RitS leverer IT-drift til fire kommuner i Ryfylke. Etter en sikkerhetshendelse og et trusselbilde i rask endring, gikk de fra å overvåke selv til å gi ansvaret til Netsecurity som strategisk sikkerhetspartner og leverandør av døgnkontinuerlige sikkerhetstjenester.
– Det er en jungel der ute, og vi visste at vi måtte finne noen som kunne overvåke døgnet rundt, forteller Ellen Gundersen Husebø, daglig leder i RitS.
Ryfylke IT-samarbeid (RitS) er et kommunalt oppgavefellesskap som leverer IT-drift og -portefølje til kommunene Strand, Hjelmeland, Suldal og Sauda. Med ansvar for hele IT-porteføljen til 3 700 ansatte og tusenvis av innbyggere, er de en kritisk støttespiller i ryfylke-regionen. De har alltid hatt overvåkning på ulike nivåer, utviklet i takt med trusselbildet. Men i 2021 tilspisset det seg.
Konkrete kommuner ble rammet av cyberangrep – hackerangrepet mot Østre Toten kommune satte presedens for hvor alvorlig det faktisk kunne bli. Kort tid etter opplevde RitS selv en kompromittering. Husebø beskriver det som et vendepunkt.
– Hendelsen ble håndtert tilfredsstillende, men vi så at dette kunne eksplodere. Vi, som alle andre kommuner, har begrenset økonomisk handlingsrom og klarer ikke alltid å henge med på alle fronter. Det blir ofte brannslukking fremfor proaktivt arbeid, og kompetansehevingen skjer ofte gjennom «learning by doing». Vi innså at det var urealistisk å følge med på alt selv innenfor cybersikkerhetsområdet, sier Husebø.
Den viktigste interne diskusjonen var enkel, men avgjørende: Skal vi vente på at det offentlige får noe på plass, eller kjører vi på selv? RitS sjekket om KS eller andre offentlige aktører kunne levere tjenester som løste utfordringene de sto i, hvilket de ikke gjorde. Styret i RitS var tydelig: sikkerhet skal i førersetet.
Innspillet om anskaffelse av en strategisk sikkerhetspartner kom inn i investeringsplanene i 2022. RitS inviterte også andre kommuner med, og løftet tanken om innovativ anskaffelse for å få innsikt i hva markedet faktisk kunne tilby.
Sammen med rådgivere fra Leverandørutviklingsprogrammet (LUP) valgte de en konkurransepreget dialog som anskaffelsesmetode. Flere leverandører ble invitert til dialogmøter før konkurransen ble lyst ut.
– Gjennom dialogen modnet det frem kompetanse hos oss. Vi fikk innsikt til å sette riktige og tidsriktige krav. Det var krevende, men utrolig nyttig, sier Husebø.
De viktigste kravene de landet på var et døgnbemannet sikkerhetsovervåkingssenter (SOC) som opererer når de selv går hjem for dagen, et team for hendelseshåndtering (IRT) som kan rykke ut utenom arbeidstid, og at leverandøren skulle være en aktiv strategisk rådgiver. I tillegg krevde de at leverandøren var godkjent av NSM, og at all dialog foregikk på norsk.
Husebø er tydelig på at norsk språk ikke var et «kjekt å ha»-krav, men et beredskapskrav.
– Hvis det er krise, skal det ikke være noen språkbarriere. Det geopolitiske bildet har i ettertid bare forsterket viktigheten av en norsk leverandør.
Netsecurity vant konkurransen høsten 2023, og Husebø er imponert over evnen de viste til å sette seg inn i RitS sin situasjon og raskt få på plass første del av tjenesten.
– De har en veldig ydmyk tilnærming til å tilegne seg forståelse av våre behov. De er åpne for sparring og tilstreber gode leveranser. Behovsforståelsen og ydmykheten er veldig viktig for oss, sier Husebø.
RitS og Netsecurity hadde et felles mål: å få den mest kritiske overvåkningen på plass før juleferien 2023. Det klarte de. Netsecurity gjorde ifølge Husebø alt de kunne for at det skulle komme på plass i tide.
– Da kunne vi ta juleferie med god samvittighet og sove godt på natten, sier hun. Verdien har vist seg konkret ved flere anledninger, særlig etter ordinær arbeidstid. Husebø trekker spesielt frem tilfeller der brukere har gitt bort sitt passord ved phishing-forsøk – noe som uten overvåkning kunne fått alvorlige konsekvenser.
Husebø beskriver IT-sikkerhet som et maratonløp der mållinjen stadig flyttes. Truslene hun holder øye med spenner bredt: massive phishing-angrep, den geopolitiske situasjonen og AI som brukes som metode for dataangrep.
Hun er tydelig på at IT-sikkerhet ikke er IT-avdelingens ansvar alene – det ligger på øverste nivå i kommunen. NIS2-direktivet forsterker dette, med sitt krav om at sikkerhet er ledelsesansvar og må dokumenteres operativt.
– På en måte er det bra at det kommer som en lov. Vi har jo for eksempel alltid hatt en personopplysningslov, men jeg tror mange «sovnet litt» – helt til GDPR gjorde sitt inntog, og man kunne få bot for ikke å være i samsvar. Jeg tror det er positivt at det samme nå skjer med reguleringen i NIS2 og AI-loven sier Husebø.
For Husebø handler dette om noe større enn samsvar.
– Verden er liten, og den geopolitiske og sikkerhetspolitiske situasjonen gjør det hele mer skummelt. Parrallelt med det har vi den raske teknologiutviklingen som igjen påvirker alle. Noe kan vi gjøre noe med og annet ikke.
– Som kommunenes IT- avdeling, er vår oppgave å sikre kommunenes informasjon og data, og bistå i å trygge alle våre IT-brukere når de ferdes i de digitale rom. Derfor er det betryggende å vite at vi har Netsecurity til å overvåke adferd og trender i det digitale rom. Eller, som Husebø avslutter på poetisk vis:
«Vi går hjem når arbeidsdagen er over. Vel vitende om at det er Netsecurity som jobber, mens vi andre sover.»