Rapporten fokuserer på hvordan forebygge, oppdage og håndtere digitale angrep og hendelser. Altså «grunnplanken» for å kunne oppnå en trygg digitalisering. Fokuset i rapporten er derfor ikke rettet mot personvern i klassisk forstand. Anbefalingene som er gitt, peker ut en retning som vil gjøre kommunene og fylkeskommunene mer robust mot digitale angrep, samtidig som ansvaret og mulighet til lokale tilpasninger ivaretas.

Angrepet mot Nordland fylkeskommune 22. desember 2021 aktualiserte behovet ytterligere.

Risikobildet

Nasjonal sikkerhetsmyndighet beskriver i «Risiko 2023» at denne type angrep blir vanligere og at dette også får konsekvenser i Norge og det norske samfunnet. Det nasjonale og internasjonale mediebildet gir det samme inntrykket. I Norge er det flere eksempler på dataangrep som har lammet både lokalsamfunn, virksomheter og verdikjeder.

Proposisjon 78 S (2021-2022) påpeker også at risikoen for at land som Russland benytter ikkemilitære virkemidler som digitale angrep, og etterretnings- og påvirkningsaktiviteten øker, også i Norge. Dette bekreftes videre av PSTs trusselvurdering for 2023.

Med bakgrunn i risikobildet for kommunal sektor besluttet KS vinteren 2022 å utarbeide et kunnskapsgrunnlag for få bedre innsikt i kommunenes status og situasjon, øke robustheten og forsterke evnen til å forebygge, oppdage og håndtere dataangrep i kommunal sektor. Det skal skje ved å konkretisere og forankre sektorens behov for tjenester for å understøtte informasjonssikkerhets- og beredskapsarbeidet. KDD har støttet utredningen med 500.000 NOK.

Lenkeblokk Icon Les hele rapporten med alle vedlegg her

Beskrivelser og tiltak

Resultatet av arbeidet er denne rapporten som beskriver

  • Kommunenes utfordringer på overordnet nivå innen digital robusthet.
  • Kommunens behov for tjenester innen digital sikkerhet og beredskap.
  • Hvilke aktører som leverer tjenester innen digital sikkerhet og beredskap til kommunal sektor. Se vedlegg C, Dagens aktørbilde for kommunal sektor innen digital sikkerhet.
  • Tiltak som kan iverksettes for å øke robustheten og evnen til å forbygge, oppdage og håndtere digitale angrep både på kort og lang sikt.

Trygg digitalisering forutsetning

Denne rapporten fastslår at trygg digitalisering er en forutsetning for at kommunene skal kunne levere tjenester til alle innbyggere i Norge, nå og i fremtiden. Med trygg digitalisering menes alle de grep som må tas for å oppnå en digital robusthet der utvikling, innføring, drift og forvaltning, og utfasing av digitale løsninger gjøres på en måte som sikrer motstandsdyktighet mot hendelser og digitale angrep, og dermed sikrer tjenestenes kontinuitet og kvalitet. Tiltak for å oppnå trygg digitalisering må alltid vurderes opp mot tiltakenes kostnad og den risikoreduksjon tiltaket gir.

Målbildet for sikker digitalisering

Målbildet for sikker digitalisering i kommunal sektor kan derfor beskrives som at:

  • Kommunene er robuste nok til å kunne operere i det digitale rom uten alvorlige hendelser i krisespennet fred, krise og konflikt.
  • Kommunene evner å forebygge, oppdage og håndtere digitale angrep.
  • Tilgjengelig kompetanse og ressurser innen digitalisering, informasjonssikkerhet og personvern utnyttes effektivt på tvers av kommunal sektor.

Nåsituasjonen innen informasjonssikkerhet og personvern i kommunal sektor sett under ett kan beskrives som varierende grad av:

  • Styringsevne (herunder kontrollfunksjon) innen informasjonssikkerhetsområdet.
  • Nødvendig sikring av teknisk infrastruktur.
  • Nødvendig evne til å forbygge, oppdage og håndtere hendelser.