IT-incidenter på statliga myndigheter. Orsaker till utebliven rapportering
Publiceringsdatum: 2020-01-31
Rapportnummer: FOI-R--4815--SE
Sidor: 124
Skriven på: Svenska
Forskningsområde:
- Krisberedskap och civilt försvar
Nyckelord:
- IT-incidenter
- IT-incidentrapportering
- rapporteringsskyldiga myndigheter
- informationssäkerhet
- lägesbild
Sammanfattning
Sedan 2016 är det obligatoriskt för statliga myndigheter att rapportera allvarliga IT-incidenter till MSB. Under åren 2016-2018 rapporterade en tredjedel av myndigheterna IT-incidenter, något som MSB bedömer är en underrapportering. Denna studie undersöker anledningar till att myndigheter inte rapporterar inträffade IT-incidenter samt att de inte polisanmäler inträffade IT-incidenter med ursprung i brottsliga gärningar. Genom en enkät riktad till samtliga rapporteringsskyldiga myndigheter samlade studien information om myndigheternas förutsättningar för ITincidentrapportering samt deras egen bedömning av potentiella anledningar till utebliven rapportering och polisanmälan. Analysen av enkätunderlaget visar att det inte finns en anledning som förklarar den låga rapporterings- och anmälningsgraden. Nuvarande situation beror istället på flera faktorer som, enskilt och i samspel, bidrar till att rapportering uteblir. Några faktorer som framträder är: bristande interna rutiner för identifiering av IT-incidenter samt rutiner för överföring av sekretessbelagd information, hög arbetsbelastning, svårigheter i att bedöma incidenters allvarlighetsgrad, bristande återkoppling från MSB samt bristande kunskaper rörande rapporteringsskyldigheten. Faktorer för utebliven polisanmälan är framför allt svårigheter i att bedöma allvarlighetsgraden, icke inarbetade rutiner för polisanmälan samt låg upplevd nytta med en polisanmälan. Rapporteringsskyldiga myndigheter är inte en homogen grupp. Därför är inte alla orsaker bakom utebliven rapportering av IT-incidenter relevanta i samma utsträckning för samtliga myndigheter.