RitS levererar IT-drift till fyra kommuner i Ryfylke. Efter en säkerhetsincident och en snabbt föränderlig hotbild gick de från att övervaka själva till att lämna över ansvaret till Netsecurity som strategisk säkerhetspartner och leverantör av säkerhetstjänster dygnet runt.
- "Det är en djungel där ute och vi visste att vi var tvungna att hitta någon som kunde övervaka dygnet runt", säger Ellen Gundersen Husebø, VD för RitS.
Ryfylke IT-samarbeid (RitS) är ett kommunalt samriskföretag som levererar IT-drift och portföljer till kommunerna Strand, Hjelmeland, Suldal och Sauda. Med ansvar för hela IT-portföljen för 3 700 anställda och tusentals invånare är de ett kritiskt stöd i Ryfylke-regionen. De har alltid haft övervakning på olika nivåer, utvecklad i linje med hotbilden. Men under 2021 ställdes saker på sin spets.
Vissa kommuner drabbades av cyberattacker - hackerattacken mot Østre Toten kommun blev ett prejudikat för hur allvarligt det faktiskt kunde bli. Kort därefter drabbades RitS självt av en kompromiss. Husebø beskriver det som en vändpunkt.
- "Händelsen hanterades på ett tillfredsställande sätt, men vi insåg att det här kunde explodera. Vi, liksom alla andra kommuner, har ett begränsat ekonomiskt handlingsutrymme och kan inte alltid hänga med på alla fronter. Brandsläckning går ofta före proaktivt arbete och kompetenshöjning sker ofta genom "learning by doing". Vi insåg att det var orealistiskt att själva hänga med i allt inom cybersäkerhetsområdet", säger Husebø.
Den viktigaste interna diskussionen var enkel men avgörande: Ska vi vänta på att den offentliga sektorn sätter något på plats, eller ska vi göra det själva? RitS kontrollerade om KS eller andra organisationer inom den offentliga sektorn kunde leverera tjänster som löste de utmaningar de stod inför, vilket de inte gjorde. Styrelsen för RitS var tydlig: säkerheten måste stå i centrum.
Idén om att skaffa en strategisk säkerhetspartner ingick i investeringsplanerna för 2022. RitS bjöd också in andra kommuner att ansluta sig och tog upp idén om innovativ upphandling för att få insikt i vad marknaden faktiskt kunde erbjuda.
Tillsammans med rådgivare från programmet för leverantörsutveckling (LUP) valde de en konkurrenspräglad dialog som upphandlingsmetod. Flera leverantörer bjöds in till dialogmöten innan tävlingen utlystes.
- "Genom dialogen mognade vår kompetens. Vi fick insikten att ställa rätt krav i rätt tid. Det var krävande, men otroligt nyttigt", säger Husebø.
De viktigaste kraven som de landade i var en 24-timmars säkerhetsövervakningscentral (SOC) som fungerar när de går hem för dagen, ett incidenthanteringsteam (IRT) som kan svara utanför arbetstid och att leverantören skulle vara en aktiv strategisk rådgivare. Dessutom ställdes krav på att leverantören skulle vara godkänd av NSM och att all dialog skulle ske på norska.
Husebø är tydlig med att det norska språket inte var ett "nice to have"-krav, utan ett beredskapskrav.
- "Om det uppstår en kris ska det inte finnas någon språkbarriär. Sett i backspegeln har den geopolitiska situationen bara förstärkt vikten av en norsk leverantör.
Netsecurity vann tävlingen hösten 2023, och Husebø är imponerad av deras förmåga att förstå Rits situation och snabbt sätta den första delen av tjänsten på plats.
- "De har en väldigt ödmjuk inställning till att förstå våra behov. De är öppna för sparring och strävar efter bra leveranser. Deras förståelse för våra behov och deras ödmjukhet är mycket viktiga för oss", säger Husebø.
RitS och Netsecurity hade ett gemensamt mål: att ha den mest kritiska övervakningen på plats före julhelgen 2023. Och det lyckades de med. Enligt Husebø gjorde Netsecurity allt de kunde för att få det på plats i tid.
- "Då kunde vi ta julledigt med gott samvete och sova gott om natten", säger hon. Värdet har demonstrerats vid flera tillfällen, särskilt efter normal arbetstid. Husebø lyfter särskilt fram fall där användare har lämnat ut sina lösenord i nätfiskeförsök - vilket utan övervakning kunde ha fått allvarliga konsekvenser.
Husebø beskriver IT-säkerhet som ett maratonlopp där mållinjen hela tiden flyttar sig. De hot hon håller ögonen på spänner över ett brett fält: massiva phishing-attacker, den geopolitiska situationen och AI som metod för dataintrång.
Hon är tydlig med att IT-säkerhet inte bara är IT-avdelningens ansvar - det ligger på högsta nivå i kommunen. NIS2-direktivet förstärker detta, med sitt krav på att säkerhet är ett ledningsansvar och måste dokumenteras operativt.
- "På sätt och vis är det bra att det kommer som en lag. Vi har till exempel alltid haft en personuppgiftslag, men jag tror att många "somnade lite" - tills GDPR kom och man kunde få böter om man inte följde den. Jag tycker att det är positivt att samma sak nu sker med regleringen i NIS2 och AI-lagen", säger Husebø.
För Husebø handlar det här om något större än efterlevnad.
- "Världen är liten, och den geopolitiska och säkerhetspolitiska situationen gör det hela ännu mer skrämmande. Samtidigt har vi den snabba teknikutvecklingen, som i sin tur påverkar alla. En del kan vi göra något åt och en del kan vi inte göra något åt.
- Som kommunens IT-avdelning är det vår uppgift att säkra kommunens information och data samt att bidra till att alla våra IT-användare är trygga när de rör sig i det digitala rummet. Därför är det betryggande att veta att vi har Netsecurity som övervakar beteenden och trender i det digitala rummet. Eller som Husebø poetiskt avslutar:
"Vi går hem när arbetsdagen är slut. Med vetskapen om att Netsecurity arbetar medan vi andra sover."