrundlaget for den nuværende persondatalov.

Datatilsynet udfører på sædvanlig basis inspektioner i hele landet, og flere af de offentliggjorte redegørelser på datatilsynets hjemmeside vedrører kommuner, hvor der blandt andet er blevet givet kritik af:

  • Behandling af personoplysninger
  • Iagttagelse af krav om datasikkerhed - blandt andet krav i sikkerhedsbekendtgørelsen
  • Håndtering af sikkerhedsbrister

Fokus på håndtering af en sikkerhedsbrist
Ovenstående er blot et udpluk af fokuspunkter fra datatilsynet, men der er ingen tvivl om, at der bør stilles skarpt på netop disse punkter. Særligt håndtering af sikkerhedsbristerne bør være på dagsordenen hos alle kommuner netop nu, da de tidligere sager viser, at jo bedre forberedt man er på at skaden sker, jo mere professionelt og tillidsbevarende kan man håndtere situationen.

Willis anbefaler, at alle kommuner udarbejder en beredskabsplan, der inderholder klare retningslinjer for, hvordan en cyberskade skal håndteres.

Medarbejderne som risiko – en tredjedel kender ikke til it-sikkerheden
Når der diskuteres it-sikkerhed er der en tendens til at glemme den menneskelige faktor, nemlig medarbejderne.

KMD3 har foretaget en ny undersøgelse, der går i dybden med digitalisering i kommuner, og den konkluderer blandt andet:

  • 50 procent af de offentlig ansatte har oplevet et eller flere brud på datasikkerheden på deres arbejdsplads inden for de seneste 12 måneder.
  • Hver femte ansatte har oplevet, at personfølsomme data om borgere har været tilgængelig for ikke-relevante personer.
  • 34 procent af de offentlig ansatte er i tvivl om, hvorvidt de behandler persondata korrekt.

Disse tre hovedkonklusioner bør i høj grad give anledning til nye tiltag i og med, at flere sikkerhedsbrister sker fordi en medarbejder enten laver en fejl, udleverer data uberettiget eller på uheldig vis giver adgang til, at kriminelle tredjemænd kan tilgå systemet.

Sidstnævnte sker ofte ved, at medarbejderne modtager en e-mail med en inficeret fil eller et link, der indeholder malware. Samtidig er det meget vigtigt, at medarbejderne er opmærksomme på mistænkelige systemfejl m.m. og underetter de korrekte personer i organisationen.

Sikkerhedskulturen i organisationen er derfor en væsentlig faktor i spørgsmålet om cyberrisikostyring, da medarbejdernes bevågenhed i forhold til risikoen kan være altafgørende i en angrebssituation.

Hvordan kan en cyberforsikring være relevant?
En cyberforsikring giver en ekstra sikkerhed for organisationen, da den blandt andet dækker tab som følge af hacking, hvor udefrakommende pludseligt trænger ind i systemer og forårsager skade.

En cyberforsikring tilpasses den enkelte arbejdsplads, men kan som udgangspunkt indeholde følgende dækninger:

  • Undersøgelsesomkostninger – hvilket betyder, at forsikringstager får dækket sine omkostninger til at undersøge      systemnedbruddet eller virusangrebet.
  • Omkostninger til at genetablere data.
  • Beredskab til at håndtere en cyberhændelse (fx assistance fra it-konsulenter).
  • Sagsomkostninger og forligsomkostninger, når der bliver rejst sag mod organisationen med påstand om brud på persondataloven eller lignende.
  • Udgifter til PR-firma, som kan afhjælpe eller begrænse negativ omtale i pressen som følge af en cyberhændelse.
  • Omkostninger til løsesum eller forhandling i forbindelse med cyberafpresning.

Har du spørgsmål til cyberforsikring eller cyberrisici, kan du kontakte din almindelige mægler hos Willis.


1. Kilde: It-kriminelle går efter kommuner og virksomheder i Region Hovedstaden 

2. Kilde: Hackere angriber kommuner og virksomheder dagligt

3. KMD-analyse: Informationssikkerhed i det offentlige