Den 1 april i år blev det obligatoriskt för 244 av Sveriges myndigheter att rapportera in it-incidenter som allvarligt kan påverka säkerheten till Myndigheten för samhällsskydd och beredskap, MSB. Resultatet hittills är drygt 100 rapporter.
– Av de incidenter som kommit in är vår bedömning att en tredjedel gav stor eller mycket påverkan på samhällsviktiga funktioner, säger Richard Oehme som är chef för MSB:s verksamhet för cybersäkerhet.
Läs också: 500 miljoner lösenord stulna från Yahoo – ett av historiens största dataintrång
De flesta av rapporterna har hamnat i tre kategorier. Störningar i driftsmiljön, hindrad tillgång till information till följd av exempelvis avbrott i it-tjänster, och cyberattacker utifrån. I det sistnämnda fallet handlar det framförallt om ransomware och ddos-attacker. Det har också förekommit andra typer av angrepp som Richard Oehme inte vill kommentera.
Hittills är han nöjd med informationen de fått in, men menar att alltför få myndigheter hört av sig.
– Det som känns mindre bra är att endast ett 50-tal myndigheter har rapporterat av de 244 myndigheterna som reglerna omfattar. Det kan innebära att vissa inte haft några incidenter, eller att de har så pass bra it-säkerhetsarbete att de inte drabbats. Men min bedömning är att det är fler som borde ha rapporterat in, säger Richard Oehme.
Så det finns ett stort mörkertal?
– Jag är alldeles övertygad om att det finns ett mörkertal. Kravet att rapportera är något nytt och många myndigheter sitter och arbetar med rutiner och processor för att kunna göra det på ett bra sätt.
MSB håller också på att ta fram ett tekniskt system för att göra rapporteringen. Alla myndigheter har dock fått en krypteringslösning så att de säkert kan skicka in rapporter om it-incidenter via exempelvis e-post.
Det nya systemet skulle ha varit på banan innan årsskiftet, men har nu skjutits upp till andra kvartalet 2017.
– Det är svårt att snabbt bygga ett tekniskt system som ska upprätthålla den sekretess och skyddsnivå vi vill ha, säger Richard Oehme.
Läs också: Därför är du och dina arbetskamrater det största hotet mot it-säkerheten
Det är bara myndigheter som måste skicka in it-incidentrapporter, även om andra aktörer är välkomna att göra det. Men indirekt kommer rapporteringarna också att leda till större insyn hos de privata aktörerna.
Om en myndighets säkerhet påverkas av en störning hos ett företag som levererar it-tjänster måste även det redovisas till MSB inom 24 timmar.
– Ta Tieto-incidenten 2011. Då drabbade ett 40-tal viktiga samhällsaktörer och vi fick aldrig en fullständig bild av vad som hänt vid den tidpunkten, men med det här instrumentet kommer vi att få en betydligt bättre bild och kan bistå myndigheterna på ett helt annat sätt, säger Richard Oehme.
Den typen av redovisningsplikt måste in i avtalen mellan myndigheter och leverantörer. Eftersom it-tjänster i regel upphandlas flera år i taget kommer det att ta ett tag innan sådana avtal finns på plats i hela samhället.
– Det är oerhört viktigt att få en så fullständiga bild det går vid allvarliga incidenter som drabbar myndigheterna och då måste även information från de privata aktörerna som driftar system för myndigheterna ingå, säger Richard Oehme.
