Den 1 april blev det krav på obligatorisk rapportering av IT-incidenter för statliga myndigheter.

Sedan dess har 109 incidenter rapporterats till MSB. En tredjedel av dem har haft stor eller mycket stor påverkan på samhället.

Det berättade Richard Oehme, enhetschef på MSB, när han sammanfattade de första månadernas inrapportering.

– Redan nu kan vi se att det finns brister när det gäller incidentrapporteringen och hur man agerar från olika myndigheter, säger Richard Oehme.

Det som ska rapporteras är incidenter som allvarligt kan påverka säkerheten, men det råder osäkerhet både om vad som är en ”IT-incident” och vad som menas med ”allvarlig”.

– Det är stor skillnad hur man bedömer allvarligt. Många tycker virus är allvarligt medan andra, vadå det är ingen atombomb som exploderat här så det är väl inte så allvarligt. Det beror på vilka förutsättningar man har. Det är ni som bäst bedömer hur allvarlig en incident är och det är organisationens perspektiv som ska antas. På CERT-SEs hemsida finns exempel på hur man ska bedöma allvarlighetsgraden, säger Ann-Marie Alverås Lovén, MSB.

Av de incidenter som inrapporterats är de vanligaste problemen störningar i driftsmiljön, angrepp med Ransomware och hinder av tillgång till information.

– Exempel på driftsstörning är serverkrasch med alla konton drabbade, mycket långa svarstider som stoppat extern e-tjänst, datorhall strömlös och att reservkraften inte gick igång. Det är särskilt bekymmersamt. Reservkraft är en fråga vi har diskuterat så länge, det borde fungera nu, säger Richard Oehme.

Andra exempel är kommunikationsstörningar i epost och VPN-tunnlar. På angreppssidan upprepade DDoS-attacker.

– Vi borde hittat verktyg mot överbelastningsattacker. Det finns bra tjänster att upphandla för att säkerställa ett bättre skydd.

Exempel på hinder i tillgång till information är stopp i ärendehanteringssystem efter programuppdatering, diskkrascher som medfört otillgängliga data i ett dygn.

– Ett dygns datastopp vid löneutbetalning får ganska stor påverkan, säger Richard Oehme som bedömer att en tredjedel av incidenterna haft stor eller mycket stor påverkan på samhället.

Ett tiotal myndigheter har inte rapporterat någon IT-incident. Det kan ha förklaringar, men har väckt funderingar.

– Vi har haft en dialog med säkerhetspolisen och vi är lite bekymrade över att inte fler kommit in med rapporter. Vår samlade bedömning är att mer borde inrapporterats. Det här kommer vi självklart att följa upp och titta närmare på.

Syftet med incidentrapporteringen är att skapa en samlad lägesbild, avvärja och begränsa incidenter, att lära och arbeta förebyggande.

– När vi fått upp systemet och rutinerna och börjat kommunicera på ett bra sätt med varandra kommer vi att kunna ge omedelbar feedback när någonting händer. Vi har en unik möjlighet att tillsammans lyfta informationssäkerheten till den nivå medborgarna kan förvänta sig av staten, säger Richard Oehme, som avslutade med en viktig påminnelse:

– Föreskriften säger att när ni upphandlar nya tjänster ska även de omfattas av rapporteringskravet. Det kommer vi att följa upp särskilt för det gör det möjligt att se konsekvenserna på samhällsnivå om en stor leverantör drabbas.