It-angreppen kartlagda – privat sektor anmäler mest
by Johan JuhlinVarje dag, året runt, utsätts svenska företag och myndigheter för it-angrepp. Skadorna kan röra sig om allt från småbelopp till förlust av affärskritisk information, och i sin rapport slår Datainspektionen (DI) fast att angreppen påverkar hela samhället.
90 procent de anmälda personuppgiftincidenterna kommer från aktörer inom den privata sektorn, något som skulle kunna bero på att den är mer utsatt. Men det kan också bero på att den offentliga sektorn, som myndigheter, kommuner och regioner, är sämre på att rapportera incidenter. Något MSB (Myndigheten för samhällsskydd och beredskap) tidigare pekat på.
– Att bara var tionde anmälan kommer från offentlig sektor visar att det förmodligen finns ett mörkertal, men hur stort går inte att säga. En orsak kan vara att det inom det offentliga fortfarande saknas rutiner för att hur ett it-angrepp rapporteras vidare.
Skada eller vinning
Under 2019 anmäldes totalt 4 800 personuppgiftsincidenter. Av dessa bedöms 400 (9 procent) vara ”antagonistiska”, det vill säga it-angrepp med målet att antingen orsaka skada eller skapa vinning på ett otillåtet sätt.
Enligt rapporten är många av de antagonistiska incidenterna brett riktade nätattacker utan specifik mottagare. Bland annat så kallad phishing, där förövarna skickar massmejl och hoppas att ”offren” ska klicka sig in på falska webbplatser och lämna ifrån sig uppgifter där.
Kartläggningen visar att ett stort antal branscher är drabbade, men att det finns viss övervikt för detaljhandeln. Flertalet incidenter har upptäckts inom ett dygn och de flesta rapportörerna bedömer att angreppen inte varit särskilt allvarliga. Däremot är några av dem de mycket omfattande.
Miljontals berörda
– Två av de anmälda incidenterna uppges ha berört en halv till en miljon individer. Ytterligare två är ännu större, de berör mer än en miljon individer vardera, säger Christina Thorell.
Datainspektionen ger också några rekommendationer för hur antalet personuppgiftsrelaterade it-angrepp ska kunna begränsas i framtiden. Det handlar bland annat om att förbättrad organisation, stärka den tekniska kompetensen samt införa säkrare e-posthantering och bättre it-skydd.
Dessutom riktar DI en uppmaning till den offentliga sektorn: Bli bättre på att upptäcka och anmäla it-angrepp.
Fakta om personuppgiftsincidenter
- En personuppgiftsincident är en säkerhetsincident som exempelvis kan handla om att personuppgifter har blivit förstörda, ändrade, gått förlorade eller kommit i orätta händer.
- Den kan innebära risker för personerna uppgifterna handlar om, som exempelvis identitetsstöld, bedrägeri eller skadlig ryktesspridning.
- Om det inte är osannolikt att personuppgiftsincidenten medför en risk för berördas rättigheter och friheter ska den anmälas till Datainspektionen inom 72 timmar från att den upptäckts. Detta regleras genom EU:s dataskyddsförordning GDPR.
- Av de totalt knappt 4 800 anmälningar om personuppgiftsincidenter som anmäldes till Datainspektionen 2019, utgjordes cirka 600 stycken, 13 procent, av incidenter som uppges bero på antagonistiska angrepp. 400 av dessa betecknas som it-angrepp.
Källa: Datainspektionen