In English

20 mars, 2017

Rapport från MSB visar på bristande logghantering hos myndigheter

Från och med den 1 april 2016 måste myndigheter rapportera IT-incidenter till Myndigheten för samhällsskydd och beredskap (MSB). Under förra veckan släpptes den första rapporten som visade att knappt en tredjedel av myndigheterna under 2016 (1 april – 31 december) har rapporterat en eller flera incidenter till MSB.

MSB:s bedömning är dock att det som rapporterats inte ligger i paritet med det faktiska antalet allvarliga IT-incidenter och nämner att det kan ta ett par år innan systemet fungerar som det ska. Eftersom det bara har rapporterats en liten mängd incidenter innebär det också att det är svårt att ge en samlad bild av de allvarliga incidenterna som drabbar myndigheter.

Störningar i driftmiljö och angrepp vanligaste incidentkategorierna

MSB har definierat ett antal olika incidentkategorier och har sammanställt vilka kategorier som är vanligast. Här följer dessa kategorier rangordnade efter de som inträffat flest gånger:

  • Störning i driftmiljö – 66 incidenter
  • Angrepp – 66 incidenter
  • Störning i mjuk- eller hårdvara – 38 incidenter
  • Handhavandefel – 17 incidenter
  • Informationsförlust eller informationsläckage – 11 incidenter
  • Oönskade eller oplanerade störningar i kritisk infrastruktur – 9 incidenter
  • Hindrad tillgång till information – 5 incidenter
  • Säkerhetsbrist i en produkt – 2 incidenter
  • Informationsförvanskning – 0 incidenter
  • Annan plötslig oförutsedd händelse som lett till skada – 0 incidenter

I topp finns störningar i driftmiljö och angrepp, båda med 66 rapporterade incidenter. Angrepp i det här fallet kan vara exempelvis överbelastningsattacker.

MSB skriver att huvuddelen av de incidenter som kategoriserats som informationsförlust har involverat ransomware. Bland de myndigheter som drabbats av ransomware har det i 40 procent av fallen lett till informationsförlust. Graden av informationsförlust är tydligt kopplad till myndigheternas rutiner för säkerhetskopiering.

En annan attacktyp som uppmärksammas i rapporten är s.k. vd-bedrägerier. Kort beskrivet är det när en bedragare utger sig för att vara en högt uppsatt chef som behöver få en transaktion genomförd med kort varsel. Elva sådana attacker har rapporterats under 2016.

Oroande brister gällande loggning av IT-system

MSB pekar på att det finns oroande brister i loggningen av IT-system. Det har i flera fall framkommit att myndigheter saknar en dedikerad loggserver, något som är en mycket viktig komponent för att kunna upprätthålla en fungerande övervakning av IT-systemen, samt i efterhand kunna klargöra vad som verkligen skett i systemet.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.