Efter tre år med nya lagen: Noll anmälda it-incidenter

2021-08-26 09:59  

Mörkertalet tros vara stort när det gäller it-incidenter inom kritisk infrastruktur. PTS har inte tagit emot en enda rapport sedan den nya lagen trädde i kraft.

Sedan 2018 måste aktörer som levererar samhällsviktiga tjänster rapportera om en it-incident orsakar störningar. Det är en del av NIS-direktivet som ska stärka it-säkerheten hos kritisk infrastruktur inom EU. Det kan handla om privata eller offentliga aktörer som har hand om exempelvis dricksvatten, sjukvård eller energiförsörjning. 

Men mörkertalet kan vara stort. Den samordnade myndigheten MSB tror att uppemot hälften av de incidenter som sker inte rapporteras in. 

– Vi är ganska övertygade om att det finns en underrapportering, säger Johan Turell som är senior analytiker och forskningssamordnare på MSB.

Läs mer: Så påverkas du av elektronikjättens säkerhetsbrister

Ingen anmälan på tre år

Post- och telestyrelsen, PTS, är en av sju tillsynsmyndigheter för NIS-direktivet. De har tillsynsansvar för 12 aktörer inom digital infrastruktur som leverar DNS-tjänster och administrerar toppdomäner. Där ingår bland annat Internetstiftelsen, Amazon Web Services, Loopia och Netnod.  

Sedan de svenska NIS-lagarna trädde i kraft den 1 augusti 2018 har PTS de inte fått in en enda incidentrapport från dessa tolv aktörer.  

– Vi har inget tydligt svar på vad det beror på, säger Isabelle Westerlund som är jurist på avdelningen för säker kommunikation på PTS. 

–  Antingen har aktörerna väldigt hög säkerhetsnivå och inga incidenter har inträffat, eller så behöver vi se över trösklarna för vilka incidenter som ska rapporteras. Eller så har de underlåtit att rapportera incidenter, och det vore väldigt allvarligt.  

Som en incident klassas störningar i it-system som i sin tur orsakar störning av kritisk infrastruktur. Det kan handla om alltifrån elavbrott eller driftstopp i en molntjänst till it-attacker, även om den sistnämnda kategorin är ovanlig. 

För att ta reda på varför inga rapporter inkommit har PTS nu inlett en tillsyn där de kommer att kontakta alla aktörer inom sin sektor. En utredning som beräknas vara klar inom några månader. 

Är ni överraskade att det inte inkommit en enda rapport på tre år?  

– Absolut, det är därför vi inleder granskningen. Vi vill gärna ta reda på vad det beror på, säger Isabelle Westerlund. 

Läs mer: Ny Teknik Insight: Schrems II – striden om din personliga data

Hälften av rapporterna kan saknas

Under 2020 inkom totalt 87 rapporter från de drygt 560 aktörer som är skyldiga att anmäla it-incidenter enligt NIS-direktivet.  

MSB har undersökt rapporterna som inkommit, och kan konstatera att det troligtvis finns ett högt mörkertal. Det finns exempelvis aktörer inom vissa sektorer som inte lämnat in en enda rapport, trots att aktörer med liknande verksamhet gjort det.  

–  Inom vården kan det handla om en journaltjänst som hyrs in från ett it-bolag. Om det it-bolaget drabbas av en driftstörning som gör att journalsystemet inte fungerar som det ska har vi noterat att det finns vissa vårdgivare som inkommer med rapporter, medan vi inte ser rapporter från andra vilket vi förväntat oss, säger Johan Turrell på MSB.  

Han tillägger att det inte bara gäller vården, samma mönster finns också inom andra sektorer.  

Har ni någon uppfattning om hur stort mörkertalet är?  

– Om man försöker beräkna en ungefärlig bild av hur många incidenter vi kan förvänta oss faktiskt ska se så borde nästan 200 rapporter kommit in under 2020 istället för det 80-tal rapporter vi fick in.  

Simon Campanello

Mer om: It-incidenter PTS

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt