https://www.idg.se/editorial/980/path/1.735092.1590396336!imageUploader/55666972.jpg

It-angrepp bakom var tionde personuppgiftsincident

Nio procent av de nära 4 800 personuppgiftsincidenter som anmäldes till Datainspektionen förra året berodde på it-angrepp. Men det kan finnas ett mörkertal – särskilt i offentlig sektor enligt myndigheten.

413 av de 4 757 anmälningar om personuppgiftsincidenter som kom in till Datainspektionen förra året handlade om it-angrepp visar en ny rapport från myndigheten. Och nästan nio av tio av dem kom i sin tur från privat sektor.

En förklaring till det skulle, enligt rapporten, vara att privat sektor både är mer utsatt och också har mer fokus på it-angrepp. Samtidigt bedömer Datainspektionen att det finns ett generellt mörkertal när det gäller antalet personuppgiftsincidenter som beror på it-angrepp men också att siffrorna tyder på att det mörkertalet är större i offentlig sektor. Man pekar också på att kunskapen om att anmäla incidenter fortfarande kan vara bristfällig.

Kortuppgifter lockar angripare

Bland anmälningarna som rör it-angrepp sticker också detaljhandeln ut som en bransch som drabbats särskilt hårt. Även här finns flera möjliga förklaringar. En är att det finns finansiell information i form av kortuppgifter som gör att intresset från angripare ökar. En annan att sårbarheter i e-handelsplattformar kan vara en väg in. Men det kan också bero på att handeln har bättre rutiner för att upptäcka och rapportera incidenter.

Nätfiskeattacker är en av de vanligaste metoderna som används av angripare. Där rekommenderar Datainspektionen spamfilter och uppdaterade it-miljöer för att bli ännu bättre på att upptäcka dem.

Riktlinjer för hantering av e-post

Andra rekommendationer är att få riktlinjer och rutiner för säker e-posthantering på plats. Exempelvis kan det röra sig om att inte hantera fler uppgifter än som behövs via e-post och att inte spara uppgifterna längre än nödvändigt.

För att få ett grepp över mörkertalet bör alla verksamheter också högre grad arbeta systematiskt med att förebygga, upptäcka och hantera it-angrepp. Datainspektionen rekommenderar också tekniska åtgärder för att skydda personuppgifter bättre – som säkerhetsuppdateringar, uppgradering av mjuk- och hårdvara och operativsystem, införande av flerfaktorsautentisering och att använda antivirusprogram.

Läs också:
Två år med GDPR – ”i år ska vi rikta in oss på samtycke”
Dubbelt så många anmälda incidenter till Datainspektionen under 2019