Varje dag, året runt, utsätts svenska företag och myndigheter för it-angrepp, visar rapporten från Datainspektionen Foto: Sascha Steinbach, TT arkiv

It-angreppen kartlagda – privat sektor anmäler mest

Publicerad

Nio av tio anmälningar av personuppgiftsincidenter som beror på it-angrepp kommer från den privata sektorn, visar en ny rapport från Datainspektionen.

– Privat sektor hanterar ju mycket kunduppgifter och vi ser ju att det framför allt är personnummer och kreditkortsnummer som angriparna är ute efter, säger analytikern Christina Torell.

Varje dag, året runt, utsätts svenska företag och myndigheter för it-angrepp. Skadorna kan röra sig om allt från småbelopp till förlust av affärskritisk information, och i sin rapport slår Datainspektionen (DI) fast att angreppen påverkar hela samhället.

90 procent de anmälda personuppgiftincidenterna kommer från aktörer inom den privata sektorn, något som skulle kunna bero på att den är mer utsatt. Men det kan också bero på att den offentliga sektorn, som myndigheter, kommuner och regioner, är sämre på att rapportera incidenter. Något MSB (Myndigheten för samhällsskydd och beredskap) tidigare pekat på.

– Att bara var tionde anmälan kommer från offentlig sektor visar att det förmodligen finns ett mörkertal, men hur stort går inte att säga. En orsak kan vara att det inom det offentliga fortfarande saknas rutiner för att hur ett it-angrepp rapporteras vidare.

Skada eller vinning

Under 2019 anmäldes totalt 4 800 personuppgiftsincidenter. Av dessa bedöms 400 (9 procent) vara ”antagonistiska”, det vill säga it-angrepp med målet att antingen orsaka skada eller skapa vinning på ett otillåtet sätt.

Enligt rapporten är många av de antagonistiska incidenterna brett riktade nätattacker utan specifik mottagare. Bland annat så kallad phishing, där förövarna skickar massmejl och hoppas att ”offren” ska klicka sig in på falska webbplatser och lämna ifrån sig uppgifter där.

Kartläggningen visar att ett stort antal branscher är drabbade, men att det finns viss övervikt för detaljhandeln. Flertalet incidenter har upptäckts inom ett dygn och de flesta rapportörerna bedömer att angreppen inte varit särskilt allvarliga. Däremot är några av dem de mycket omfattande.

Miljontals berörda

– Två av de anmälda incidenterna uppges ha berört en halv till en miljon individer. Ytterligare två är ännu större, de berör mer än en miljon individer vardera, säger Christina Thorell. 

Datainspektionen ger också några rekommendationer för hur antalet personuppgiftsrelaterade it-angrepp ska kunna begränsas i framtiden. Det handlar bland annat om att förbättrad organisation, stärka den tekniska kompetensen samt införa säkrare e-posthantering och bättre it-skydd.

Dessutom riktar DI en uppmaning till den offentliga sektorn: Bli bättre på att upptäcka och anmäla it-angrepp.

Fakta om personuppgiftsincidenter

  • En personuppgiftsincident är en säkerhetsincident som exempelvis kan handla om att personuppgifter har blivit förstörda, ändrade, gått förlorade eller kommit i orätta händer.
  • Den kan innebära risker för personerna uppgifterna handlar om, som exempelvis identitetsstöld, bedrägeri eller skadlig ryktesspridning.
  • Om det inte är osannolikt att personuppgiftsincidenten medför en risk för berördas rättigheter och friheter ska den anmälas till Datainspektionen inom 72 timmar från att den upptäckts. Detta regleras genom EU:s dataskyddsförordning GDPR.
  • Av de totalt knappt 4 800 anmälningar om personuppgiftsincidenter som anmäldes till Datainspektionen 2019, utgjordes cirka 600 stycken, 13 procent, av incidenter som uppges bero på antagonistiska angrepp. 400 av dessa betecknas som it-angrepp.

Källa: Datainspektionen

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.