I 2009 blev Frederiksberg Kommune ramt af et virusangreb, der hærgede kommunens netværk i mere end 40 dage.
Angrebet gik ikke mindst ud over borgerne, og det viste med al tydelighed, hvorfor det er vigtigt at have styr på sikkerheden i det offentlige.
Rapporten "Det Digitale Samfund" fra IT- og Telestyrelsen viser, at det offentlige generelt har skruet op for sikkerheden, men ud fra tallene er kommunerne tilsyneladende milevidt fra de statslige institutioner.
"Jeg tror, at staten har mere styr på formalia, end vi har, men om forskellen er så stor i praksis, er jeg ikke sikker på," lyder det fra Michael Hald, it-konsulent i KL, Kommunernes Landsforening.
Stor forskel
Tallene viser, at 57 procent af myndighederne opdaterede deres beredskabsplan regelmæssigt i 2009. I 2008 var det kun 48 procent, der gjorde det.
Derudover sikrer flere løbende it-sikkerhedsuddannelse til medarbejderne, og den ledelsesgodkendte sikkerhedsstyring efter standarden DS484 anvendes hos 77 procent af myndighederne - 13 procent højere end året før.
Imidlertid er forskellen mellem stat og kommune stor. Eksempelvis har 63 procent af kommunerne implementeret DS 484 mod 92 procent af staten.
"Der er nok ingen tvivl om, at staten er lidt længere fremme på de formelle sider, fordi de har øvet sig i længere tid, og fordi de skal overholde det her. Det skal kommunerne ikke. Vi anbefaler bare at de overholder den standard," siger Michael Hald, som ikke nødvendigvis mener, at efterlevelse af alle de officielle standarder er lig med en høj beskyttelse.
"Noget af det handler om mere formelle beskrivelser af sikkerhedsprocedurer, som er vældig godt, men som ikke nødvendigvis fortæller noget om den reelle sikkerhed," uddyber han.
Hvad med forretningen?
Der er også en markant forskel, når det gælder it-beredskabsplanerne. 75 procent af de statslige institutioner har opdateret deres beredskabsplan inden for de seneste to år. Det er kun tilfældet hos 39 procent af de kommunale institutioner.
Michael Hald peger på, at staten selv sidder med it-systemerne og ansvaret, mens it'en hos kommunerne ofte ligger hos en leverandør.
Her må man stole på, at leverandøren overholder et tilstrækkeligt niveau, men man kan næppe få 100 procent garanti.
"Kommunen kan ikke lave beredskabsplan for en leverandør. Man kan stille krav, men reelt kan det næppe kontolleres. Det man kan gøre er at lave en beredskabsplan for at løse opgaven, hvis leverandøren af en eller anden årsag ikke kan holde en løsning kørende," siger han og peger på, at kommunerne sidder med relativt få, meget kritiske, systemer som eksempelvis handler liv og død på kort sigt.
Derudover er ligeså relevant at se på, om resten af forretningen har en beredskabsplan i tilfælde at it-nedbrud.
"Den tekniske platform, som it-folk bestemmer over, er der styr på, tror jeg. Jeg er mere bekymret for resten. Det er ret nemt at lave en plan for isenkrammet, men hvordan får man kørt mad ud til 800 pensionister, som skal have noget varmt at spise hver dag, hvis computeren er gået ned?"
Større trusselsbillede
De største it-spøgelser har fra 2007 til 2009 været virusangreb, som efterfølgende har betydet tab af data og arbejdstid. Antallet af myndigheder, der er blevet ramt, er steget fra 19 procent i 2007 til 30 procent i 2009.
Datatab på grund af manglende backup er steget fra 10 til 15 procent, uautoriseret adgang til systemer og data er steget fra fem til 12 procent og økonomisk it-misbrug er hoppet fra en til fem procent.
Kun andelen af myndigheder, der har oplevet denial of service-angreb, er faldet i forhold til 2007, hvor den lå på 15 procent. Den lå i 2009 på 13 procent.
