Obligatorisk IT-incidentrapportering
Obligatorisk IT-incidentrapportering innebär en skyldighet att rapportera IT-sårbarheter.
I Sverige
I Sverige infördes det den 4 april 2016[1] och innebär en skyldighet för Svenska statliga myndigheter att rapportera IT-sårbarheter till Myndigheten för samhällsskydd och beredskaps avdelning för IT-säkerhetsfrågor (Cert-se) och i vissa fall även till Säkerhetspolisen och Försvarsmakten.[1] Syftet är att få en samlad bild och en kunskapsbas över sårbarheter i svenska system samt att bättre kunna förebygga attacker mot myndigheter där viktiga samhällstjänster riskerar att störas, eller där desinformation planeras att spridas.[1]
Typer av incidenter som ska rapporteras in är störningar i mjukvara/hårdvara, förlust av data, externa attacker, säkerhetsbrister eller felaktigt handhavande som leder till allvarliga incidenter.[2]
Obligatoriet har liknats vid sjukvårdens Lex Maria.[2]
Fram till 30 september samma år som obligatoriet infördes hade svenska myndigheter drabbats av 131 allvarligare it-incidenter under det senaste halvåret som inkommit till MSB,[1] vilket motsvarar ungefär 5 incidenter varje vecka, men Totalförsvarets forskningsinstitut uppskattar att angreppen är mycket fler.[1]
I november 2017 rapporterade Ekoredaktionen att flera myndigheter, kommuner och företag hade allvarliga brister i sin it-säkerhet.[3] Över 7000 system, varav vissa styrde samhällskritisk infrastruktur, hade säkerhetsbrister.[3] I över 1000 av systemen, som bland annat kontrollerar avloppssystem, fastigheter (till exempel fjärrvärme och brandlarm), infrastruktur och kraftverk[4], krävdes inte ens ett lösenord för att kontrollera systemen.[3]
Bakgrund
Dagens Nyheter publicerade hösten 2014 en artikelserie där tidningen granskade hur myndigheter och företag skötte sin och privatpersoners it-säkerhet.[2]
Riksrevisionen påtalade vintern 2014 att it-hoten mot Sverige har ökat men att regeringen och myndigheterna inte hade vidtagit tillräckliga åtgärder för att skydda sig. Liknande system med obligatorisk it-incidentrapportering hade funnits länge i flera andra länder som USA, Tyskland, Nederländerna och Norge.[2]
Våren 2015 lyfte en statlig utredning obligatorisk it-incidentrapportering som en av de viktigaste åtgärderna att genomföra, något som även Riksrevisionen hade påtalat.[2]
Se även
- Lex Maria, anmälningsskyldigheten för en vårdgivare att anmäla risker till Inspektionen för vård och omsorg
- Nationellt IT-brottscentrum
- Hemlig dataavlyssning
Referenser
- ^ [a b c d e] Peter Weyde. "FOI trappar upp arbetet mot it-incidenter", sverigesradio.se, 10 oktober 2016. Åtkomst den 10 oktober 2016.
- ^ [a b c d e] Kristoffer Örstadius. "Myndigheter skyldiga att rapportera it-brister", Dagens Nyheter, 16 december 2015. Åtkomst den 27 juni 2016.
- ^ [a b c] Emil Hellerud. "Ekot avslöjar: Tusentals it-system har allvarliga säkerhetsbrister", sverigesradio.se, 21 november 2017. Åtkomst den 21 november 2017.
- ^ Emil Hellerud. "Gick att styra kraftverk utan lösenord", sverigesradio.se, 22 november 2017. Åtkomst den 22 november 2017.