En vinterdag i november förra året blev i stort sett vart enda flyg från Arlanda kraftigt försenade. Anledningen? Ett omfattande it-haveri som tvingade alla resenärer att checka in manuellt. Ett tydligt exempel på it-incident som hamnar i Myndigheten för samhällsskydd och beredskaps statistik.

För första gången sammanställer nu myndigheten antalet inkomna it-incidentrapporter från landets myndigheter. Den obligatoriska insamlingen har pågått sedan i april förra året och listan toppas av händelser som kategoriseras som störningar i driftmiljön och angrepp.

– Det som är intressant i rapporten är att man på grund av incidenterna fått stora eller mycket störningar i sina verksamhetskritiska tjänster, i ungefär 30 procent av fallen är det så. Det är allvarligt för detta är samhällstjänster som ska leverera. Se bara på vad kostnaden blev den stora störningen på Arlanda, säger Richard Oehme, chef för MSB:s verksamhet för cybersäkerhet.

I ungefär tio procent har det till och med handlat om stora eller mycket stora störningar i det som kallas verksamhetskritiska tjänster. Merparten av de händelserna beror på en tillgänglighetsattack, en ddos-attack.

Läs också: Kommunerna usla på it-säkerhet – viktiga samhällstjänster utsätts för onödig risk

Totalt har myndigheten fått in 214 incidentrapporter. Av dem har tolv polisanmälts. 66 rörde framför allt störningar i driftmiljön och 66 handlar om angrepp av olika slag. Haveriet på Arlanda är ett tydligt exempel, men det kan också handla om serverhallar som inte har rätt backup. Den mänskliga faktorn är inte helt borträknad bland kategorierna, men går här under rubriken handhavande el och är till antalet 17 stycken. Något som myndigheten skriver tyder på att kompetenshöjande åtgärder ger positiva effekter.

Under kategorin angrepp faller ett flertal händelser, men vad det främst handlar om vad MSB kallar kryptotrojaner och vd-bedrägerier. Kryptotrojaner är också mer kända som ransomware, eller gisslanprogram. Av de inrapporterande fallen har cirka 40 procent inneburit att myndigheten förlorat information. Något som kan kopplas direkt till dåliga rutiner för säkerhetskopiering.

– Myndigheterna har en skyldighet att se till att deras data är skyddad, detta såväl utifrån våra föreskrifter och det krav som ställs utrifrån säkerhetsskyddslagen. Då är vi tillbaka till att det är ett systematiskt informationssäkerhetsarbete som bygger på systematisk risk- och sårbarhetsanalyser och där så krävs säkerhetsskyddsanalyser. Det finns inga genvägar runt detta utan vägen framåt är ett systematisk säkerhetsarbete, säger Richard Oehme.

Andra brister som upptäcks är att loggningen av it-system inte alltid fungerar så som MSB anser önskvärt. I några av händelserna framkommer att myndigheterna inte har dedikerade loggservrar. Utan korrekta loggar och analysverktyg går det inte att upprätthålla fungerande övervakning, skriver de i rapporten. Då står man ofta utan möjligheter att reda ut vad som verkligen har hänt. Det gäller att ha ordning och reda säger Richard Oehme.

Det är första gången MSB ställer samman en rapport av denna typ. Därför är de försiktiga med att dra för stora slutsatser av sammanställningen. Siffrorna ligger i och för sig i linjer med deras förväntningar, men nu har det fått den bilden bekräftad.

– Det kommer ta ett par år att utveckla denna it-incidentrapporteringen. Men vi ser ändå att den stora utmaningen är att, som andra även andra rapporter från FRA och Säpo visat, att den snabba tekniska utvecklingen skapat utmaningar i det digitala samhället, och där inte säkerhetsåtgärderna hängt med, säger han.

Samtidigt är det långt ifrån alla myndigheter som ska rapportera it-incidenter som gjort så. Av 244 rapporteringsskyldiga myndigheter har 77 lämnat in uppgifter om händelser under 2016. En av myndigheterna har rapporterat så många som 20 stycken, medan 39 myndigheter enbart rapporterat en vardera.

Läs också: Sensorer från MSB ska varna för it-attacker i realtid

Anledningen till att det ser så olika ut är bedömningen av vad som är en allvarlig it-incident. Det finns ingen mall för var det är, och det är inte heller aktuellt. Alla verksamheter ser olika ut säger MSB-chefen, och därmed ser kriterierna olika ut. MSB har på sidan cert.se listat en rad exempel som myndigheterna kan utgå ifrån. Men de tror också att fortfarande är många incidenter som inte kommer till MSB:s kännedom.

– En del som är lite oroväckande är att det är ett tiotal myndigheter med fler än 1 000 anställa som inte har rapporterat en enda incident, det är inte rimligt att tro att det är så, säger Richard Oehme.

Nu ska han tillsammans med sina kollegor se över rapporteringen. Vilka förändringar som behöver göras, om kategorier eller rutiner behöver göras om.

– Det är positivt att vi fått in så pass mycket material att vi nu vet vad vi ska gå vidare med, vilka områden som vi kan jobba mer med. När det kommer till den hot- och riskbild som finns, så måste alla ta sitt ansvar. Vi och andra centrala myndigheter kan stödja, men var och en måste ta sitt ansvar i en helt digitaliserad värld, säger han.