De siste ukene har fokus på datasikkerhet kommet stadig høyere på agendaen, og dette har vært tema også tidligere i vårt kommunestyre, senest 7.mars da vi vedtok IKT samarbeid for Innherred.

Russlands invasjon av Ukraina har medvirket til større usikkerhet rundt trusselnivået, og Kommunal- og distriktsdepartementet og KS har bedt kommunene vurdere sin egen sikkerhets- og sårbarhetssituasjon. I brev til alle landets kommuner av 9. mars bes kommunene vurdere følgende;

1) Sikkerhetsovervåkning

a) Verifiser om kommunen har nødvendig sikkerhetsovervåkning av IKT-systemer for å kunne oppdage dataangrep og datainnbrudd, og at kommunen har nødvendig bredredskap for å kunne håndtere dette.

b) Hvis kommunen selv ikke har driftsansvaret for IKT-systemer, må driftsleverandør(er) kontaktes for å verifisere om de har nødvendig sikkerhetsovervåkning av IKT-systemer, og i en forlengelse av dette, nødvendig beredskap for å håndtere et dataangrep og datainnbrudd.

c) Kommunen bør etterspørre og verifisere hos leverandøren hvilke tiltak som er gjennomført for sikkerhetsovervåkning og beredskap for å håndtere dataangrep og datainnbrudd.

2) Sikring av kritiske funksjoner og tjenester

a) Verifiser om det er kartlagt hvilke funksjoner/tjenester i kommunen som anses som kritiske. Sjekk også hvilke konsekvenser det vil ha for kommunens funksjonsevne hvis IKT-systemene blir utilgjengelige, eller mister tillitt fordi data er manipulert eller på avveie.

b) Verifiser om kommunen har oppdaterte beredskap- og kontinuitetsplaner for bortfall av tjenester. Vurder videre om kommunen har nødvendig kapasitet til å opprettholde sin funksjonsevne, spesielt på kritiske tjenester, hvis IKT-systemer faller ut over lengere tid.

c) Verifiser om det finnes gjenopprettelsesrutiner, og om backup er plassert slik at denne ikke kan bli manipulert eller ødelagt.

d) Flere leverandører av programvare har utviklings- og supportavdelinger i landene som nå er involvert i konflikten. Verifiser med leverandør om hvordan leverandøren håndterer situasjonen hvis de har utviklings- eller supportavdeling i de aktuelle landene.

3) Beskytte tjenester som er tilgjengelig på Internett.

- Undersøk om to-faktor autentisering er implementert. Dette gjelder spesielt for digitale tjenester som er tilgjengelig over internett.

- Hvis ikke, undersøk hvor fort dette kan implementeres, og hvilke risikoreduserende tiltak som er gjennomført for å beskytte slike tjenester.

4) Årvåkenhet og teknologi.

- Det bør sendes ut varsel til organisasjonen at alle bør være ekstra årvåkne når de mottar epost

- Kommunen bør vurdere å kartlegge om det finnes konkrete interne eller eksterne trusler som kan utgjøre en risiko for kommunens funksjonsevne.

- Se anbefalinger og tiltak publisert av JustisCERTii og HelseCERTiii, og følg opp der det er relevant.

Mitt spørsmål ordfører er hvordan dette er fulgt opp for Inderøy kommunes del?

Forslag til vedtak:

Kommunedirektøren bes følge opp anbefalinger fra Kommunal- og distriktsdepartementet og KS i brev av 9.mars, og evt ytterligere tiltak for å forhindre cyberangrep mot vår digitale infrastruktur.

Ragnar Ørdal, Senterpartiet