En inträffad it-incident tolkas ofta som en konsekvens av en cyberattack. Men hur ligger det till egentligen? Är cyberattacker den vanligaste orsaken till en it-incident och vilken påverkan har dessa? Detta blogginlägg ger en övergripande beskrivning av de it-incidenter som skett i Sverige och rapporterats in till MSB under 2022.
Rapporterade it-incidenter under 2022
Informations- och kunskapsspridning kring cybersäkerhet bidrar till att stärka samhällets robusthet och cyberresiliens då allt fler organisationer och individer får möjlighet att veta vilka hot som är aktuella och hur man kan skydda sig. Därför rekommenderas alla organisationer att dela med sig av information och kunskap om cybersäkerhet och it-incidenter (även kallade incidenter). För vissa organisationer inom offentlig och privat sektor finns det även lagkrav på att rapportera incidenter.
Rapporteringskrav gällande it-incidenter ställs på statliga myndigheter i enlighet med förordningen om statliga myndigheters beredskap samt på leverantörer av samhällsviktiga och digitala tjänster (även kallade NIS-leverantörer) enligt NIS-lagen. Både myndigheter och NIS-leverantörer rapporterar sina it-incidenter till Myndigheten för samhällsskydd och beredskap (MSB) som sammanställer dessa årligen.
MSB släppte i mars 2023 sin årsrapport för it-incidentrapportering 2022 med en sammanställning av föregående års inrapporterade it-incidenter. Av rapporten framgår det att totalt 330 incidenter rapporterades in till MSB, varav 231 rapporter kom från myndigheter och 99 rapporter kom från NIS-leverantörer. Totalt är det färre incidenter än föregående år då 343 incidenter rapporterades under 2021 där siffrorna dock visar på att antalet incidenter har ökat för varje år hos NIS-leverantörer men minskat bland myndigheter.
Vad beror it-incidenterna på?
Vad är då de vanligaste orsakerna till de inrapporterade incidenterna? Jo, systemfel visade sig fortfarande, liksom föregående år, vara den mest vanliga anledningen till en it-incident. Ett systemfel är exempelvis en bugg eller ett fel vid uppdateringar och drift. Misstag, som står för 26 % av incidenterna, härrör däremot från aktiva handlingar där fel har gjorts. Incidenter som kan tillskrivas antagonistiska handlingar såsom cyberattacker ryms inom kategorin angrepp och utgör 12 % av incidenterna. Bland incidenterna orsakades 12 % av okända orsaker medan 8 % var kända men svårkategoriserade. Inga incidenter skedde till följd av naturhändelser såsom blixtnedslag.
Noterbart är att nästan hälften av NIS-leverantörernas inrapporterade incidenter kategoriserades som okänt jämfört med myndigheterna bland vilka den orsaken var den minst förekommande. Det kan bero på att myndigheter har 48 timmar på sig att rapportera en incident jämfört med NIS-leverantörer som har 6 timmar på sig vilket i sin tur kan leda till att en incidents orsak inte hinner fastställas och kategoriseras.
Vad får it-incidenterna för konsekvenser?
Vid de inträffade incidenterna påverkades oftast tillgängligheten (möjligheten för användare att komma åt exempelvis ett system eller information) till informationssystem och information. Procentuellt sett fanns mindre påverkan på riktigheten (huruvida tillgänglig information är korrekt och fullständig) samt konfidentialiteten (ifall hemlig skyddsvärd information har läckt till obehöriga). Viktigt att poängtera är dock att en påverkan på riktigheten och konfidentialiteten av information kan i praktiken ha allvarliga implikationer när det väl har inträffat, även om det inte visar sig ske lika ofta som att ett system enbart slås ut och görs otillgängligt.
Att tillgänglighet av informationssystem påverkas kan i vissa fall få betydande samhällskonsekvenser. En sådan situation kan oftast lösas genom att vid störningar kunna nyttja samma tjänst men tillhandahållen av en annan aktör, som exempelvis att nyttja internetuppkoppling från olika internetleverantörer vid behov. Problem uppstår dock vid ett monoberoende i digitala leveranskedjor, nämligen då många aktörer använder sig av informationssystem som är sårbara för samma hot. Ett annat exempel är när många aktörer använder sig av samma leverantör i en digital leveranskedja, vilket leder till att samtliga aktörer påverkas om leverantören drabbas av en incident.
I diagrammet nedan tydliggörs det att fler än hälften av NIS-leverantörernas inrapporterade incidenter härrör från störningar hos leverantörer. Siffran är däremot lägre bland myndigheter och ligger på 25 %.
Det är därför synnerligen viktigt att organisationer inom både offentlig och privat sektor vidtar åtgärder för att utöka sin kunskap om sina leverantörer i digitala leveranskedjor. På så sätt kan man stärka sin redundans och kontinuitetsförmåga genom att ha alternativa lösningar redo vid en inträffad incident. Dessutom är betydelsen av en god kommunikation med leverantörer oerhört viktig för att skapa sig en god bild av potentiella risker som då kan förebyggas. Ett tillägg, i ljuset av detta, är att även NIS 2-direktivet påtalar om vikten av att privata och offentliga aktörer har ansvar för att formulera tydliga informationssäkerhetskrav på sina leverantörer. Dessutom är det lika viktigt att följa upp den säkerheten i de beställda tjänsterna.
Innehållet i detta blogginlägg kommer från MSB:s årsrapport it-incidentrapportering 2022 som finns att läsa här i sin helhet. Syftet med detta blogginlägg är att bidra med en överblick över rapporterade it-incidenter i Sverige under 2022 samt deras orsak och påverkan. Årsrapporten innefattar inte incidenter som inträffat hos organisationer som inte omfattas av NIS-lagen eller förordningen om myndigheters beredskap.