Obligatorisk IT-incidentrapportering

Från Wikipedia
Hoppa till navigering Hoppa till sök

Obligatorisk IT-incidentrapportering innebär en skyldighet att rapportera IT-sårbarheter.

I Sverige[redigera | redigera wikitext]

I Sverige infördes det den 4 april 2016[1] och innebär en skyldighet för Svenska statliga myndigheter att rapportera IT-sårbarheter till Myndigheten för samhällsskydd och beredskaps avdelning för IT-säkerhetsfrågor (Cert-se) och i vissa fall även till Säkerhetspolisen och Försvarsmakten.[1] Syftet är att få en samlad bild och en kunskapsbas över sårbarheter i svenska system samt att bättre kunna förebygga attacker mot myndigheter där viktiga samhällstjänster riskerar att störas, eller där desinformation planeras att spridas.[1]

Typer av incidenter som ska rapporteras in är störningar i mjukvara/hårdvara, förlust av data, externa attacker, säkerhetsbrister eller felaktigt handhavande som leder till allvarliga incidenter.[2]

Obligatoriet har liknats vid sjukvårdens Lex Maria.[2]

Fram till 30 september samma år som obligatoriet infördes hade svenska myndigheter drabbats av 131 allvarligare it-incidenter under det senaste halvåret som inkommit till MSB,[1] vilket motsvarar ungefär 5 incidenter varje vecka, men Totalförsvarets forskningsinstitut uppskattar att angreppen är mycket fler.[1]

I november 2017 rapporterade Ekoredaktionen att flera myndigheter, kommuner och företag hade allvarliga brister i sin it-säkerhet.[3] Över 7000 system, varav vissa styrde samhällskritisk infrastruktur, hade säkerhetsbrister.[3] I över 1000 av systemen, som bland annat kontrollerar avloppssystem, fastigheter (till exempel fjärrvärme och brandlarm), infrastruktur och kraftverk[4], krävdes inte ens ett lösenord för att kontrollera systemen.[3]

Bakgrund[redigera | redigera wikitext]

Dagens Nyheter publicerade hösten 2014 en artikelserie där tidningen granskade hur myndigheter och företag skötte sin och privatpersoners it-säkerhet.[2]

Riksrevisionen påtalade vintern 2014 att it-hoten mot Sverige har ökat men att regeringen och myndigheterna inte hade vidtagit tillräckliga åtgärder för att skydda sig. Liknande system med obligatorisk it-incidentrapportering hade funnits länge i flera andra länder som USA, Tyskland, Nederländerna och Norge.[2]

Våren 2015 lyfte en statlig utredning obligatorisk it-incidentrapportering som en av de viktigaste åtgärderna att genomföra, något som även Riksrevisionen hade påtalat.[2]

Se även[redigera | redigera wikitext]

References[redigera | redigera wikitext]

  1. ^ [a b c d e] Peter Weyde. "FOI trappar upp arbetet mot it-incidenter", sverigesradio.se, 10 oktober 2016. Åtkomst den 10 oktober 2016.
  2. ^ [a b c d e] Kristoffer Örstadius. "Myndigheter skyldiga att rapportera it-brister", Dagens Nyheter, 16 december 2015. Åtkomst den 27 juni 2016.
  3. ^ [a b c] Emil Hellerud. "Ekot avslöjar: Tusentals it-system har allvarliga säkerhetsbrister", sverigesradio.se, 21 november 2017. Åtkomst den 21 november 2017.
  4. ^ Emil Hellerud. "Gick att styra kraftverk utan lösenord", sverigesradio.se, 22 november 2017. Åtkomst den 22 november 2017.

Externa länkar[redigera | redigera wikitext]