Innledning
Hva?
Denne temaveilederen gir et hjelpemiddel til kommunene for å kartlegge sårbarheter i digitale systemer, konsekvenser ved uønskede digitale hendelser og identifisering av mulige risikoreduserende tiltak.
Veilederen inneholder råd til kommunene uten et bestemt juridisk oppheng. Det er mange lover som gir krav til kommunene på området digital sikkerhet og kommunene forutsettes å være kjent med disse.
Veilederen har som formål øke bevisstheten om digitale trusler og digital sikkerhet i samfunnssikkerhetsarbeidet til kommunene.
Ofte forbinder vi risikoreduserende tiltak innen digital sikkerhet med dyre, omfattende tiltak. Et mål med denne veilederen er å også peke på de mer lavthengende tiltakene som like fullt kan være vesentlige bidrag i å redusere risiko.
Hvorfor?
Digitale systemer er sentrale for alle samfunnsfunksjoner. Feil i digitale systemer vil kunne få store konsekvenser på alle nivåer i en kommune. Kommunene er helt sentrale i arbeidet med samfunnssikkerhet og beredskap, og innenfor totalforsvaret. Kommunene er tjenesteprodusenter, myndighet, samfunnsutviklere og en helt sentral demokratisk arena. Digital sikkerhet er derfor avgjørende for å ivareta viktige verdier som liv og helse, nasjonale sikkerhetsinteresser og kritiske samfunnsfunksjoner.
Erfaringer fra andre store hendelser (for eksempel dataangrepet i Østre Toten kommune) tilsier at det kan ta måneder før systemene er oppe å gå igjen, og man ikke er garantert å få tilbake komplette datasett. Det betyr at kommunen må være innstilt på å jobbe uten digitale verktøy i en lang periode, og at det må foretas en prioritering med hensyn til hvilke systemer som skal gjenopprettes først.
Arbeidet med å redusere risiko og sårbarhet knyttet til digitale hendelser må derfor inngå i kommunens ordinære risikostyringsprosess. Veilederen skal bidra til dette.
For hvem?
Hovedmålgruppen er kommunene. Veilederen kan brukes både av enkelt etater i kommunen for å kartlegge sårbarheter innenfor en etat, og i felles overordnede prosesser på tvers av kommunale etater. Veilederen vektlegger å koble IKT-miljøet i kommunen med øvrig beredskapsarbeid i arbeidet med kartlegging av sårbarheter.
Foto: Colourbox
Oppbygging og metode
Del 1: Kartlegging av digitale systemer og sårbarheter
Her finner kommunen spørsmål som kan være til hjelp for å få oversikt over digitale systemer i kommunen, hvem som bruker hvilke systemer, avhengigheter mellom systemer, leverandøravhengigheter og eventuelle andre forhold i kommunen som påvirker sårbarhetsbildet.
Dette arbeidet er en forberedelse til del 2. Arbeidet i del 1 og 2 kan gjøres i separate arbeidsmøter, eller det kan gjøres i én sesjon som går over flere timer. Som et minimum, bør IT-leder og beredskapskoordinator jobbe med dette sammen, men det kan også være hensiktsmessig å involvere andre. Arbeidet kan også gjøres ute i de enkelte virksomhetene.
Del 2: Scenarioanalyse og tiltak
I denne delen finner kommunen et scenario som kan være til hjelp for å vurdere hvordan en uønsket digital hendelse kan arte seg i form av konsekvenser for kommunen, og kartlegging av eksisterende tiltak i kommunen.
Dette arbeidet er en fortsettelse av del 2. Arbeidet i del 1 og 2 kan gjøres i separate arbeidsmøter, eller det kan gjøres i én sesjon som går over flere timer.
Som et minimum, bør IT-leder og beredskapskoordinator jobbe med dette sammen, men det kan også være hensiktsmessig å involvere andre. Arbeidet kan også gjøres ute i de enkelte virksomhetene. På dette punktet vil det være en fordel å involvere deler av kriseledelsen.
De neste bolkene tilhører del 2.
Hva skjer umiddelbart i håndteringen?
Her skal dere gå gjennom hendelsesforløpet og vurdere hvordan dere ville håndtert et lignende scenario. Vi har foreslått å gjøre dette i et analyseseminar.
Hvilke tiltak kan innføres?
I denne bolken skal dere identifisere tiltak som kan bidra til å redusere konsekvensene av hendelsen, med særlig oppmerksomhet på "lavthengende frukter". Disse tiltakene kan være en blanding av tiltak som på sikt forbedrer motstandsdyktigheten og dermed evnen til å ivareta kontinuitet i tjenesteleveransene, og tiltak som umiddelbart gir en effekt.