Det dröjde en månad efter intrånget mot sajten Bloggtoppen innan de 90 000 läckta kontona uppmärksammades brett. Hela tiden hade lösenorden funnits ute på nätet, men bara de som själva råkade snubbla över uppgifterna på nätforum kunde bli medvetna om att de var på villovägar.
En kommande lag väntas göra det kriminellt för ett företag att inte informera sina kunder om att deras känsliga information har läckt ut. Grunden läggs just nu på EU-nivå.
Det innebär att både företag och myndigheter som hanterar någon form av personlig information inte får välja själva om de ska gå ut med information om ett intrång, eller om de ska hantera det bakom lyckta dörrar. I klartext: Företag som blivit hackade måste berätta öppet om det.
– Företag och myndigheter ska inte kunna mörka för att rädda sitt rykte. Därmed måste de lägga mer kraft på att skydda personuppgifterna, säger Daniel Westman, forskare i rättsinformatik vid Stockholms universitet.
Kravet blir en av hörnpelarna när EUs föråldrade dataskyddsdirektiv skrivs om. Det nuvarande är från 1995 och röster har länge höjts för att det måste uppdateras. Ett första utkast väntas före årets slut, men EU-kommissionen har redan flaggat för nya, hårdare tag mot hackade företag. Sedan väntar mangling genom EU-byråkratin, men till slut ska reglerna skrivas in i den svenska lagen.
– Kravet på att rapportera allvarliga intrång är helt proportionerligt, sade EUs justitiekommissionär Viviane Reding i ett tal tidigare i år.
Under sin tid som it-kommissionär klubbade hon liknande bestämmelser för företag inom telekomsektorn. De infördes i svensk lag i somras, men kom i skymundan eftersom en mängd nya regleringar ur det så kallade telekompaketet skrevs in i lagen samtidigt.
Syftet med lagen är dubbelt. Dels ska myndigheter snabbt få information om storskaliga intrång för att kunna slå larm och varna andra företag, dels ska den fungera som en blåslampa på företag så att de skärper sin egen säkerhet.
– De vet att de får står där med dumstruten på. Det tvingar fram bättre säkerhet, säger Daniel Westman.