I Serit ser vi at cybertrusslene mot norske kommuner øker for hver dag som går. Angrepene blir mer sofistikert, komplekse og krever stor kompetanse for å kunne hanskes med.
Per i dag har ikke det offentlige Norge en instans som griper inn når kommuner rammes av cyberangrep. Vi har kun røykvarslere, men ikke noe brannvesen ved dataangrep.
Det er på tide at det offentlige tar større ansvar for hendelser når de først har inntruffet. Vår egen Jonas Rushfeldt Sjøtun har satt problematikken på dagsordenen i denne kronikken i Finansavisen.
Røykvarslere, men ikke brannvesen
Hvilket ansvar tar staten for at kommuner med trange budsjetter sikrer sine datasystemer? Og hvem hjelper til når dataangrepet inntreffer, spør Jonas Rushfeldt Sjøtun i Serit.
Mens verden har hatt en enorm teknologisk utvikling de siste årene, har ikke det offentlige Norge klart å holde tritt. På det mørke nettet kan du bestille avanserte dataangrep til en billig penge. Konkurransen er så stor at hackerne til og med har kundekontakter og ber om anmeldelser av angrepene sine. Ikke ulikt hoteller som får vurderinger på Tripadvisor.
Det er her det offentlige svikter. I Finnmark, hvor vi i Serit er etablert med fire kontorer, har kommunene kjent dette på kroppen. Vadsø og Sør-Varanger kommune ble i 2022 rammet av det som antas å være målrettede angrep fra russiske hackere. Angrepene ble muliggjort gjennom lekkede brukernavn og passord fra det mørke nettet.
IT-sjefen i Sør-Varanger kommune, Anders Greve, sto midt i stormen. Politiets sikkerhetstjeneste (PST) hadde mistanke om et pågående dataangrep mot kommunen, og ba Greve om å sjekke spesifikke faktorer som PST hadde kartlagt gjennom andre angrep.
Likevel var det aldri snakk om hjelp fra det offentlige. Det var et privat IRT (Incident Response Team) som måtte bistå – en aktør med kapasitet til å hjelpe kommunen ut av uføret.
Å ikke vite om du kan stole på dataene dine, hvem som har tilgang til dem og hvor lenge du har kontroll, er en situasjon du vil være foruten. Samtidig som kommunens tjenester til innbyggerne skal ivaretas, må du etterforske og overlevere bevis til myndighetene.
Og dette var Greve veldig tydelig på: Da politiet ringte, var det for å høre om kommunen hadde funnet noe nytt de kunne dele med PST.
Sør-Varanger kom lettere ut av angrepet enn Vadsø kommune, som måtte ta sine systemer offline i flere uker. Kostnaden var på flere millioner kroner. Også der var det et privat IRT-team som bisto.
Felles for Vadsø og Sør-Varanger er at Forsvaret har ett eller flere anlegg i området. Forsvarsinstallasjoner gjør kommunene til større mål på de digitale flatene, også i fredstid. Her mangler det ekstra bevilgninger fra staten som kompenserer for den forhøyede risikoen.
Digitaliserings- og forvaltningsdepartementet har opprettet KommuneCERT. Gjennom informasjon og kompetansedeling hjelper de kommunene med å beskytte seg mot digitale trusler. Dette er viktig forebyggende arbeid.
I tillegg finnes HelseCERT, KraftCERT for kraftbransjen og JusCERT for organisasjoner tilknyttet Justisdepartementet. Alle er høyt kompetente og gode på sine områder, men mangler mandat til å bistå ved faktiske hendelser. Det finnes fortsatt ingen offentlig aktør som griper inn når krisen inntreffer. Det må private aktører gjøre.
NSMs liste over aktører godkjent for hendelseshåndtering i cyberdomenet inneholder ti selskaper. Alle er private – ikke en eneste offentlig instans er på listen. Det er for dårlig.
Det offentlige har i årevis forsømt sitt ansvar for den digitale sikkerheten. I dag overlates krisehåndtering til private aktører, mens staten står på sidelinjen. Dette til tross for at digital sikkerhet er en avgjørende del av samfunnets infrastruktur.
Vi trenger en offentlig beredskap for cyberangrep som er operativ, ikke bare rådgivende. Kommuner og andre offentlige aktører må få rask og kompetent bistand når angrep inntreffer, slik at kritiske tjenester ikke settes ut av spill. Vi har brannvesen for fysiske katastrofer – hvorfor har vi ikke et digitalt beredskapsteam som kan rykke ut når alarmen går?
Forsvarseksperter snakker om hybrid krig, også mot Norge. Det er det ingen tvil om at vi står overfor. Da må staten også ta ansvar for å sikre de digitale grensene – på lik linje med at det står soldater på grensen i Sør-Varanger.
Jonas Rushfeldt Sjøtun
Teknisk leder i Serit
