Ifølge IT-Branchen er cybersikkerheden i den offentlige sektor nået et kritisk punkt. Organisationen henviser til nye tal, der viser, at 57 procent af offentlige myndigheder inden for det seneste år har været ramt af cyberangreb, som direkte har påvirket den daglige drift.
Vores søstermedie Regional-Indsigt har tidligere skrevet om, hvor grelt det står til med sikkerheden i regionerne. Rigsrevisionen fastslog bl.a. i begyndelsen af sidste år regionerne indsats for at beskytte sundhedsdata mod cyberangreb ikke var tilfredsstillende.
Siden har vi haft en stribe af uheldige sager på den front, hvor en ekspert beskrev det som et mirakel, at endnu ingen er døde, selv om der har været alvorlige nedbrud..
Budskabet i en pressemeddelelse fra IT-Branchen er klart: cybersikkerhed er ikke længere et teknisk eller strategisk fremtidsspørgsmål, men et aktuelt forvaltningsproblem med konsekvenser for myndighedernes evne til at løse deres kerneopgaver.
Det billede understøttes af den seneste skarpe kritik fra Rigsrevisionen af Statens It. Her gennemgik rigsrevisorerne mere end 11.600 enheder af netværksudstyr og konstaterede, at stort set alt udstyr havde kendte kritiske sårbarheder – sårbarheder som i langt de fleste tilfælde kunne være fjernet gennem almindelige sikkerhedsopdateringer.
Kan bruges som bagdør
IT-Branchen kobler de konkrete fund direkte til en bredere samfundsrisiko. Troels Johansen, chefkonsulent med ansvar for cybersikkerhed, advarer mod konsekvenserne af manglende handling:
”Den manglende sikkerhed er et kæmpe problem. Hvis en hacker får adgang til de lokale netværk, kan driften forstyrres, data stjæles og adgangen kan bruges som bagdør til Statens It’s centrale netværk med følsomme oplysninger om borgere, virksomheder og staten selv.”
Ifølge IT-Branchen er det særligt alvorligt, at Statens It – trods kendskab til sårbarhederne – har valgt at acceptere risikoen med den vurdering, at sandsynligheden for angreb er lav, og konsekvenserne begrænsede. En vurdering, som Rigsrevisionen eksplicit afviser og i yderste konsekvens har været villig til at sanktionere ved offentligt at navngive ministerier.
Budskabet fra branchen er derfor ikke alene teknisk, men også ledelsesmæssigt:
”Det er farligt, hvis det offentlige ikke har styr på cybersikkerheden. Især når truslen ikke er hypotetisk, men allerede har ramt så mange myndigheder med mærkbare konsekvenser for driften. Politiske beslutningstagere, offentlige ledere og it-ansvarlige bør derfor prioritere cybersikkerheden markant højere – ikke frem mod 2032, men nu.”
Er smertegrænsen nået?
IT-Branchens kritik efterlader samtidig ubesvarede spørgsmål. Branchen kritiserer prioriteringen af et flerårigt moderniseringsprogram, der først forventes fuldt implementeret i 2032 – men vi får ikke et egentligt bud på, hvordan den nuværende styringsmodel for Statens It konkret bør ændres.
Der er heller ingen eksplicit stillingtagen til, hvor ansvaret bør placeres, når risici accepteres på tværs af ministerier, eller hvordan politisk og administrativ ledelse kan holdes ansvarlig for manglende opdateringer, der i princippet allerede var tilgængelige.
Set i et OPS-perspektiv rejser kritikken fra branchen dog et grundlæggende spørgsmål:
Er smertegrænsen for acceptabel cyberrisiko i det offentlige nået – Har vi passeret den røde linje?
Det spørgsmål skal besvares i lyset af, at mere end halvdelen af myndighederne ifølge Rambøllrapporten allerede har oplevet driftsforstyrrelser, er cybersikkerhed ikke længere et internt it-anliggende, men et vilkår for offentlig styring, udbud og samarbejde med private aktører.
For markedet peger sagen på et voksende spændingsfelt mellem langsigtede moderniseringsprojekter og behovet for kortsigtet risikoreduktion. For forvaltningen understreger den, at accepteret risiko også er en aktiv beslutning – med potentielt vidtrækkende konsekvenser for tillid, databeskyttelse og samfundets samlede robusthed.
