Østre Toten kommune ble hardt rammet i begynnelsen av 2021. I lys av denne hendelsen kaster jeg inn en brannfakkel.
Jeg mener alle kommuner må få øremerkede midler tilsvarende hva Østre Toten kommune har fått i støtte i etterkant av hendelsen. Dette bør skje så raskt som mulig for at kommune-Norge skal være bedre rustet og slippe å oppleve det Østre Toten kommune gjorde. Gjør man ikke konkrete tiltak nå er sjansen stor for at det vil skje, med tanke på hvor aggressivt og kreativt hackerne jobber.
Min utfordring til alle kommuner og kommunedirektører er følgende; Søk om tilskudd nå.
- Østre Toten kommune ble 9. januar 2021 rammet av kriminelle som krypterte alle systemer.
- Kostnaden for å gjenopprette systemene har nok passert 32 millioner NOK.
- I tillegg fikk de 4 millioner i GDPR bot fra Datatilsynet.
Med over 32 millioner i tap, og en bot på 4 millioner, søkte Østre Toten kommune om 29,5 millioner kroner i tilskudd. De fikk 16 millioner. Hva med alle andre kommuner? Burde ikke de også få 16 millioner som kan brukes proaktivt basert på læringen etter denne hendelsen. Det finnes ganske konkrete ting som er synliggjort i diverse rapporter på hva man bør gjøre, inkludert KPMG sin rapport:
- https://www.nrk.no/innlandet/ostre-toten-kommune-far-16-millioner-kroner-i-statsstotte-etter-dataangrep-1.15776277
- https://www.ototen.no/aktuelt/ny-versjon-av-sikkerhetsrapporten.13134.aspx
Min utfordring til alle kommuner og kommunedirektører er følgende; Søk om tilskudd nå. Penger øremerket til styrking av IT-sikkerheten. Hvorfor vente til etter en hendelse? Dette mener jeg også myndighetene burde forstå. Få til en avtale der dere skal implementere tiltak i tråd med anbefalinger, for så å få tilskudd for eksempel etterskuddsvis.
Nasjonal Sikkerhetsmyndighet har sine Grunnprinsipper for IKT-sikkerhet. Kan tilfredsstillelse av prioritet 1 og 2 anbefalingene gi 16 millioner i tilskudd? Det burde kanskje det?
Datatilsynet må kutte ut bøter
I samme diskusjon kunne man utfordre Datatilsynet til å endre sin praksis om bot, til heller å kreve at tiltak i tråd med en anbefalt kravliste innføres innen 3-6 måneder. Det svir ressursmessig, minst like mye som 4 millioner, men da kommer det noe positivt ut av det
