Snart måste it-incidenter rapporteras

2016-02-18 05:00 Monica Kleja  

Hemlighetsmakeriet är ofta stort kring dataintrång och it-incidenter. Men om ett drygt år kommer många teknikföretag i samhällskritiska branscher att tvingas rapportera alla allvarligare händelser.

I Ny Tekniks förra nummer vittnade svenska unga teknikföretag om att de utsätts för inloggningsförsök, cyberspionage och dataintrång. Få bolag anmäler dock brotten till polisen. Man mörkar hellre för att undvika offentlighet.

Samtidigt växer cyberhotet på många fronter. För att öka it-säkerheten i Europa kom EU-kommissionen, EU-parlamentet och ministerrådet för några månader sedan överens om ny lagstiftning i EU.

Regelverket kallas Nis-direktivet (Nät- och informationssäkerhetsdirektivet) och är ett nytt strategiskt dokument. Det kommer medföra förändringar – inte minst för privata it- och teknikföretag som arbetar inom områdena energi, transporter, digital infrastruktur, dricksvattenförsörjning, bank och hälsa. Direktivet omfattar även kommuner, statliga myndigheter och andra organisationer som verkar inom sektorerna.

Det nya direktivet ställer dels krav på att allvarliga it-incidenter, som hackerattacker och andra sårbarheter, ska rapporteras till en behörig nationell aktör. Dels blir man också skyldig att ha en ”adekvat” nivå vad gäller informationssäkerhetsskyddet.

I EU-förhandlingarna ville Sverige att det skulle vara frivilligt att rapportera it-incidenter. Men enligt uppgörelsen blir det nu obligatoriskt.

– Inte alla aktörer omfattas men finns man i en av de utpekade samhällsviktiga sektorerna så omfattas man av direktivet, säger Tor-Björn Åstrand, departementssekreterare på Justitiedepartementet.

I Sverige är det Cert.se på Myndigheten för samhällsskydd och beredskap, MSB, som är det svenska nationella incidentorganet och som stöttar näringsliv och myndigheter i it-säkerhetsfrågor. Men vilken myndighet det blir som man ska rapportera till enligt Nis-direktivet bereds nu inom regeringskansliet, uppger Tor-Björn Åstrand. Tanken är att rapportorganen också ska dela med sig av informationen till andra länder inom ett EU-nätverk.

Direktivet bedöms träda i kraft under våren och medlemsstaterna har 21 månader på sig att införa reglerna. Så sannolikt 2017, eller möjligtvis 2018, måste ett stort antal aktörer ha satt upp system.

Per Gustavsson, senior rådgivare på it-säkerhetsbolaget Combitech, tror att rapportplikten kommer att fungera som tänkt.

– Rent krasst hoppas man att det ska fungera, men då måste man tydligt definiera vad man avser med allvarliga incidenter och vad för slags information som ska skickas in, säger han.

– En enkel historia kan ju vara del i en större incident och för att kunna rapportera den måste man ha hög detekteringsförmåga och det kan innebära att man måste köpa in den tjänsten utifrån.

Han tror att rapporteringen kommer att öka it-säkerheten eftersom en bättre lägesbild ger bättre möjligheter att anpassa skyddet.

Men vad händer om information om till exempel infekterade datorer läcker ut?

– De här kanalerna måste vara säkra. Vad är det för typ av kryptering på linorna? Vem bestämmer det? Det är viktiga frågor, säger Per Gustavsson.

Den 1 april inför regeringen även en skyldighet för alla statliga myndigheter att rapportera it-incidenter till MSB. Enligt Anders Ahlqvist, kriminalkommissarie vid polisens Nationella it-brottsgrupp, är det oklart i vilken mån polisen kommer att få del av information både från denna rapportering och den som kommer via Nis-direktivet.

– Får vi veta att brott begåtts är vi skyldiga att inleda förundersökning, konstaterar Anders Ahlqvist.

 

Prenumerera på Ny Tekniks kostnadsfria nyhetsbrev!

Målinriktade aktörer

Säpochefen Anders Thornberg beskriver cyberhotet mot svenskt näringsliv som ”omfattande och målinriktat”.

På ett Nasdaq-seminarium för företrädare inom näringslivet 2015 uppgav han att det finns 10–15 stater som aktivt försöker komma åt företagshemligheter i Sverige.

Att komma över teknikinnovationer har på senare år blivit alltmer attraktivt i takt med att konkurrensen på världsmarknaden hårdnat.

– Somliga stater som begår dataintrång har i dag som viktigaste mål för sina informationsoperationer att öka landets ekonomiska tillväxt, säger Tomas Djurling, informationssäkerhetskonsult med mångårig bakgrund inom FRA, Försvarets radioanstalt.

Andra hackare kan utgöras av organiserade kriminella ligor, som bedriver ekonomisk utpressning mot företag, exempelvis via kidnappningsvirus (som krypterar dina filer). De sprids bland annat i mejl och ser ut att komma från Postnord. Även hot om att utföra belastningsattacker förekommer vid utpressningsförsök, enligt polisen.

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Dagens viktigaste nyheter

Aktuellt inom

Senaste inom

Debatt