23/06 2020
 

Datainspektionen delar med sig av insikter om IT-angrepp

 
 
I maj 2020 publicerade Datainspektionen en rapport om personuppgiftsincidenter som orsakats av IT-angrepp och som rapporterats in till dem under 2019. Rapporten styrker det som vi på inTechrity brukar prata om, att utbildning och medvetenhet hos personalen är en av de viktigaste säkerhetsåtgärderna när det kommer till att skydda information. 

En dryg tredjedel av alla IT-angrepp som rapporterades in under 2019 upptäcktes av en anställd. Ett av de vanligaste IT-angreppen är phishingattacker, dvs. angrepp där en användare luras att exempelvis klicka på en falsk länk i ett mejl, skriva in sitt lösenord på en osäker sida eller ladda ned en infekterad fil. IT-angrepp i allmänhet och phishingattacker i synnerhet hindras därför enligt rapporten bäst genom att personalen får utbildning, information och löpande påminnelser om hur vanliga IT-angrepp går till. 

En knapp tredjedel av de anmälda IT-angreppen 2019 upptäcktes genom rutiner och automatiserade processer, t.ex. regelbundna kontroller eller spamfilter. Det vanliga är att ett angrepp upptäcks inom en vecka från att det inträffade, men i 13% av fallen har det dröjt över en månad innan angreppet upptäckts.

För att förhindra att personuppgifter kommer i orätta händer i samband med intrång i e-postkonton tipsar Datainspektionen om att införa riktlinjer och rutiner för säker e-posthantering. Det kan t.ex. handla om att inte hantera fler uppgifter i ett mejl än vad som behövs och att inte spara dem längre än nödvändigt. Dessa principer finns ofta med i personuppgiftspolicys.

Datainspektionen ger oss även viss insyn i deras arbete med inkomna incidentanmälningar. När en anmälan kommer in är det första de gör att omgående granska bl.a. om anmälan är fullständig eller behöver kompletteras, hur allvarlig incidenten är (t.ex. baserat på antal drabbade individer samt uppgifternas och individernas känslighetsgrad) och hur incidenten har hanterats av anmälaren. Om anmälan inte behöver kompletteras, incidenten har hanterats väl och risken för enskilda bedöms som låg avslutar Datainspektionen ärendet, varpå anmälaren får ett brev med besked om detta. I annat fall skickas incidenten över till Datainspektionens operativa enheter för att överväga om tillsyn ska inledas. Den bedömningen görs med utgångspunkt i myndighetens tillsynspolicy och tillsynsplan.

Vill du veta mer om hur du kan höja säkerheten i din organisation eller boka en utbildning med någon av våra rådgivare? Kontakta oss på info@intechrity.se