Obligatorisk IT-incidentrapportering

Obligatorisk IT-incidentrapportering innebär en skyldighet att rapportera IT-sårbarheter.

I Sverige redigera

I Sverige infördes det den 4 april 2016^[1] och innebär en skyldighet för Svenska statliga myndigheter att rapportera IT-sårbarheter till Myndigheten för samhällsskydd och beredskaps avdelning för IT-säkerhetsfrågor (Cert-se) och i vissa fall även till Säkerhetspolisen och Försvarsmakten.^[1] Syftet är att få en samlad bild och en kunskapsbas över sårbarheter i svenska system samt att bättre kunna förebygga attacker mot myndigheter där viktiga samhällstjänster riskerar att störas, eller där desinformation planeras att spridas.^[1]

Typer av incidenter som ska rapporteras in är störningar i mjukvara/hårdvara, förlust av data, externa attacker, säkerhetsbrister eller felaktigt handhavande som leder till allvarliga incidenter.^[2]

Obligatoriet har liknats vid sjukvårdens Lex Maria.^[2]

Fram till 30 september samma år som obligatoriet infördes hade svenska myndigheter drabbats av 131 allvarligare it-incidenter under det senaste halvåret som inkommit till MSB,^[1] vilket motsvarar ungefär 5 incidenter varje vecka, men Totalförsvarets forskningsinstitut uppskattar att angreppen är mycket fler.^[1]

I november 2017 rapporterade Ekoredaktionen att flera myndigheter, kommuner och företag hade allvarliga brister i sin it-säkerhet.^[3] Över 7000 system, varav vissa styrde samhällskritisk infrastruktur, hade säkerhetsbrister.^[3] I över 1000 av systemen, som bland annat kontrollerar avloppssystem, fastigheter (till exempel fjärrvärme och brandlarm), infrastruktur och kraftverk^[4], krävdes inte ens ett lösenord för att kontrollera systemen.^[3]

Bakgrund redigera

Dagens Nyheter publicerade hösten 2014 en artikelserie där tidningen granskade hur myndigheter och företag skötte sin och privatpersoners it-säkerhet.^[2]

Riksrevisionen påtalade vintern 2014 att it-hoten mot Sverige har ökat men att regeringen och myndigheterna inte hade vidtagit tillräckliga åtgärder för att skydda sig. Liknande system med obligatorisk it-incidentrapportering hade funnits länge i flera andra länder som USA, Tyskland, Nederländerna och Norge.^[2]

Våren 2015 lyfte en statlig utredning obligatorisk it-incidentrapportering som en av de viktigaste åtgärderna att genomföra, något som även Riksrevisionen hade påtalat.^[2]

Se även redigera

Lex Maria, anmälningsskyldigheten för en vårdgivare att anmäla risker till Inspektionen för vård och omsorg
Nationellt IT-brottscentrum
Hemlig dataavlyssning

Referenser redigera

^ [a b c d e] Peter Weyde. "FOI trappar upp arbetet mot it-incidenter", sverigesradio.se, 10 oktober 2016. Åtkomst den 10 oktober 2016.
^ [a b c d e] Kristoffer Örstadius. "Myndigheter skyldiga att rapportera it-brister", Dagens Nyheter, 16 december 2015. Åtkomst den 27 juni 2016.
^ [a b c] Emil Hellerud. "Ekot avslöjar: Tusentals it-system har allvarliga säkerhetsbrister", sverigesradio.se, 21 november 2017. Åtkomst den 21 november 2017.
^ Emil Hellerud. "Gick att styra kraftverk utan lösenord", sverigesradio.se, 22 november 2017. Åtkomst den 22 november 2017.

Externa länkar redigera

CERT-SE:s informationssidor om it-incidentrapportering

[sr-20161010-1] [a b c d e] Peter Weyde. "FOI trappar upp arbetet mot it-incidenter", sverigesradio.se, 10 oktober 2016. Åtkomst den 10 oktober 2016.

[dn-20151216-2] [a b c d e] Kristoffer Örstadius. "Myndigheter skyldiga att rapportera it-brister", Dagens Nyheter, 16 december 2015. Åtkomst den 27 juni 2016.

[sr-20171121-3] [a b c] Emil Hellerud. "Ekot avslöjar: Tusentals it-system har allvarliga säkerhetsbrister", sverigesradio.se, 21 november 2017. Åtkomst den 21 november 2017.

[sr-20171122-4] Emil Hellerud. "Gick att styra kraftverk utan lösenord", sverigesradio.se, 22 november 2017. Åtkomst den 22 november 2017.

[1]

[2]

[3]

[4]