Tre ud af fire af de emails, der sendes til de danske kommuner, bliver fanget i spamfiltre, fordi de er spækket med giftige vira og malware, som vil gøre skade på kommunernes systemer.
Alligevel slipper mange inficerede emails igennem. Det viser en rundspørge til kommunerne, DR Nyheder står bag.
Her svarer ni ud ti kommuner, at de har været ude for et cyberangreb i 2016 - defineret som et brud på it-sikkerheden.
Ralf Klitgaard Jensen, afdelingschef for Digitalisering i KL, er ikke overrasket. Danskernes indbakker bestormes af inficerede emails. Så selvfølgelig gør kommunernes også.
- Truslen fra cyberkriminalitet er stigende. Det gælder i kommunerne, og det gælder for den øvrige del af samfundet, siger han.
Den menneskelige side
Mest udbredt er såkaldte ransomware-angreb. Et sådan angreb udløses typisk, når en kommunal medarbejder klikker på et link eller en vedhæftet fil, som krypterer brugerens filer og stiller krav om en løsesum for at frigive filerne igen.
Det er især på den menneskelige side, at kommunerne er udfordret, siger Ralf Klitgaard Jensen:
- Jeg mener i al almindelighed, at kommunerne har godt styr på det. It-sikkerhed har to sider, den tekniske og den menneskelige. På den tekniske side arbejder vi sammen med professionelle it-leverandører, der sørger for, at vi hele tiden er up to date med vores it-udstyr.
- Så er der en menneskelig side, hvor det er den enkelte medarbejder, der agerer i dagligdagen, og det spiller i virkeligheden en meget stor rolle for it-sikkerhed, og det er noget, vi har meget stor fokus på og har stort beredskab til, siger Ralf Klitgaard Jensen.
Kan ramme backuppen næste gang
Grunden til at ransomware ikke rammer kommunerne hårdt i øjeblikket, er fordi de dagligt sikrer deres data med backup-kopier.
Derfor er det normalt kun dagens arbejde, der forsvinder, når kriminelle burer kommunens data inde.
- Som det er nu, er det typisk et spørgsmål om, at man kan tabe en lille smule data, fordi man er nødt til at bruge en backup. Så kan der være et lille produktionstab ved det, siger Ralf Klitgaard Jensen.
Men trenden er, at it-kriminelle nu går efter at kryptere backuppen også. Det er en naturlig konsekvens af, at de fleste organisationer og virksomheder har fået styr på backuppen.
- Backup har været svar nok i en periode. Men det, vi ser nu, er, at der er nogle typer ransomware-angreb, som er så snedige, at de venter med at bryde ud, til der er lavet en backup-kopi af ransomwaret. Så er backuppen også inficeret og på et tidspunkt bryder det ud på både systemerne og på backuppen, siger Henrik Larsen, der er chef for DK Cert, som overvåger trusselsbilledet fra it-kriminalitet.
- Nu gælder det om at have nogle ældre generationer backup, som er opbevaret uden at være på netværket, men kopierne må heller ikke være for gamle, for så kan der gå meget data tabt. De mest giftige former for ransomware er begyndt at optræde rundt omkring, siger han.
Solgt og stjålet
En anden fare er, at kommunernes oplysninger bliver stjålet, og så kan kommunerne afpresses med trusler om at offentliggøre personfølsomme oplysninger:
- Et realistisk mareridt er, at en medarbejder har åbnet en privat mail på kommunens computer og klikket på en vedhæftet fil i en email. Personen har adgang til vigtige systemer med følsomme data. De data bliver kopieret og sat til salg eller brugt som afpresning, siger Martin Hansen, der er salgsingeniør hos Bitdefender, som leverer it-sikkerhed til 14 danske kommuner.
- Det kan være data som cpr-numre, som trods alt har en værdi, og som kommunen måske ville være villig til at betale for ikke at få frigivet, fortsætter han.
Men Ralf Klitgaard Jensen hæfter sig ved, at der ikke er eksempler på, at kommuner har mistet data.
- Det værste er selvfølgelig, hvis der er følsomme data, der er sluppet ud af kommunens systemer. Men det har vi ikke konkrete eksempler på, siger han.
- Uheld kan ikke undgås
Men det kan man ikke være så sikker på, siger Henrik Larsen:
- Det kan de ikke være sikre på, det kan sagtens være sket under radaren. Der er også angreb af den type, som ikke sætter spor. Vi kan ikke være sikre, men vi kan håbe, at de har ret.
Men de personfølsomme oplysninger ligger typisk ikke hos kommunerne, men er spærret væk bag tykke sikkerhedsmure hos KMD. Og det øvrige data er der godt styr på, mener Ralf Klitgaard Jensen:
- Det er med it-sikkerhed som med trafikssikkerhed. Vi kan altid lave bedre biler, vi kan altid lave bedre regler, vi kan uddanne føreren bedre. Men der vil altid ske uheld, og det skyldes jo typisk en menneskelig fejl. Det, det handler om i den situation, er, at begrænse skaderne mest muligt og have et beredskab til det, siger han.
- Jeg mener, at kommunerne for nuværende er meget opmærksomme på truslen, og man kan i al almindelighed være ganske tryg ved kommunernes håndtering af borgernes data, siger han.