Konsulenter: Cyberangrebene bliver kun værre. Derfor må kommunerne trykteste deres beredskab

Men for mig at se er kræfterne givet godt ud. Også selvom det stadig er uklart, hvor meget arbejde og hvilke nye udgifter der venter forude. 

En ting er sikkert: NIS2 lægger op til et mere strategisk risiko- og compliancearbejde med et stærkt sikkerhedsberedskab som hjørnesten.

Det kræver, at de enkelte kommuner ved, hvordan deres eksisterende planer virker i praksis. Derfor passer NIS2 og beredskabstest ufatteligt godt sammen. 

Tests er grænseoverskridende, men nødvendige

Robust it-sikkerhed handler ikke kun om teknologi og processer, men om mennesker og evnen til at agere under pres. En effektiv måde at ruste sig til det uventede på er gennem realistiske stresstest af beredskabet.

It-sikkerhed er ikke en opgave, vi nogensinde kommer til at sætte et fuldfedt flueben ved. Det er en opgave, der aldrig slutter.

Claus Strawbridge
Kommerciel direktør, Banshie

Selvom testen selvfølgelig ikke er svaret på alle NIS2-udfordringer, kan den give flere væsentlige indsigter. 

Kommunens it-sikkerhedsteam kan blandt andet få en dybdegående forståelse af beredskabsplanen i praksis og de defensive og offensive aspekter af cybertrusler og derigennem blive klogere på, hvad der fungerer – og hvad der ikke gør.

Med den viden kan de udarbejde NIS2-GAP analyser og på den baggrund yderligere styrke beredskabet.  

Det er både en selvfølgelighed i metermål, men samtidig det, jeg ofte oplever som hæmskoen for at give beredskabet et reality check. Netop frygten for at få udstillet de blinde vinkler. 

Og det kan være grænseoverskridende at sætte en så central del af NIS2-arbejdet under lup. For ja, beredskabsøvelser giver et klart billede af, hvor hullerne i osten er. For de er der – uanset hvor finmasket et net, man har sat op.

It-sikkerhed er ikke en opgave, vi nogensinde kommer til at sætte et fuldfedt flueben ved. Det er en opgave, der aldrig slutter. Og dermed er det vigtigt løbende at afdække tekniske sårbarheder, hvor koordineringen halter, og hvem der trænger til ekstra viden eller træning.

Men beredskabstest handler i lige så høj grad om at vide, hvad der virkelig virker. Så teamet og it-chefen aktivt kan flytte nålen fra: ”Vi tror, det er en god ide” til ”Nu ved vi rent faktisk, at det er en essentiel del af beredskabet.”

Den del må man ikke glemme.  

Den menneskelige faktor er afgørende 

En anden vigtig indsigt er medarbejdernes reaktion under pres – ikke kun teknisk, men også mentalt, og hvordan lederen bruger og beskytter teamets ressourcer.

I en it-krisesituation er det ikke kun firewalls og adgangskontrol, der er afgørende. Den menneskelige faktor spiller en lige så stor rolle. 

Langt de fleste kommuner har allerede veldefinerede beredskabsplaner. Men hvornår har de sidst tryktestet dem?  

Claus Strawbridge
Kommerciel direktør, Banshie

Faktisk oplever flere it-sikkerhedsteam under tests ofte, at faktorer som søvn, pauser og mulighed for at se familien fyldte helt op til 80 procent af beredskabet, mens stormen raser.

Det er en indsigt, som ikke ses på papiret, men først bliver synlig i praksis, og som kan gøre forskellen, den dag det virkelig gælder. 

Test er ikke en engangsforestilling 

Langt de fleste kommuner har allerede veldefinerede beredskabsplaner. Så det er ikke her, det springende punkt for mig er, men snarere spørgsmålet, hvornår de sidst har tryktestet dem? 

NIS2 tvinger os til at arbejde med it-sikkerhed på en ny måde. Og her bliver stresstest en øjenåbner, når beredskabet går fra en skrivebordsøvelse til en operationel realitet.

Men i stedet for at se det som en byrde bør vi se det som en oplagt anledning til at styrke og teste vores forsvar. Og ikke blot som en generalprøve, når planen er lagt, men som en fast del af sikkerhedsstrategien, så beredskabet løbende testes, evalueres og justeres.