Efterlyser fler anmälningar om dataintrång

DATAINSPEKTIONEN2020-05-26
De statliga myndigheterna anmäler för få dataintrång, anser Datainspektionen, DI. Bara en av tio anmälningar om incidenter kommer från offentlig sektor. Enligt DI finns det skäl att anta att det finns ett stort mörkertal.

Under 2019 anmäldes knappt 4 800 personuppgiftsinci­denter till DI. Av dem handlade cirka 600 om antago­nistiska angrepp. Ett antagonistiskt angrepp kan bero på till exempel fysisk stöld eller it-angrepp. I sin rapport granskar myndigheten de drygt 400 personuppgiftsincidenter som beror på it-angrepp.

Av de personupp­giftsincidenter som beror på it-angrepp kommer bara cirka en av tio från offentlig sektor. Enligt Datainspektionen är det svårt att dra några generella slutsatser varför andelen anmälningar är betydligt större från privat sektor än från offentlig sektor, men tänkbara förklaringar kan vara att privat sektor är mer utsatt för och har större fokus på it-angrepp.

DIs bedömning är att det finns ett mörkertal när det gäller antalet faktiskt inträffade personuppgifts­incidenter som inte upptäcks eller inte anmäls. Den förhållandevis låga andelen från offentlig sektor kan tyda på ett större mörkertal inom offentlig sektor jämfört med privat sektor, skriver myndigheten. För att upptäcka mer avancerade it-angrepp krävs enligt DI mognad inom såväl it-som informationssäkerhet. Många verksamheter kan ha relativt låg kunskap om riskerna och hoten för att utsättas för it-angrepp, vilket enligt DI kan leda till bristfälliga skyddsåtgärder.

En stor andel av de anmälda incidenterna är enligt DI så kallade phishingangrepp, där avsändaren av ett mejl vill förmå mottagaren att klicka på en länk i brevet. Av anmälningarna framgår att många faktiskt klickar på länkar i phishingmejl, vilket enligt rapporten understryker att det behövs skyddsåtgärder som utbildning, information och löpande påminnelser om hur vanliga it-angrepp går till.

Enligt anmälarna själva är inciden­ternas allvarlighetsgrad begränsad. Det kan enligt DI bero på att varken känsliga, integritetskänsliga personuppgifter eller särskilt sårbara grupper av personer berörts i någon större omfattning. I de fall integritetskänsliga personuppgifter berörts är det oftast person­nummer, kort- eller kontonummer som förekommer.

Enligt DI bör offentlig sektor säkerställa sin förmåga att upptäcka och anmäla it-angrepp som berör personuppgifter. Rapporten hänvisar till att också Myndigheten för säkerhet och beredskap, MSB, anser att statliga myndigheter anmäler för få it-incidenter. Det finns anledning att anta att antalet antagonistiska incidenter som rapporteras är för få, skriver DI. Det behövs tydliga interna instruktioner och rutiner för när ett it-angrepp som berör personuppgifter ska anmälas till DI. Det bör ingå i en effektiv incidenthantering att identifiera, hantera och anmäla antagonistiska incidenter till DI, anser myndigheten.

Detta är en nyhetsartikel. Publikts nyhetsrapportering ska vara saklig och korrekt. Tidningen har en fri och självständig ställning gentemot sin ägare, Fackförbundet ST, och utformas enligt journalistiska principer samt enligt spelreglerna för press, radio och TV.

Innehållet i detta fält är privat och kommer inte att visas offentligt.
Genom att trycka på "Skicka" godkänner jag att mitt inlägg kan publiceras på webben och i papperstidningen. Redaktionen förbehåller sig rätten att granska och redigera kommentarer på samma sätt som insändare. Publicering sker först sedan inlägget granskats. Detta sker normalt under kontorstid. Publikt publicerar inte inlägg som innehåller personangrepp. Inte heller publiceras inlägg som handlar om något annat än ämnet för artikeln.