Strategi og ledelse

Sikkerhed i den offentlige sektor

I de senere år har arbejdet med sikkerhedsspørgsmål i den offentlige sektor gennemgået en positiv udvikling. Sikkerhedsperspektivet får større plads i forbindelse med strategiske IT-projekter og implementering af ny teknologi. Samtidig har man øget støtten til samfundet og erhvervslivet, og kommunikationen er blevet tydeligere.

Gennem strengere lovgivning, både på nationalt plan og på EU-plan, har forskellige regulerende myndigheder fået flere beføjelser og større ansvar. Det har nogle gange ført til vanskelige diskussioner om ansvar og ansvarsfordeling, blandt andet omkring korrekt håndtering af data under og efter indkøb, løbende overholdelseskontrol og selve den måde, man anvender cloud-tjenester på.

Denne artikel er en del af den længere rapport ”Sikkerhedsudfordringer i digitaliseringens tidsalder”.

Download rapporten + værktøj til sikkerhedsanalyse

Stigende opmærksomhed

Der er stigende opmærksomhed på denne problematik i både den offentlige og private sektor, og i dag ser mange større virksomheder på digitaliseringsrisikoen som mere end et branchespecifikt problem. Fra offentlig side er man i Sverige opmærksom på den samlede forsvarsevne og gråzoneproblemet i forbindelse med forskellige nationale sikkerhedsdebatter, f.eks. det fremtidige 5G-netværk, og det nye nationale cybersecuritycenter har bidraget til større konsensus på området.

I Radars netop gennemførte målinger af barrierer for sikkerhedsarbejdet betragtede private aktører støtte fra nationale myndigheder (råd, tip og hjælp) som den mindste forhindring. Mangler hos udbydere af sikkerhedsløsninger og forsinkede applikationsopdateringer blev i denne sammenhæng oplevet som mere problematiske. Mange statslige aktører og institutioner har hermed fået en stærkere profil i denne sammenhæng.

Positive toner for en statslig sky

I Radars seneste dataindsamling fra både den offentlige og den private sektor ser man en stor støtte fra IT-beslutningstagere i den offentlige sektor til en løsning, som kan føre til statslige cloud-tjenester. Hele 54 procent er positive, mens kun 7 procent er negative over for en statsligt drevet sky. At de resterende 39 procent er neutrale eller negative er ikke overraskende på grund af den udbredte usikkerhed.

Selvom en stor del af cyber- og informationssikkerhedsarbejdet i den offentlige sektor har en politisk dimension, ser det ud til, at styring og initiativer driver udviklingen fremad. Oprettelsen af et cybersikkerhedscenter og indførelsen af en cyberværnepligt er tegn på, at cybersikkerheden har fået en fortjent højere placering på dagsordenen.

Man måler ikke, sådan som man vurderes

Selvom informations- og cybersikkerhed er kommet højt op på dagsordenen, viser Radars data relativt store forskelle på, hvordan IT-organisationen oplever, at man måler og vurderer sit eget arbejde sammenlignet med, hvordan andre områder i virksomheden vurderer det samme.

Driftsstabilitet, målt i antal problemer/sager og tilgængelighed, er et vigtigt målepunkt for 71 procent af IT-organisationerne, mens kun 19 procent af den resterende del af virksomheden bruger det til at måle sin IT. I stedet bruger man i højere grad budgetopfyldelse samt kunde- og brugertilfredshed ved vurderingen af sin egen IT-organisation. Forskellene kan delvis forklares med, at drøftelser om budgetter og projektomkostninger foretages regelmæssigt og bredt, og det samme gælder brugertilfredshed og kundetilfredshed.

Driftsforstyrrelser og afbrydelser bliver først vigtige variabler for virksomheden uden for IT-organisationen, når forretningen bliver ramt, eller sandsynligheden for dette øges, for eksempel i forbindelse med ændringsprocesser.

Strategi og overholdelse er en stor udfordring

Ifølge IT-organisationerne i den offentlige sektor findes de største sikkerhedsudfordringer på det strategiske og driftsmæssige område. Det omfatter bl.a. etableringen af en struktur med procedurer for overholdelse samt uddannelse og øget viden med henblik på en styrkelse af informationssikkerheden.

Radars data viser, at flere forskellige forebyggende foranstaltninger enten er ved at blive indført eller allerede foretages løbende. Omkring 44 procent i den offentlige sektor oplyser, at øvelser inden for krise- og hændelsesstyring er i gang med at blive indført, og næsten en lige så stor andel arbejder kontinuerligt med overholdelsesspørgsmål. Det er en stor forskel i forhold til tidligere og kan sammenlignes med den aktuelle oprustning af vores samlede forsvarsevne helt ned til de offentlige organer, der er kritiske for samfundet.

Satsninger inden for det strategiske og operationelle sikkerhedsarbejde ses ikke kun i den offentlige sektor. De kan også aflæses i den generelle markedsudvikling for cybersikkerhedsrelaterede produkter og tjenester. Særligt bemærkelsesværdig er tendensen hos de virksomheder, som Radar anser for at have en høj sikkerhedsforståelse. Relativt set er investeringen i tekniske sikkerhedsløsninger hos disse virksomheder faldende, mens man investerer mere i driftsmæssige sikkerhedsløsninger.

Klare retningslinjer efterspørges

De øgede ressourcekrav til strategi og overholdelse er til en vis grad en reaktion på den øgede kompleksitet. I nogle tilfælde har denne kompleksitet skabt stor usikkerhed. Et eksempel er anvendelsen af visse cloud-tjenester i lyset af den amerikanske Cloud Act. Usikkerheden skyldes til en vis grad en ubalanceret FUD-retorik (Fear, Uncertainty, Doubt) i kombination med forholdsvis nye hændelser i den offentlige sektor.

Tydeligere retningslinjer styrker forudsætningerne for en vellykket digitalisering og mindsker samtidig risikoen for problemer. Derfor er det positivt, at man fra statslig side har valgt at undersøge spørgsmålet. Uanset om det gælder implementering af AI-løsninger i mindre skala eller informationslagring i større skala, så efterspørges der retningslinjer og afklaring omkring brugen af cloud-tjenester i den offentlige sektor.

Vi vil med stor sandsynlighed se hårdt tiltrængte ændringer på centralt plan, hvad angår strategi og retningslinjer. Men indtil da er det vigtigt ikke at blive for passiv og defensiv, da det kan føre til øget risiko og en mindsket generel sikkerhed.

Download rapporten + værktøj til sikkerhedsanalyse

Læs også:

Sikkerhed i en bølge af digitalisering
Sikkerhed og cloud-tjenester
Webinar: State of security in the Nordics