Efterlyser fler anmälningar om dataintrång

DATAINSPEKTIONEN2020-05-26

De statliga myndigheterna anmäler för få dataintrång, anser Datainspektionen, DI. Bara en av tio anmälningar om incidenter kommer från offentlig sektor. Enligt DI finns det skäl att anta att det finns ett stort mörkertal.

Under 2019 anmäldes knappt 4 800 personuppgiftsinci­denter till DI. Av dem handlade cirka 600 om antago­nistiska angrepp. Ett antagonistiskt angrepp kan bero på till exempel fysisk stöld eller it-angrepp. I sin rapport granskar myndigheten de drygt 400 personuppgiftsincidenter som beror på it-angrepp.

Av de personupp­giftsincidenter som beror på it-angrepp kommer bara cirka en av tio från offentlig sektor. Enligt Datainspektionen är det svårt att dra några generella slutsatser varför andelen anmälningar är betydligt större från privat sektor än från offentlig sektor, men tänkbara förklaringar kan vara att privat sektor är mer utsatt för och har större fokus på it-angrepp.

DIs bedömning är att det finns ett mörkertal när det gäller antalet faktiskt inträffade personuppgifts­incidenter som inte upptäcks eller inte anmäls. Den förhållandevis låga andelen från offentlig sektor kan tyda på ett större mörkertal inom offentlig sektor jämfört med privat sektor, skriver myndigheten. För att upptäcka mer avancerade it-angrepp krävs enligt DI mognad inom såväl it-som informationssäkerhet. Många verksamheter kan ha relativt låg kunskap om riskerna och hoten för att utsättas för it-angrepp, vilket enligt DI kan leda till bristfälliga skyddsåtgärder.

En stor andel av de anmälda incidenterna är enligt DI så kallade phishingangrepp, där avsändaren av ett mejl vill förmå mottagaren att klicka på en länk i brevet. Av anmälningarna framgår att många faktiskt klickar på länkar i phishingmejl, vilket enligt rapporten understryker att det behövs skyddsåtgärder som utbildning, information och löpande påminnelser om hur vanliga it-angrepp går till.

Enligt anmälarna själva är inciden­ternas allvarlighetsgrad begränsad. Det kan enligt DI bero på att varken känsliga, integritetskänsliga personuppgifter eller särskilt sårbara grupper av personer berörts i någon större omfattning. I de fall integritetskänsliga personuppgifter berörts är det oftast person­nummer, kort- eller kontonummer som förekommer.

Enligt DI bör offentlig sektor säkerställa sin förmåga att upptäcka och anmäla it-angrepp som berör personuppgifter. Rapporten hänvisar till att också Myndigheten för säkerhet och beredskap, MSB, anser att statliga myndigheter anmäler för få it-incidenter. Det finns anledning att anta att antalet antagonistiska incidenter som rapporteras är för få, skriver DI. Det behövs tydliga interna instruktioner och rutiner för när ett it-angrepp som berör personuppgifter ska anmälas till DI. Det bör ingå i en effektiv incidenthantering att identifiera, hantera och anmäla antagonistiska incidenter till DI, anser myndigheten.

Detta är en nyhetsartikel. Publikts nyhetsrapportering ska vara saklig och korrekt. Tidningen har en fri och självständig ställning gentemot sin ägare, Fackförbundet ST, och utformas enligt journalistiska principer samt enligt spelreglerna för press, radio och TV.

Typ
Vet du mer om det ämne som artikeln handlar om, eller om du har tips till redaktionen i något annat ämne, kan du lämna ditt tips här. Du kan också skicka ett mejl till redaktionen.
Om du anser att artikeln innehåller fel, beskriv här vad dessa fel består i. Du kan också skicka ett mejl till redaktionen.

Om du vill debattera det ämne artikeln handlar om, kan du skicka in en debattartikel till Publikt för publicering under vinjetten Debatt. Publikt publicerar inte anonyma debattinlägg, du måste därför alltid ange ditt namn och dina kontaktuppgifter. Redaktionen förbehåller sig rätten att korta och redigera insända debattartiklar. Skicka ditt inlägg som ett Worddokument på mejl till redaktionen.

Innehållet i detta fält är privat och kommer inte att visas offentligt.
CAPTCHA