Myndigheter skeptiska till nya krav om IT-brott

I april i år infördes ett nytt system där myndigheterna ska rapportera IT-incidenter till MSB, Myndigheten för samhällsskydd och beredskap, det rör sig som allt från överbelastningsattacker till dataintrång. Alla statliga myndigheter är skyldiga att rapportera om alla former av IT-incidenter till MSB. Om det finns en misstanke att det ligger ett brott bakom har MSB i dag en skyldighet att uppmana myndigheten att anmäla det till polisen.  

Oro från departementet

Men det finns ingen skyldighet för den myndighet som har utsatts för attacken att följa MSB:s uppmaning. Och det är det senare som oroar justitiedepartementet då finns en stor risk i att många allvarliga IT-incidenter inte polisanmäls. Enligt en promemoria från departementet har ingen av de incidenter som rapporterats till MSB under april och maj 2016 i nästa steg anmälts till polisen av den myndighet som har drabbats.

Läs också: Misstänkta IT-brott mot myndigheter anmäls inte

Därför planerar regeringen nu en förändring av de relativt färska reglerna. Enligt den departementspromemoria som lades fram i somras ska en ny regel införas den 1 januari 2017. Den innebär att MSB ska vara skyldig att skyndsamt lämna uppgifter till Polismyndigheten om en IT-incident där det finns anledning att anta att den har sin grund i en brottslig gärning.

För tidigt

Förslaget har nu varit ute på remiss bland ett 60-tal myndigheter och andra aktörer. Flera myndigheter har inga särskilda synpunkter på regeringens planer. Men MSB avstyrker planerna och ett skäl är att det har gått så kort tid sedan den obligatoriska IT-incidentrapporteringen infördes den 1 april 2016 och att det är för tidigt att göra stora förändringar.

Det är i dag för tidigt för att dra slutsatser om varför myndigheterna inte rapporterar vidare till polisen i så stor utsträckning som de borde, enligt experter.

– När man skapar ett stort och nytt nationellt system så måste man inse att det tar en viss tid innan det är uppe på banan, säger Richard Oehme, chef för verksamheter för cybersäkerhet och skydd av samhällsviktig verksamhet vid MSB, till Altinget.

Han pekar på att MSB är i färd med att ta fram ett nytt system och när det är på plats kommer myndigheternas rapportering att underlättas.

Från både Polismyndighetens och MSB sida understryks att det viktig med ett samarbete mellan mellan polisen och MSB för informationsutbytet och det är ett arbete som redan har påbörjats.

Sämre rapportering

MSB ser även en risk i att viljan att rapportera IT-incidenter minskar med den förändring som regeringen förbereder. Det är en synpunkt som Försvarshögskolan delar. Blir en brottsutredningen offentlig kan de ge en dåligt bild av myndigheterna, och då försvagas incitamentet att rapportera sådana händelser och samhällsskyddet försämras, Enligt Försvarshögskolan.

Försäkringskassan anser att dagens system räcker. Myndigheterna bör själva ha kompetens för att avgöra om en IT-incident ska polisanmälas.

Flera andra myndigheter, bland andra Kronofogdemyndigheten anser att det är den drabbade myndigheten som ska ha ett huvudansvar för att anmäla ett misstänkt IT-intrång till polisen. 

Sekretess

Skatteverket påpekar in sitt remissvar att det är vikt att uppgifter som lämnas från MSB till Polisen omfattas av ett starkt sekretesskydd

Datainspektion framhåller att rapportering utgör en säkerhetsrisk, eftersom det innebär en upplysning om att den aktuella organisationens säkerhetssystem är sårbara. Därför finns det  mycket tungt vägande intresse av att sekretessbelägga uppgifter om namn på organisationer som anmäler en IT-incident. Det bör ske genom att en bestämmelse om absolut sekretess införs, anser Datainspektionen.

Åklagarmyndigheten anser de uppgifter som MSB ska lämna vidare till Polismyndigheten inte per automatik ska resultera i en polisanmälan. Detta är  viktigt eftersom myndigheternas vilja att anmäla till MSB annars kan hämmas, enligt Åklagarmyndigheten. I de flesta fall räcker inte underlagen kring inträffade IT-incidenter för att göra en polisanmälan. Den detaljinformation som krävs finns snarast hos berörd myndighet och måste inhämtas före en polisanmälan, enligt Åklagarmyndigheten.