Der er fokus på offentlig IT-sikkerhed, men er det nok?

Den digitale sikkerhed og modstandskraft står efterhånden højt på agendaen – også i den offentlige sektor. Der bliver strammet op på regler, investeret flere ressourcer, og samarbejdet mellem myndigheder og private aktører bliver bedre og stærkere.

Bevidstheden er højere end nogensinde. Men alligevel sidder mange tilbage med følelsen af, at vi stadig ikke er helt klar, hvis vi skulle blive ramt af uheld eller angreb.

Et solidt fundament, men med svage led

På mange måder står vi stærkt i de nordiske lande. Der findes et solidt regelværk. Myndighederne har mandat. Og den kritiske infrastruktur er underlagt mange krav til både sikkerhed og kontinuitet.

Men ser man nærmere efter, tegner der sig et mere nuanceret billede.

For analyser viser, at modstandsdygtigheden langt fra er jævnt fordelt. Nogle organisationer er langt fremme med robuste løsninger. Andre – især mindre kommuner og organisationer – kæmper med mere begrænsede ressourcer, kompetencer eller struktur.

Det betyder, at helheden – trods de stærke enkeltaktører – stadig har svage punkter. Og i et meget sammenkoblet system er helheden også afhængig af de svageste led.

Nye afhængigheder

En af de største ændringer over de seneste år er, hvordan afhængighederne har flyttet sig fra interne systemer til eksterne platforme.

Den offentlige sektor er i dag i høj grad afhængig af:

Globale cloudleverandører

Internationale datacentre

Tredjepartsplatforme til kritiske funktioner

Det har uden tvivl muliggjort hurtig udvikling og skalerbarhed. Men det rejser også nye spørgsmål:

– Hvad sker der, hvis adgangen begrænses?
– Hvem har kontrollen i en krisesituation?
– Hvordan sikrer vi kontinuitet, når infrastrukturen ligger uden for vores egen kontrol?

Husk den fysiske side af det digitale

En anden indsigt fra vores analyser er, at man let kan glemme den fysiske dimension, når snakken drejer sig om digitale systemer og alt dét, der foregår på skærmen.

Fiberføringer, datacentre, kabelinfrastruktur og geografiske flaskehalse spiller stadig en afgørende rolle, og IT-sikkerhed handler også om at passe på den helt håndgribelige del af infrastrukturen.

I nogle tilfælde er kritisk infrastruktur koncentreret til bestemte områder eller ruter. Det skaber risici, som ikke altid er synlige i systemkort – men som først bliver tydelige ved forstyrrelser.

Compliance er ikke nok

Vores erfaring og analyser viser også, at man ikke nødvendigvis er digitalt modstandsdygtig, bare fordi man opfylder de gældende krav. At følge regler og lovgivning betyder ikke automatisk, at man kan:

Håndtere længerevarende afbrydelser

Samarbejde effektivt i en krise

Opretholde kritiske funktioner under pres

Det kræver noget mere. Det kræver testede scenarier, operationel kapacitet og et systemperspektiv, hvor flere aktører handler sammen. Og her ser vi et tydeligt skifte i den offentlige sektor netop nu.

En ny måde at tænke på

Fokus ændrer sig fra at være fastlåst på egen organisation til at forstå helheder.
Fra at beskytte systemer til at sikre funktioner.
Fra strategi til reel eksekveringsevne.

Digital resiliens handler med andre ord ikke længere om at undgå forstyrrelser.

Det handler om at fungere på trods af dem.

Vil du se hele analysen?

Download vores rapport om den offentlige sektor her og få hele øjebliksbilledet af risici, løsninger og fokuspunkter.