Kommunene opplever betydelige utfordringer på dette feltet, som forsterkes av den raske digitaliseringen. Denne artikkelen oppsummerer nøkkelpunkter diskutert i podcasten.
Her kan du laste ned podcastepisoden
Bakgrunn og erfaring
Tveiten, med en IT-bakgrunn på 40 år, inkludert lederstillinger i flere sektorer og en periode i Nasjonal sikkerhetsmyndighet, bringer en dybde av erfaring til temaet. Hans karriere spenner over arbeid i Norsk Data, IT-leder i en kommune, Schibsted og som leder for operasjonssenteret i Nasjonal sikkerhetsmyndighet.
Opprettelse av Kommune-CSIRT
I 2020 ble Kommune-CSIRT opprettet, som en reaksjon på en voksende bevissthet om behovet for forbedret digital sikkerhet i kommunal sektor. Initiativet, som startet i Mjøsregionen og støttet av Gjøvik og Lillehammer, så også på teknisk sektor med sine OT-systemer. De mer industrielle anleggene innen vann og avløp skiller seg fra administrative systemer på en rekke områder, og krever en annen kunnskap for å sikre disse digitalt.
Med fokus på systematisk kartlegging og forbedring av sikkerhetssårbarheter, har Kommune-CSIRT, under Tveitens ledelse, vokst til å inkludere 60 medlemmer, bestående av kommuner, fylkeskommuner og noen kommunale selskaper. De har gjennomført effektiv identifisering og reparasjon av sikkerhetshull, og jobbet med langsiktige strategiske prosesser for å forbedre digital sikkerhet.
Utfordringer og strategier
En betydelig utfordring har vært samhandling mellom ulike kommunale tjenester og forståelsen av viktigheten av digital sikkerhet. Tveiten understreker nødvendigheten av å integrere digital sikkerhet i alle aspekter av kommunal administrasjon, og få med vann og avløp i dette arbeidet.
Nedenfor er det satt opp en rekke punkter som det er viktig for kommunene å ha et forhold til i arbeidet med digital sikkerhet, basert på samtalen med Bjørn;
- Organisering og samhandling mellom de ulike IT-miljøene i kommunen (helse, administrasjon, teknisk sektor).
- Plassering av tydelig ansvar for digital sikkerhet
- Ha oversikt over driftsansvaret for de ulike systemene
- Tydelig kravsetting til tjenesteleverandørenes produkter og egen sikkerhet
- Support og beredskapsavtaler må på plass (hvem bistår ved sikkerhetshendelser?)
- Delta i nettverk som gir deg kunnskap om sårbarheter og kritiske oppdateringer. InfraCERT, KommuneCERT eller tilsvarende. Samarbeid med eksterne kompetansemiljøer.
- Segmentering av systemene og tilgangsstyring
- Uavhengige back-up systemer
- To-faktor autentisering for tilgang utenfra (via internett)
- Arbeide for en god sikkerhetskultur i organisasjonen
- Øvelser må involvere vann og avløp, og digitale hendelser
- Organisasjonen/kommunen må ha tilstrekkelig kapasitet og riktig kompetanse
- Bruke gjerne eksterne firma / 3. part til å gjøre periodisk sikkerhetsscanning av dine systemer
Veien videre
Regjeringen har gitt Helse-CERT ansvaret for et fremtidig Kommune-CERT. Kommune-CSIRT som har jobbet siden oppstarten i 2020 for å bli utpekt som CERT for kommunene, mister dermed mye av sitt momentum i sitt arbeid med etatsspesifikk, direkte rådgivning som for eksempel VA.
De ansatte vil bli overført til NSM og kan bistå med sin kunnskap og kompetanse derfra, men det er opp til NSM å spesifisere oppdrag og målgruppe for den nye avdelingen.
Norsk Vann påpeker viktigheten av at også det nye Kommune-CERT får kompetanse på driftskontrollsystemer/OT-systemer og tar ansvar for sikkerheten for disse.
NSM sine grunnprinsipper
NSM sine grunnprinsipper finnes på Nsm.no.
Sett deg inn i disse og følg dem!
Norsk Vanns rapporter
NV har også en rekke rapporter på området. Første rapporten kom helt tilbake i 2013.
- Sikkerhet og sårbarheter i driftskontrollanlegg. NV rapport 195.
- SINTEF: Eksempel på mal for risikovurdering knyttet til informasjonssikkerhet og driftskontrollsystem for vann og avløp (2015)
- Sikkerhetsstyring for vannbransjen (213 – 2015)
- Rapport om fysisk sikring (rapport 229- 2017)
- Informasjonssikkerhet og skybaserte tjenester (238-2018)