Ni ud af ti kommunale IT-chefer mener ikke, at kommunerne har ressourcer nok til at kunne håndtere cybertruslen.
Sådan lyder den barske sandhed i en ny analyse, som Momentum har foretaget.
Momentum er Kommunernes Landsforenings analysemagasin, og de har lavet en rundspørge blandt landets kommuner. 75 kommunale IT-chefer har deltaget i undersøgelsen.
IT-cheferne peger også på, at cybertruslen er øget markant.
93 procent svarer, at de er enige i, at den digitale trussel er blevet mere kompleks i løbet af de seneste to år, mens 77 procent vurderer, at antallet af cyberangreb er steget i samme periode.
Hvis man spørger Jens Myrup Pedersen, der er professor i cybersikkerhed ved Aalborg Universitet, er IT-chefernes svar og situationen i kommunerne stærkt bekymrende.
"Kommunerne løser masser af opgaver, som er afhængige af, at der er adgang til IT-systemerne. Der kan få alvorlige konsekvenser, hvis et angreb lammer den kommunale IT-infrastruktur. Hjemmeplejere, der ikke kan se, hvilken borger de skal besøge, eller ikke kan se i systemet, hvilken medicin borgeren skal have. Så i sidste ende kan det handle om liv og død," siger han til Momentum.
PROSA: Gør data ufarlige
Den nye analyse bør være en anledning til, at man får ryddet op i systemerne og gjort data "ufarlige".
Det mener Ole Tange, der er IT-politisk rådgiver i PROSA.
"Et af problemerne er, at kommunerne ligger inde med massive mængder af fortrolige data. Hvis man tog GDPR artikel 5 og 25 seriøst, så kunne nogle af disse data gøres ufarlige," siger han.
Det er for eksempel ufarligt at have information om, at parkeringsbås 773 er optaget, men ikke at det er bilen med registreringsnummer EC95050, som står i båsen.
"Hvis flere data bliver gjort ufarlige, så er problemet med cyberangreb tilsvarende mindre. Det vil samtidigt være med til at sikre borgernes privatliv," siger Ole Tange og fortsætter:
"Det er naturligvis ikke alle data, der kan gøres ufarlige, men lige nu ser vi, at man igen og igen vælger den – nemme – løsning, hvor data er farlige i stedet for at udvikle en løsning, hvor data gøres ufarlige."
Hvis flere data bliver gjort ufarlige, så er problemet med cyberangreb tilsvarende mindre.
Hvis man lægger fokus over på at gøre data ufarlige, risikerer man så ikke, at man underprioriterer IT-sikkerheden yderligere?
"Jo færre systemer med farlige data, som man skal sikre, desto nemmere bliver det. Vi ser igen og igen, at en fejl i system A ikke er et problem, og en fejl i system B heller ikke er et problem, men når system A og B taler sammen, så kan kombinationen af de to fejl udnyttes af kriminelle. Så jo flere systemer med farlige data, der skal tale sammen, desto mere kompleks bliver opgaven med at sikre alle kombinationer. Og kompleksitet er dyrt, svært og nemt at lave fejl i," siger Ole Tange.
"Derfor kan den nemme løsning, som måske er billig i sig selv, på længere sigt afføde merudgifter og dermed vise sig at være den dyre løsning. Hvis data er ufarlige, så er problemet langt mindre, hvis uvedkommende bryder ind og får adgang til data."
Den IT-politiske rådgiver erkender, at læk af data kun er et af problemerne – det kan for eksempel stadig være et problem, hvis forbryderne kan ændre eller slette data – men at gøre data ufarlige er i hvert fald et sted at starte, lyder det.
PROSA har tidligere talt for at lave en pause i indførelsen af ny IT, så vi kan få rettet op på de gamle uhensigtsmæssigheder og sikkerhedsfejl.
Derudover bør kommunerne generelt gennemgå en ordentlig forårsrengøring.
"PROSA har tidligere talt for at lave en pause i indførelsen af ny IT, så vi kan få rettet op på de gamle uhensigtsmæssigheder og sikkerhedsfejl, som vi allerede ved, er i systemerne," siger Ole Tange og fortsætter:
"Men vi forstår også godt, at det er sjovere at bevillige 1 mia. kr. til en ny bro end til vedligeholdelse af en eksisterende. Men ligesom broer skal IT-systemer vedligeholdes – og det er ikke gratis."