Arbeidsliv
Stat & StyringDatatilsynet vil kontrollere alle landets kommuner
På den internasjonale personverndagen, onsdag 28. januar, åpner Datatilsynet tilsyn med alle landets 357 kommuner. Det forteller Kristine Stenbro, seksjonssjef for tilsyn i Datatilsynet.
Det er grunn til bekymring for kommunenes ivaretakelse av helt grunnleggende sikkerhetstiltak for å ivareta personopplysningssikkerheten, forteller hun.
Et betydelig antall avvik på personvern i norske kommuner kommer nemlig av noe så grunnleggende som manglende eller utilstrekkelig autentisering i løsningene de bruker.
– Det er for dårlig eller for svak påloggingsmekanisme for en del av systemene. Og da kan konsekvensene bli fryktelig store, sier Stenbro.
Svake påloggingsløsninger
Autentisering, det at man må logge inn med for eksempel passord eller kode, har lenge vært ansett for en god måte å sikre at ikke uvedkommende får tilgang til data. Flerfaktorautentisering ble introdusert for å styrke sikkerheten.
Likevel ser Datatilsynet at flere kommuner bruker løsninger helt uten flerfaktorautentisering, eller med svake flerfaktorautentiseringsløsninger.
I tillegg er det kommet en ny trussel.
Hackere sniker seg rundt
– Vi begynte å merke i fjor at vi fikk et økt antall avviksmeldinger knyttet til omgåelse av tradisjonell tofaktorautentisering. Det vil altså si at flere og flere trusselaktører klarer å finne måter å komme seg forbi disse autoriseringsløsningene på, sier Stenbro.
Hun har forståelse for at det er vanskelig for kommuner å henge med i svingene på den teknologiske utviklingen, men alternativet kan være svært alvorlig.
– For en del svært kritiske systemer, for eksempel pasientjournalsystemer og andre systemer som inneholder svært sensitiv informasjon, så må man gjøre løpende vurderinger på om en tradisjonell tofaktorautentisering faktisk er nok, sier seksjonssjefen.
Ansvaret ligger hos kommunen
Autentisering er sjeldent noe kommunene setter opp selv, men en løsning som kommer med den digitale tjenesten de kjøper inn. Likevel understreker Stenbro at ansvaret ligger hos kommunen for å sikre at løsningen har god nok sikkerhet.
– Ansvaret ligger først og fremst hos behandlingsansvarlige, altså kommunene. Men det å vite hva du skal bestille, hvilke sikkerhetstiltak som bør oppgraderes, det krever jo en hel del, sier hun.
Stenbro trekker derfor frem viktigheten av godt og nært samarbeid med underleverandører for å få fram gode løsninger.
– Det finnes moderne løsninger, blant annet såkalt phishing-resistente autentiseringsløsninger, som kan implementeres.
Kommunene har bedt om det
I tillegg til å kontrollere kommunenes arbeid med sikring av tilgang til dataen sin, vil Datatilsynet sjekke kommunenes evne til å gjenopprette tapt data og hvorvidt digital sikkerhet er en del av kommunens totalberedskapsplan.
Ifølge Stenbro har IKT-folk i kommunene selv ønsket seg mer tilsyn, etter at de gjennomførte et omfattende tilsyn blant 98 kommuner i 2023. Når det er tilsyn, skjerper kommuneledelsen seg og setter fokus på sikkerhet.
– Vi gjør ikke dette bare for å finne feil, men for å kunne gi god, konkret veiledning knyttet til disse sikkerhetstiltakene også i etterkant, sier Stenbro.
– Det er liksom både en pisk og en veiledning.
Interkommunale samarbeid
Brev ble sendt ut til kommunene denne uken. Datatilsynet vil så følge opp med stedlige tilsyn hos utvalgte kommuner.
Særlig interessert er Stenbro i å finne ut hvilke kommuner som er mest sårbare og om det er noen mønstre som går igjen hos de som får det til.
– Vi er veldig spente på hvorvidt de kommunene som deltar i større IKT-samarbeid på disse her er bedre stilt enn de kommunene som står alene. Og hvor stor er forskjellen på store og små kommuner, sier hun.
aslb@altinget.no
Nytt om Navn
Ledige stillinger
'%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M4.59974%208.70857L10.9598%2011.4343C11.6239%2011.7189%2012.3756%2011.7189%2013.0397%2011.4343L19.3998%208.70857C20.0699%208.4214%2020.8459%208.7318%2021.133%209.40187C21.2035%209.56618%2021.2398%209.74308%2021.2398%209.92184V18.0592C21.2398%2019.1153%2020.6104%2020.0697%2019.6397%2020.4857L13.0397%2023.3143C12.3756%2023.5989%2011.6239%2023.5989%2010.9598%2023.3143L4.35982%2020.4857C3.38913%2020.0697%202.75977%2019.1153%202.75977%2018.0592V9.92184C2.75977%209.19282%203.35075%208.60184%204.07977%208.60184C4.25853%208.60184%204.43543%208.63815%204.59974%208.70857Z'%20fill='%23EA1718'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M12%209.24001C14.1912%209.24001%2015.96%207.47121%2015.96%205.28001C15.96%203.08881%2014.1912%201.32001%2012%201.32001C9.80884%201.32001%208.04004%203.08881%208.04004%205.28001C8.04004%207.47121%209.80884%209.24001%2012%209.24001Z'%20fill='%233340B1'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_26833_4934'%3e%3crect%20width='24'%20height='24'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Mest lest- Nå koster staten over 2000 milliarder kroner
- To stortingsveteraner og én statssekretær vil bli statsforvalter i Trøndelag
- Høyre puster Ap i nakken på ny måling: – Vi er på vei videre oppover
- Stort helseskille i befolkningen knyttes til økonomi og bakgrunn: – Blir litt lei meg, sier Vestre
- Jeg skulle ønske Marhaug turte å være litt nysgjerrig
Politisk kalender
