Derfor må kommuner øve mer på cyberangrep
Når en kommune rammes av et cyberangrep, kan kritiske tjenester som helse, vann, skole og omsorg raskt bli satt ut av spill.
Da ansatte i Østre Toten kommune slo på datamaskinene 9. januar 2021, møtte de et digitalt mørke. Systemer var nede, data kryptert og kommunen var satt ut av spill.
Et løsepengevirus hadde lammet alt fra helsejournaler til lønn og skole. Kaoset som fulgte, avslørte hvor sårbar norsk kommunesektor er når cyberangrepene først treffer.
Angrepet ble en viktig påminner om at alle kommuner må øve. Øvelser gjør ansatte bedre forberedt, avdekker sårbarheter og sikrer at kritiske tjenester kan holdes i gang når krisen treffer.
Når halve landet mangler kompetansen som trengs
Norske kommuner er hjertet i mange av tjenestene vi bruker hver dag. Skole, helse, snøbrøyting, grusspyling, barnehage, vann og eldreomsorg er noen eksempler. Samtidig melder halvparten av kommunene i Norge at de mangler kritisk kompetanse innen informasjonssikkerhet.
Forsker Guro Bråten Olsborg. Foto: Kai Torgeir Dragland, NTNU
Forskere ved NTNU peker på en ny type øvelser for å heve beredskapen blant kommunene.
– En digital krise handler aldri bare om systemer som faller ned. Den handler om kultur, roller, ansvar, kommunikasjon og prioriteringer, sier forsker Guro Bråten Olsborg.
Olsborg står bak en ny studie som viser at kommuner lærer mest av det forskerne kaller sosiotekniske øvelser, det vil si øvelser som ikke bare presser IT‑systemene, men hele organisasjonen. For det hjelper lite å ha en brannmur i eliteklassen hvis folk ikke vet hvem som bestemmer hva når en krise treffer.
Hva skjedde når kommunene faktisk trente?
Forskerne intervjuet ansatte fra fire kommuner ett år etter at de hadde deltatt i en realistisk cyberøvelse ved Norwegian Cyber Range. De ville vite hva de satt igjen med over tid, ikke bare dagen etter.
Resultatet var tydelig. Kommunene forbedret rutinene sine ved å oppdage hva som manglet og deretter justerte de planene. Arbeidsmåtene ble også endret, ansatte ble mer bevisste på hvem som har ansvar for hva. Mange fikk en helt ny forståelse av hvordan deres egen jobb påvirker sikkerheten. I tillegg ble enkelte strukturer faktisk lagt om. To av kommunene innførte nye roller for å sikre bedre flyt mellom IT og kriseledelse.
– Vi trodde vi visste hva som var viktig. Det gjorde vi ikke, sier en av deltagerne i studien.
Et av de tydeligste funnene i studien er at kommunene fikk et mer realistisk bilde av hvilke systemer som faktisk er kritiske. Flere ble overrasket. Fordi når de i en øvelse må avgjøre hvilke tjenester som skal skrus på først, så blir prioriteringen tydelig. Er det skole, helse eller vann som er på toppen av lista? Det blir det fort klart hvilke konsekvenser som oppstår for innbyggere. Det skaper bedre prioriteringer og mer treffsikre tiltak.
Enda et bilde fra en øvelse i Norwegian Cyber Range i 2021 med Statsforvalteren i Innlandet og studenter ved NTNU i Gjøvik. Foto: Kenneth Nordahl Pedersen, NTNU
Hvorfor øvelsene virker
Studien peker på flere grunner til at denne typen øvelser skaper varig læring. Det realistiske presset gjør at deltakerne må handle i stedet for å diskutere seg frem til løsninger, og planlagte stopp underveis gir rom for refleksjon og justering idet situasjonen utvikler seg.
I tillegg tas deltakerne helt ut av hverdagen, noe som bidrar til sterkere og mer minneverdige læringsopplevelser.
– Når alt skjer rundt deg i sanntid, og du kjenner på stresset, blir læringen mer ekte, sier Olsborg.
- Les også: Velg bort KI-verstinger. Gjør det nå
Forskjellen mellom kontroll og kaos
For kommune‑Norge peker sosiotekniske øvelser ut en tydelig retning. De gir et mer realistisk bilde av hvordan en digital krise faktisk utspiller seg, ikke på papiret, men i praksis.
Her trener kommunene på samhandling, kommunikasjon og harde prioriteringer, samtidig som de får kjenne tempoet i cyberhendelser som ofte varer i ukevis.
– Øvelsene gir ikke bare bedre prosedyrer, men et endret tankesett og en tydeligere forståelse av ansvar og organisering, avslutter Olsborg.
Når trusselaktører kan slå en kommune tilbake til penn, papir og telefax over natten, slik Østre Toten erfarte, er det denne felles forståelsen som kan utgjøre forskjellen mellom kontroll og kaos.
Referanse: Guro B. Olsborg, Grethe Østby, Mohamed Abomhara and Sule Yildirim Yayilgan: An empirical study of socio-technical information security exercises as a tool to foster organizational learning and information security readiness development in Norwegian municipalities
