Skip to content

Ny IT-løsning reducerer kommunernes sikkerhedsarbejde markant

Case: Gentofte Kommune

Insight Analytics fra twoday automatiserer dataindsamlingen og sparer Gentofte Kommune for 6-12 ugers arbejde om året

gentofte-charlottenlund-case-header-1920x720

Gentofte Kommune styrker it-sikkerheden

I 2022 lancerede Kommunernes Landsorganisation (KL) “Kommunernes Tekniske Minimumsstandarder”, der skal hjælpe med til at sikre den basale IT-sikkerhedshygiejne i kommunerne. Et tiltag, som man i Gentofte Kommune har taget positivt imod og arbejder seriøst med.  

”Vi hilser Kommunernes Tekniske Minimumsstandarder velkommen. Cybertruslen er som bekendt signifikant, og derfor er cyberforsvaret i Gentofte Kommune også en meget vigtig prioritet for os. Når det er sagt, så er det jo ikke nogen hemmelighed, at KL’s Tekniske Minimumsstandarder og lignende regulativer kræver meget af vores interne ressourcer. Når vi forbereder en ekstern IT-revision, kræver det typisk flere ugers arbejde for vores informationssikkerhedsteam og vores tekniske specialister. Meget af det arbejde er nu blevet automatiseret, og det betyder, at vi kan fokusere mere af vores energi på at forbedre os på de enkelte områder”, udtaler Anders Brahm, IT- og Digitaliseringschef i Gentofte Kommune.  

Katrine Stegman, Informationssikkerhedskonsulent i Gentofte Kommune uddyber:  

”Dataindsamlingen og rapportering tager typisk 6-12 ugers arbejde om året. Arbejdsbyrden er fordelt imellem både informationssikkerhedsenheden og de enkelte tekniske domæner, hvor vores tekniske specialister hjælper med at skaffe de nødvendige informationer. Informationssikkerhedsenheden bruger typisk 3-4 uger om året på at orkestrere dataindsamlingen samt at sikre datakonsistens og lave rapportering alene på minimumskravene. Dernæst har vi brug for at de tekniske domænespecialister forstår kravene, indsamler de rigtige data og rapporterer data tilbage til os. I snit tager det en uge for hvert af de ni områder at få det hele på plads, så det er en ret tidskrævende proces for os.” 

twoday-situation-copenhagen-22-1920

Fokus på kerneopgaverne

Kommunernes Tekniske Minimumsstandarder dækker ni overordnede kategorier (klienter, mail, autentifikation, mobile enheder, logning, domænesikkerhed, netværk, internetvendte tjenester, og diverse). Hvert område har yderligere en række underkrav.  

”Udfordringen er, at det kræver involvering fra en lang række medarbejdere i kommunerne at besvare alle kravene. Det vigtigste er først og fremmest at forstå, hvad kravene betyder og derefter finde ud af, hvilke data der er bedst til at verificere i hvilken grad kravet er opfyldt. Og selvfølgelig til sidst hvordan de skal levere data retur”, forklarer Katrine Stegman.

For eksempel skal der leveres data på, hvorvidt alle klienter har en firewall, om mobile enheders OS og applikationer regelmæssigt bliver opdateret, og hvorvidt indgående mailgateways er beskyttet af en DNSSEC zone.

Katrine Stegman uddyber: ”Eksperterne bag Insight Analytics har brugt tiden på at forstå spørgsmålene og automatisere dataindsamlingen. Det betyder, at de enkelte medarbejdere i kommunerne kan fokusere på kerneopgaverne og forbedre sikkerheden frem for at bruge tid på at indsamle data. Vores primære fokus skal være at lukke ned for sårbarheder, og det kan vi kun, hvis vi kan frigøre tiden fra fx rapportering. Det er derfor sund fornuft og bedre brug af medarbejdernes tid, hvis vi kan automatisere dataindsamlingen.”  

”Vores primære fokus skal være at lukke ned for sårbarheder, og det kan vi kun, hvis vi kan frigøre tiden fra fx rapportering."

Katrine Stegman, Informationssikkerhedskonsulent i Gentofte Kommune

Rapportering i Insight Analytics sikrer konsistent indsamling af data

Gentofte Kommune brugte Excel til dataindsamling og rapportering indtil compliance værktøjet i Insight Analytics blev udviklet. 

”Udfordringen for Gentofte Kommune har været, at det er svært at sikre en konsistent dataindsamling, da data vi har modtaget fra vores specialister, i høj grad har været afhængig af den enkelte medarbejder. Hvis en medarbejder er stoppet, har vi skulle involvere en ny medarbejder, som ikke nødvendigvis forstår kravet på samme måde som den forrige og derfor ikke nødvendigvis bruger den samme metode i dataindsamlingen. Det betyder, at dataindsamlingen bliver inkonsistent, og så er det svært at måle på forbedringerne. I Insight Analytics er dataindsamlingen den samme hver gang, og vi har et tydeligt overblik over, hvor vi skal forbedre os. Derudover sikrer rapportmotoren, at vi proaktivt kan give en status og dokumentere udviklingen på de enkelte krav til alle interessenter i kommunen. Det sparer os for en masse tid og bøvl” forklarer Katrine Stegman. 

gentofte

Compliancerapporteringsværktøj udviklet i tæt samarbejde mellem Gentofte Kommune og twoday

Gentofte Kommune anvendte i forvejen Insight Analytics til at sikre den basale IT-sikkerhedshygiejne. Derfor var det meget naturligt at samarbejde om udviklingen af det nye rapporteringsværktøj målrettet Kommunernes Tekniske Minimumsstandarder.  

“twoday præsenterede os for ideen om et værktøj vi kunne udvikle sammen til at automatisere besvarelsen af Kommunernes Tekniske Minimumsstandarder og skabe et solidt overblik for os. I løbet af efteråret 2024 har vi haft løbende dialog, hvor vi er kommet med vores feedback til værktøjet, som twoday så har implementeret. Således står vi nu med et værktøj i hånden, som vi selv har kunne sætte vores præg på for at løse den hovedpine, vi har haft med afrapportering på KL’s krav”, udtaler Katrine Stegman.  

Baggrund

Formålet med anbefalingerne er, at det skal være et værktøj, der kan lette opgaven i den enkelte kommune med at vurdere, hvad der er et tilstrækkeligt minimumsniveau for sikkerhed i det tekniske udstyr.

Yderligere er formålet med anbefalingerne, at de skal understøtte god beskyttelse af it-udstyr og netværk mod hackerangreb og malware. Og dermed at beskytte medarbejdere og borgeres oplysninger mod at blive kompromitteret eller misbrugt.

Kilde: KL 

Cybersecurity forsvaret båndlægger ressourcerne i Kommunerne

KL har for nyligt fremlagt data, der viser af ni ud af ti kommunale IT-chefer påpeger, at cybertruslen er større end, hvad de har ressourcer til at håndtere. Det udgør en signifikant sikkerhedsrisiko i kommunerne.  

»Det handler ikke bare om at købe nye antivirusprogrammer. Det handler om at risikovurdere hele sin it-infrastruktur og afklare, hvor og hvordan man kan blive angrebet, og hvordan man bedst beskytter sig mod det. Det er enormt ressourcekrævende. Og hver gang vi finder en ny måde at beskytte os på, så finder de cyberkriminelle på nye måder at angribe os på,« forklarer Jacob Herbst, der er forperson for regeringens nationale Cybersikkerhedsråd.

Kilde: KL 

Truslen mod offentlige myndigheder er høj

Truslen mod offentlige myndigheder er desværre høj.  

I december 2024 blev 17 kommuner ramt af et cyberangreb, der lammede kommunernes hjemmesider, I følge Computerworld. 

I følge Center For Cyber Sikkerhed (CFCS) er truslen for cyberkriminalitet mod danske myndigheder, virksomheder og borgere meget høj. I CFCS seneste trusselsvurdering står der blandt andet at “Det er meget sandsynligt, at danske myndigheder og virksomheder vil blive ramt af cyberkriminalitet inden for de næste to år.” I løbet af 2024 hævede CFCS desuden truslen for destruktive cyberangreb fra lav til middel.