Er en trygg digital hverdag mulig i kommunene?

Daglig skriver media om digitale angrep, og digitale angrep mot kommuner er selvsagt ikke noe unntak. De fleste har hørt om dataangrepet mot Østre Toten kommune og de konsekvensene det førte med seg.

De fleste kommunale tjenester er helt avhengige av en velfungerende IT-infrastruktur og tilhørende støttesystemer. Resultatet av et dataangrep vil i ytterste konsekvens føre til at kommunen blir totalt lammet over en lengere periode. Kostnadene ved å få kommunen tilbake i normal drift kan beløpe seg til ti-talls millioner kroner, selv for middels store kommuner. Større kommuner må regne med mer. Sensitive data på avveie kan innebære en nasjonal risiko og/eller brudd på personvernet og rettsikkerheten til den enkelte innbygger.

Sensitive data på avveie kan innebære en nasjonal risiko og/eller brudd på personvernet og rettsikkerheten til den enkelte innbygger.

Slike brudd på sikkerheten kan føre til erstatningskrav og/eller bøter, at sensitive data misbrukes av andre, at andre tilknyttede IT-systemer (samarbeidspartnere/tredjepart) kan bli kompromittert, eller at man mister tillit til data/systemer.

Dermed blir det viktig at kommuner hindrer misbruk av data og dataangrep, men ikke minst, at de kan håndtere dem. Spørsmålet som kan stilles er: Hvordan bør vi adressere utfordringene med digital transformasjon for å hindre misbruk av data og digitale angrep?

Utfordringer med digital transformasjon

Digital transformasjon gir oss både muligheter og utfordringer. Muligheter til å arbeide smartere, mer effektivt og ikke minste på en måte som gjør at vi kan utvikle oss som samfunn. På den andre siden gir digital transformasjon oss også utfordringer både innen den teknologiske, prosessuelle og den menneskelige dimensjonen.

Innen den teknologiske dimensjonen er kompleksitet i verdikjeder og teknologi, samt teknologisk gjeld utfordrende. Kompleksiteten fordi en tjeneste er ofte byd opp av mange mindre tjenester og komponenter som igjen spenner over ulike teknologier, land og leverandører. Teknologisk gjeld fordi vi ofte besitter utdatert teknologi som kan være sårbar og utdatert, men som kanskje ikke lar seg enkelt skifte ut av ulike årsaker. Dette kompliseres ytterligere ved at vi ikke har noen felles sikkerhetskrav til leverandørkjeden. I korthet innebærer det at hver enkelt kommune må finne opp sikkerhetskravene hver gang de f.eks. går til innkjøp av digitale tjenester.

I tillegg er det viktig å merke seg betaparadigmet. Tidligere var det et stort søkelys på å sluttføre systemene «100 prosent». Dette prinsippet har de fleste ledende utviklingsselskap gått bort i fra. Begrunnelsen er at hvis man bruker 1 – 2 år på å fullføre et system før det tas i bruk, vil man kunne mislykkes. Det kan skje fordi endringene i virksomheten, samfunnsendringer og ikke minst utviklingstakt i teknologien, er så stor at det man prøver å implementere kan være utdatert før det settes i drift.

Derfor har man nå et langt mer smidig (agilt) tilnærming med et «godt nok»-prinsipp i bunn. Prinsippet legger opp til at man ofte innfører små endringer kontinuerlig i tråd med brukerens og virksomhetens ønsker. Dette medfører at systemet ikke nødvendigvis blir så sikkert som «100 prosent» (men sikkert nok), og samtidig gir nødvendig fleksibilitet for å kunne drive virksomheten fremover i tråd med forventninger og samfunnsendringer.

Innen den menneskelige dimensjonen er det også flere utfordringer.

Vi har alle en forventning om at de verktøyene som gjøres tilgjengelige for oss er trygge. Akkurat som når vi kjøper en ny bil, forventer vi at bremsene fungerer. Det er ikke slik at vi gjennomfører en risikovurdering på at bremsene fungerer. Eller at vi tar av hjulene for å sjekke om det er nok bremsebelegg, bremsevæske, eller at rørene til bremsene ikke er rustne eller lekker. Nei, vi legger til grunn at bremsene fungere slik de skal!

Tilsvarende er det ikke innen teknologi og IT. Her skal vi gjennom sikkerhetskurs, risikovurderinger og mer til. Vi som ansatte skal dekke opp om sårbarheter som burde vært eliminert eller håndtert teknologisk. Det blir litt som en lege sa til meg. Jeg har gått sju år på skole for å fikse mennesker, du har gått et antall år på «sikkerhetsskolen» for å ivareta sikkerhet. Hvis du mener at jeg også skal gjøre jobben din ved å sikre de verktøyene du leverer til meg, vel, så har vi vel bommet litt, har vi ikke?

En annen utfordring er digital privat bruk kontra arbeidsbruk. De appene og teknologiene vi bruker privat er som regel brukervennlige, fremtidsrettede og løser våre oppgaver på en god og rask måte. Når vi kommer på jobben, blir vi gjerne satt ti år tilbake. I tillegg blir ansatte ofte fremmedgjort og får en distanse til digital transformasjon i virksomheten. Hvor ofte skjer det ikke at når et nytt system innføres så får man beskjed om: Vær så god her er det nye systemet, og du skal «trykke» på disse tastene på denne måten, og gjøre kun akkurat dette i systemet. Disse to elementene fører ofte til frustrasjon hos bruker og bidrar ikke nødvendigvis til at det digitale rommet blir tryggere.

Sikkerhetstilnærmingen har nok også hatt en tendens til å overøse brukerne med prosedyrer og formaninger. I noen virksomheter har dette tatt helt overhånd ved at selv de som utformer prosedyrene ikke har kontroll. Og fungerer ikke dette, vel, da kan vi alltids bruke sikkerhetskortet. En dokumentrevisjon vil nok applaudere at her har man alt på stell, men sjekker man det virkelig liv i organisasjon er nok historien en helt annen. Dette er satt litt på spissen, men kan fungere som en beskrivelse av virkeligheten som mange vil kjenne seg igjen i.

Reduksjon av risiko langs naturlig arbeidsflyt handler ikke om å overøse brukeren med prosedyrer og formaninger. Det handler om å se hvordan brukeren faktisk arbeider og hvordan teknologien kan hjelpe til med å gjøre arbeidsdagen tryggere. Du overøser ikke en smed med 100 sider dokumentasjon med informasjon om at vedkommende må bruke hansker, beskyttelsesbriller og tang når hun skal støpe former. Dette skjer automatisk fordi sikkerhetsutstyret og bruken er en del av naturlig arbeidsprosess til smeden. Og ikke minst, en naturlig del av opplæringen i arbeidsutførelsen. Tilsvarende må det være innen digitalisering. Brukeren skal bli ledet trygt gjennom sin arbeidsdag ved å få trygge verktøy og få nødvendig digital sikkerhetskompetanse som er direkte integrert i sitt virke.

Svaret på spørsmålet som ble stilt innledningsvis, hvordan vi skal adresserer utfordringene med digital transformasjon på rett måte for å forhindre misbruk av data og digitale angrep, er at vi må ha en annen tilnærming enn den vi har hatt til nå. Årsaken ligger i den digital transformasjonens natur. Den er agil, flyktig, innovasjonsdrevet og søkelyset er mer rettet mot å operere i et økosystem enn i en sekvensiell eller hierarkisk verdikjede.

Hva gjør vi i KS og kommunal sektor for å møte utfordringene?

Digital transformasjon utfordrer klassisk nærming med «fullstendig kontroll» med styringssystemer og «alt som følger med», kontra smidighet (agilitet) med «trust, but verify» prinsippet, og konsekvensstyring. Det innebærer bl.a. at tradisjonell tilnærming til styringssystem for informasjonssikkerhet får en mindre sentral rolle. Begrunnelsen for dette er at styringssystem for informasjonssikkerhet ofte blir noe på siden av den helthetlige virksomhetsstyringen og noe «IT» driver med. Styring av informasjonssikkerhet er i prinsippet ikke noe annet enn økonomistyring, og må være en del av det hele og være direkte integrert i virksomhetsstyringen.

Styring av informasjonssikkerhet er i prinsippet ikke noe annet enn økonomistyring, og må være en del av det hele og være direkte integrert i virksomhetsstyringen.

For å møte de utfordringene digital transformasjon representerer gjennomfører KS og kommunal sektor flere aktiviteter for å adressere utfordringene riktig, men ikke minst for å gjøre det handlingsrommet som digital transformasjon innbyr til, enda mer mulig.

I denne sammenheng trekkes det frem seks aktiviteter:

  • KS har etablert et strategisk nettverk for informasjonssikkerhet og personvern i kommunal sektor (SNIP).
  • KS utarbeider sammen med medlemmene et Rammeverk for trygg digitalisering (RTD).
  • KS har gjennomført en utredning om Sikkerhet i ledelsesperspektiv som skal være støtte for kommunedirektører i deres daglige arbeid.
  • KS har påbegynt et FoU-arbeid med å sette sikkerhet i ansattperspektiv på dagsorden.
  • KS har sammen medlemmene satt i gang med et prosjekt for felles risiko- og sårbarhetsanalyse (ROS)/Vurdering av personvernkonsekvenser (DPIA).
  • KS har sammen medlemmene satt i gang med et prosjekt for felles leverandørkrav.

KS har opprettet SNIP. Dette er et strategisk ledelsesnettverk hvor deltakerne er sikkerhets- eller personvernansvarlige og digitaliseringsledere. Formålet er å ha en strukturert møtearena hvor man kan adressere felles utfordringer og finne gode felles løsninger i kommunal sektor.

Det finnes i dag ingen helhetlig tilnærming til hvordan digital transformasjon kan gjennomføres på en trygg og sikker måte. Rammeverk for trygg digitalisering (RDT) utarbeides nå med den hensikt å bistå kommunal sektor med et rammeverk på hvordan man kan gjennomføre digital transformasjon på en trygg og sikker måte.

I forlengelse av RDT arbeides det i fire dimensjoner. For det første arbeides det med sikkerhet i ledelsesperspektiv. Det innebærer å gi ledelsen en praktisk verktøykasse for å kunne stille de riktige spørsmålene til riktig tidspunkt og til rett kompetanseressurs. Det vil si at man går ut fra ledelsens hverdag, språk og deres daglige utfordringer og gir dem helt konkrete råd på hvordan de kan få, og bevare «kontroll» på sikkerhetsområdet. Ikke som en «separat greie», men som en integrert del av hele tjenesteutøvelsen og virksomhetsstyringen.

Den andre dimensjonen handler om sikkerhet i ansattperspektiv. Dette handler om å utvikle en metodikk for atferdsendring for å sikre at sikkerhet blir en naturlig integrert faktor i utøvelse av ansattes daglige virke. Målet med prosjektet er at det utløses en refleks hos de ansatte som gjør at sikkerhet er noe som faller helt naturlig i deres digitaliserte hverdag. I korthet går dette ut på å «trene» de ansatte i sikkerhet i kontekst av deres arbeidsutøvelse og funksjon.

Den tredje dimensjonen er felles ROS/DPIA. Det er tross alt slik at mange av systemene er felles og inneholder nokså lik type informasjon, f.eks. Office 365. Så kan man stille seg spørsmålet om det er nødvendig at 356 kommuner gjør de samme vurderingene? Eller kan man tenke seg at kommunesektoren kommer frem til noen felles «kjøreretninger». Ankepunkt pleier ofte å være – ja, men da får man ikke et forhold til vurderingene og risikoen i kommunen. Vel, man kan stille seg spørsmålet hvilket forhold man har til risikovurdering når det gjelder bremsene på bilen? Poenget med prosjektet er at vi bør håndtere risikoen selv der vi er ulike, og håndtere den sammen der vi er like.

Poenget med prosjektet er at vi bør håndtere risikoen selv der vi er ulike, og håndtere den sammen der vi er like.

Den fjerde dimensjonen handler om leverandørkrav. I dag finnes det i liten grad felles leverandørkrav i kommunene, og ofte må man starte med blanke ark hver gang f.eks. ved innkjøp av teknologi. En kan selv tenke seg hvilke utfordringer en liten kommune med få ressurser får ved teknologiske innkjøp. Derfor utarbeides det nå felles leverandørkrav innen informasjonssikkerhetsområdet. Formålet med dette er at kommunal sektor på en enkel måte kan stille krav til leverandørene, slik at de kan levere trygge og sikre digitale løsninger til kommunal sektor.

Veien videre

Som tidligere nevnt er digital transformasjons agil, flyktig, innovasjonsdrevet og søkelyset er mer rettet mot å kunne operere i et økosystem enn i en sekvensiell eller hierarkisk verdikjede. Det betyr at vi må ha en annen tilnærming for å kunne operere trygt i det digitale rommet enn tidligere.

Som nevnt ovenfor, har KS og kommunal sektor startet på en reise for å adresse utfordringen for å kunne opererer tryggere i det rommet som digital transformasjon inviterer til. Det innebærer også at internkontroll og revisjon må om mulig ha en annen tilnærming, f.eks. mindre dokumentkontroll og mer kontroll mot operasjonell funksjon og utførelse.

Det innebærer også at internkontroll og revisjon må om mulig ha en annen tilnærming, f.eks. mindre dokumentkontroll og mer kontroll mot operasjonell funksjon og utførelse.

I en forlengelse av dette vil KS i samarbeid med medlemmene også igangsette et prosjekt i løpet av 2022 hvor man ser på hvordan internkontroll og revisjon kan gjennomføres mer effektivt innen digitalisering og informasjonssikkerhet. På denne måten kan det bidra i enda sterke grad til å sikre mulighetsrommet i digital transformasjon, men ikke minst at man kan operere trygt i det digital rom.

Og så for å svare på spørsmålet i tittelen. Ja, det er fullt mulig. Spesielt med det fokuset som KS og medlemmene nå har satt på dette området, og med den tilnærmingen som vi når har til trygg digital transformasjon.

Lenke til Kommunerevisoren nr. 6/2021:

https://www.nkrf.no/kommunerevisoren/2021/6

Denne artikkelen ble publisert i Kommunerevisoren nr. 6/2021