Utredning om behovet for et Kommune CSIRT


NorSIS publiserer nå en utredning om behovet for et Kommune CSIRT

NorSIS har på oppdrag utredet behovet for en håndteringskapasitet i kommunal sektor. KS har vært prosjekteier, og Gjøvik kommune og Lillehammer kommune har vært utøvende prosjekteiere. Arbeidet ble finansiert av Oppland fylkeskommune. Mandatet for utredningen ble forankret hos KommIT-rådet i KS gjennom en prosess hvor KS faggruppe for informasjonssikkerhet og personvern, Fylkeskommunalt IKT-forum, KINS, NORSIS, Lillehammer kommune, Gjøvik kommune, Cyberforsvaret og Fylkesmannen i Oppland var involvert.

Bakgrunn

Kommunenes avhengighet av IKT for produksjon og leveranser av kommunale tjenester øker, samtidig som digitale trusler øker i både omfang og alvorlighet. Datakriminalitet, digital aktivisme og trusler fra fremmede stater kan føre til at kommunene ikke lenger kan levere de tjenestene som innbyggerne forventer på en effektiv måte.

Riksrevisjonen, Datatilsynet og Digitalt sårbarhetsutvalg har imidlertid påpekt en rekke brudd på personvernreglene, alvorlige svakheter i informasjonssikkerheten og kompetansemangel innen IKT-sikkerhet i kommunene.

KS’ (kommunesektorens organisasjon) rolle er å samordne digitaliseringsarbeidet i kommuner og fylkeskommuner, å ivareta kommunesektorens behov i statens digitaliseringsaktiviteter og å sørge for gode rammevilkår for digitalisering i kommuner og fylkeskommuner.

Regjeringen la i 2016 frem Meld. St. 27 (2015-2016) Digital agenda for Norge. IKT for en enklere hverdag og økt produktivitet. Meldingen presenterer regjeringens overordnede politikk for hvordan vi kan utnytte IKT til samfunnets beste.

Nåsituasjonen

Nåsituasjonen i kommunal sektor viser at det er ingen aktører som i dag beskriver et helhetlig situasjonsbilde (trusler, sårbarheter, hendelser og sikkerhetstiltak) for sektoren, og det er heller ingen aktører som i dag har ansvar for varsling og informasjonsdeling mellom alle kommuner, fylkeskommuner og andre håndteringsmiljøer i sektoren.

Noe varsling og deling av informasjon finner sted, primært sentrert rundt eksisterende hånd- teringsmiljøer og i kommuner som har kompetanse og kapasitet til dette. Videre har kommunal sektor i dag ikke et felles ressurs- eller kompetansesenter som kan støtte kommunene med tekniske analyser, eller teknisk eller metodisk støtte ved håndtering av IKT-hendelser

Det er heller ikke formalisert et kontaktpunkt for kommunal sektor i den nasjonale CERT-strukturen. Deler av kommunal sektor dekkes gjennom kontaktpunktene i øvrige responsmiljøer som HelseCERT, KraftCERT og NorCERT.

Behov og anbefaling

Utredningen har kartlagt og beskrevet de felles behovene for støtte til håndtering av IKT-sikkerhetshendelser. Kommunal sektor har behov for støtte til håndtering av hendelser, etablering av et felles situasjonsbilde, støtte til analyser av digitale elementer, støtte til opplæring og kompetanseheving og støtte til veiledning, rådgiving og revisjon.

Basert på de felles behovene er det beskrevet tre løsningsalternativer for et mulig Kommune CSIRT. Alternativ 1 beskriver et håndteringsmiljø som er overordnet og koordinerende, mens Alternativ 2 beskriver et håndteringsmiljø som er teknisk og utøvende. Ingen av disse miljøene dekker imidlertid det totale behovet for støtte til håndtering av IKT-hendelser i kommunal sektor. Alternativ 3 dekker tjenestene i både Alternativ 1 og 2, og dekker således alle felles behov.

Utredningen belyser i tillegg forhold knyttet til hvilken kapasitet et slikt senter kan ha, samt ulike løsninger for organisering, finansiering og lokalisering.

Basert på alle fakta som har fremkommet i arbeidet med utredningen, og basert på egen erfaring med kompetansemiljøer for håndtering av IKT-hendelser, har NorSIS gitt sin anbefaling til løsning. NorSIS anbefaler at kommunal sektor velger å etablere et håndteringsmiljø tilsvarende beskrivelsen for Alternativ 3, og at det i oppstartsfasen legges vekt på tjenestene som er beskrevet for Alternativ 1.

Utredningen ble overlevert prosjekteierne ved prosjektets avslutning i desember 2017, men er ikke publisert nå av hensyn til KS’ behandling av utredningen.

Rapporten er tilgjengelig her: Utredning Kommune CSIRT

Prosjektets styringsgruppe (utpekt av KS):

Prosjekteierne:

Gjøvik kommune ved Aasbjørn Pålshaugen (Leder styringsgruppen),

Lillehammer kommune ved Eirik Haagensen og

KS ved Anne Mette Dørum

KS’ Faggruppe for informasjonssikkerhet og personvern:

Oslo kommune ved Lise Arneberg og Rune Hagen,

Trondheim kommune ved Ole-Bjørn Nordland,

Bergen kommune ved Gøran Breivik,

Moss kommune ved Terje Jensen,

Bærum kommune ved Trond Sundby,

Aust-Agder Fylkeskommune/IKT Agder ved Tonny Morewood,

Fylkesmannen i Oppland ved Asbjørn Lund og

KINS ved Steinar Nørstebø

Prosjektets referansegruppe:

Kommunal- og Moderniseringsdepartementet,

Justis- og beredskapsdepartementet,

Nasjonal Sikkerhetsmyndighet,

Direktoratet for forvaltning og IKT,

Datatilsynet,

Cyberforsvaret,

Center for Cyber and Information Security, KINS,

NorCERT,

KraftCERT,

HelseCERT,

FinansCERT og

UninettCERT