Den 1 april förra året blev det obligatoriskt för alla myndigheter att rapportera in IT-incidenter som inträffar i deras informationssystem eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Det rör sig om händelser som allvarligt har hotat eller avbrutit samhällsviktig verksamhet.
Myndigheteten för samhällsskydd och beredskap (MSB) fick förra året in 214 incidenter, varav 12 polisanmäldes och 3 rapporterades in till Säpo. De vanligaste handlade om störningar i driftmiljön och angrepp i form av ransomware (utpressningsvirus), DDOS-attacker (överbelastningsattacker) och vd-bedrägerier (att bedragare utger sig för att vara vd för ett företag och skickar mejl till anställda och ber dem att göra utbetalningar). I ett fåtal fall var det läckage av personuppgifter.
I år är antalet anmälda IT-incidenter uppe i ungefär 150. MSB vill av säkerhetsskäl inte gå närmare in på vilka myndigheter som drabbats och vad incidenterna handlar om.
Få rapporterar
MSB har tidigare uttryckt kritik mot att så stor andel av myndigheterna inte har rapporterat några incidenter, 2016 var det knappt en tredjedel av de 244 rapporteringsskyldiga myndigheterna. MSB tror att myndigheterna kan ha en hög tröskel för vad som anses vara en allvarlig incident.
Enligt Peter Jonegård, tillförordnad enhetschef för MSB:s underavdelning Cert-se – som arbetar med att förebygga IT-incidenter – är det fortfarande en låg andel del som incidentrapporterar. Han kan dock inte svara på om MSB har påtalat saken för myndigheterna.
– Jag känner inte till att vi ska ha kontaktat dem. Men det kan ha skett utan att jag har fått reda på det.
LÄS MER: Få myndigheter rapporterar IT-problem
Det svaga underlaget försämrar MSB:s möjligheter att göra bra analyser, som myndigheterna skulle kunna ha nytta av. Peter Jonegård tror att det kommer att ta flera år innan man har fått i gång ett bra informationsflöde.
I april började MSB skicka ut månadsrapporter till myndigheterna med en sammanställning av inrapporterade IT-incidenter.
Brister i upphandlingen
Samtidigt påpekar Peter Jonegård att outsourcing av IT-drift, som är aktuellt med tanke på säkerhetsbristerna hos Transportstyrelsen, inte behöver innebära sämre säkerhet. Men då är det särskilt viktigt att myndigheten har kontroll på vilken information och verksamhet som är särskilt känslig.
Han har läst delar av Säpos förundersökning om Transportstyrelsen och menar att det hade varit bättre med en säkerhetsskyddad upphandling, där alla anbudsgivare hade fått information om vilket informationssäkerhetsbehov som fanns.
– Men de gjorde en vanlig upphandling. Det bidrog till den situationen som Transportstyrelsen hamnade i, de bedömde att Säpo inte hann med att säkerhetskontrollera den personal som skulle komma i kontakt med känslig information.
IBM vill inte uttala sig
SVT Nyheter har sökt Transportstyrelsens tjänsteleverantör IBM med frågor om outsourcingen, men bolaget vill inte uttala sig. Dess svenska presschef Lennart Malm skriver i en kort kommentar:
”Vi kommer att stödja Transportstyrelsen och fortsätta att fullgöra vårt kontraktuella ansvar, enligt Transportstyrelsens instruktioner.”