Denne artikkelen er produsert og finansiert av NTNU - les mer.
Derfor må kommuner øve mer på cyberangrep
Når en kommune rammes av et cyberangrep, kan kritiske tjenester som helse, vann, skole og omsorg raskt bli satt ut av spill.
Fra en øvelse i Norwegian Cyber Range i 2021 med Statsforvalteren og studenter ved NTNU i Gjøvik.(Foto: Kenneth Nordahl Pedersen / NTNU)
Maria LillemoenMariaLillemoenRådgiver
NTNU NTNU
Publisert
Da ansatte i Østre
Toten kommune slo på datamaskinene 9. januar 2021, møtte de et digitalt mørke.
Systemer var nede, data kryptert og kommunen var satt ut av spill. Et løsepengevirus hadde lammet alt fra helsejournaler til lønn og skole.
Kaoset som fulgte, avslørte hvor sårbar norsk kommunesektor er når cyberangrepene først treffer.
Angrepet ble en viktig påminner om at alle kommuner må øve. Øvelser gjør ansatte bedre forberedt, avdekker sårbarheter og sikrer at kritiske tjenester kan holdes i gang når krisen treffer.
– Når alt skjer rundt deg i sanntid, og du kjenner på stresset, blir læringen mer ekte, sier forsker Guro Bråten Olsborg.(Foto: Kai Torgeir Dragland / NTNU)
Når halve landet mangler kompetansen
som trengs
Norske kommuner er
hjertet i mange av tjenestene vi bruker hver dag. Skole, helse, snøbrøyting,
grusspyling, barnehage, vann og eldreomsorg er noen eksempler.
Samtidig
melder halvparten av kommunene i Norge at de mangler kritisk kompetanse innen
informasjonssikkerhet.
Forskere ved NTNU
peker på en ny type øvelser for å heve beredskapen blant kommunene.
– En digital krise
handler aldri bare om systemer som kollapser. Den handler om kultur, roller,
ansvar, kommunikasjon og prioriteringer, sier forsker Guro Bråten Olsborg.
Olsborg står bak en
ny studie som viser at kommuner lærer mest av det forskerne kaller
sosiotekniske øvelser. Det vil si øvelser som ikke bare presser IT‑systemene,
men hele organisasjonen.
For det hjelper lite å ha en brannmur i eliteklassen
hvis folk ikke vet hvem som bestemmer hva når en krise treffer.
Hva skjedde når kommunene faktisk
trente?
Forskerne intervjuet
ansatte fra fire kommuner ett år etter at de hadde deltatt i en realistisk
cyberøvelse ved Norwegian Cyber Range.
De ville vite hva de satt igjen med over
tid, ikke bare dagen etter.
Resultatet var
tydelig:
Kommunene forbedret rutinene sine ved å oppdage hva som manglet og
deretter justerte de planene.
Arbeidsmåtene ble også endret, ansatte ble mer
bevisste på hvem som har ansvar for hva.
Mange fikk en helt ny forståelse av
hvordan deres egen jobb påvirker sikkerheten. I tillegg ble enkelte strukturer
faktisk lagt om.
Annonse
Det realistiske presset gjør at deltakerne må handle i stedet for å diskutere seg frem til løsninger, og planlagte stopp underveis gir rom for refleksjon og justering idet situasjonen utvikler seg.(Foto: Kenneth Nordahl Pedersen / NTNU)
– Vi trodde vi visste hva som var viktig
To av kommunene innførte nye roller for å sikre bedre flyt
mellom IT og kriseledelse.
– Vi trodde vi visste
hva som var viktig. Det gjorde vi ikke, sier en av deltagerne i studien.
Et av de tydeligste
funnene i studien er at kommunene fikk et mer realistisk bilde av hvilke
systemer som faktisk er kritiske.
Flere ble overrasket. Fordi når de i en
øvelse må avgjøre hvilke tjenester som skal skrus på først, så blir
prioriteringen tydelig.
Er det skole, helse eller vann som er på toppen av
lista? Det blir det fort klart hvilke konsekvenser som oppstår for
innbyggere.
Det skaper bedre prioriteringer og mer treffsikre tiltak.
Hvorfor øvelsene virker
Studien peker på
flere grunner til at denne typen øvelser skaper varig læring.
Det realistiske
presset gjør at deltakerne må handle i stedet for å diskutere seg frem til
løsninger.
Planlagte stopp underveis gir rom for refleksjon og justering
idet situasjonen utvikler seg.
I tillegg tas
deltakerne helt ut av hverdagen, noe som bidrar til sterkere og mer
minneverdige læringsopplevelser.
Annonse
– Når alt skjer rundt
deg i sanntid, og du kjenner på stresset, blir læringen mer ekte, sier Olsborg.
Forskjellen mellom kontroll og kaos
For kommune‑Norge
peker sosiotekniske øvelser ut en tydelig retning. De gir et mer realistisk
bilde av hvordan en digital krise faktisk utspiller seg, ikke på papiret, men i
praksis.
Her trener kommunene
på samhandling, kommunikasjon og harde prioriteringer, samtidig som de får
kjenne tempoet i cyberhendelser som ofte varer i ukevis.
– Øvelsene gir ikke
bare bedre prosedyrer, men et endret tankesett og en tydeligere forståelse av
ansvar og organisering, sier Olsborg.
Når trusselaktører
kan slå en kommune tilbake til penn, papir og telefax over natten, slik Østre
Toten erfarte, er det denne felles forståelsen som kan utgjøre forskjellen
mellom kontroll og kaos.
