Till innehåll på sidan

Föråldrade it-system och mänskliga misstag största orsakerna till it-incidenter

MSB bedömer att det finns en risk att kommande års it-incidenter kommer att få allt allvarligare konsekvenser i takt med att digitaliseringen av myndigheternas informationshantering fortsätter. För att motverka denna utveckling behöver arbetet med informationssäkerhet och cybersäkerhet prioriteras, få resurser och utvecklas hos statliga myndigheter de kommande åren.

Ladda ner rapporten i sin helhet

Innehållet på den här sidan är ett utdrag av årsrapporten, som du kan ta del av i sin helhet genom att ladda ner den som pdf-fil.

Årsrapport it-incidentrapportering 2019

It-incidentrapportering 2019

Under 2019 tog MSB emot totalt 296 rapporter om allvarliga it-incidenter från de rapporteringsskyldiga myndigheterna. Antalet myndigheter som lämnade minst en rapport under 2019 var 101 stycken och antalet myndigheter som inte lämnat någon rapport var 150 stycken. Det gav en rapporteringsfrekvens på 40 procent.

Handhavandefel är den största kategorin

De fem största kategorierna av it-incident under 2019 var i fallande ordning:

  1. Handhavandefel
  2. Angrepp
  3. Oönskad eller oplanerad störning i kritisk infrastruktur
  4. Störning i driftmiljö
  5. Störning i mjukvara eller hårdvara.

Stapeldiagram med procentuell fördelning av antal inkomna it-incidentrapporter per kategori 2019.Exempel från verkligheten

  • Handhavandefel - felaktigt konfigurerat ftp-konto

    Vid en kontroll av myndighetens ftp-konton (file transfer protocol), som del av ett arbete med att avveckla dessa, konstaterades att ett konto hade satts upp på sådant vis att en fil låg tillgänglig för alla som hade åtkomst till kontot. Lösningen hade varit uppsatt på detta sätt sedan flera år tillbaka. De som hade åtkomst till kontot var ett hundratal organisationer som rapporterar in känsliga uppgifter, bland annat om sina anställda. Flera fel hade begåtts i fallet, bland annat hade interna krav på behörighetsstyrning inte efterlevts då flera organisationer hade tillgång till samma ftp-konto. Vidare hade uppgifter kunnat lämnas via en okrypterad förbindelse. Det fanns också en risk att enskilda filer potentiellt funnits tillgängliga för andra organisationer då de hade tillgång till samma konto.

    De flesta organisationer som rapporterar in uppgifter har maskin-till-maskin-överlämnande av filer men de som hade tillgång till kontot hade således möjligheten att logga in manuellt. Därför fanns risken att olika organisationer kunde se varandras information som längst en timme för varje lämnad fil, innan den flyttades. Det fanns även en risk att någon med tillgång till kontot skulle ha kunnat ladda ner information på regelbunden basis. Den kortsiktiga lösningen på problemet var att stänga kontot helt och säkerställa att uppgiftslämnare använde det säkrare protokollet sftp (secure file transfer protocol), som garanterar bättre behörighetshantering och krypterad överföring.

    Rekommendation

    Det är olämpligt att flera olika användare har tillgång till samma ftp-konto för överföring och hantering av filer, särskilt sådana med känsligt innehåll. Om flera använder samma konto försvåras möjligheten att spåra vem som gjort vad, och vem som tagit del av informationen som är publicerad där. Dessutom saknar ftp-protokollet tillräckliga krypteringsfunktioner för hantering av känsliga personuppgifter. Istället bör det säkrare alternativet sftp användas, och i fallet ovan fanns detta de facto tillgängligt att använda. Det bör också införa metoder för verifiering av sin it-miljö, så att det finns en person som är ytterst ansvarig för att säkerställa att kravspecifikationen för den levererade tjänsten uppfylls.

  • Angrepp - skräppost passerade e-postfiltret

    Myndigheten fick in skräppost som passerade e-postfiltret. I meddelandet uppmanades användare att byta lösenord genom att följa en länk. Totalt lurades 103 användare att lämna ut sina inloggningsuppgifter.

    En extern aktör utnyttjade sedan e-postkonton hos myndigheten i syfte att skicka skräppost. Kontouppgifterna missbrukades inte på andra sätt, enligt den drabbade myndigheten. Genom loggar kunde man spåra vilka användare som anslutit mot den externa webbservern, och på så sätt identifiera kapade konton. Dessa konton inaktiverades och deras respektive lösenord byttes ut.

    Så fort som myndigheten blev medveten om nätfisket blockerades tillgången till den externa sajten. Vidare loggades alla försök att få tillgång till sajten och dessa konton inaktiverades. Myndigheten övervakade också sitt skräppostfilter för att se om några försök att skicka ut skräppost hade gjorts. Efter tre dagar bedömdes det akuta skedet vara över.

    Omfattningen av incidenten var att cirka 200 000

    skräppostmeddelanden skickades ut från myndighetens e-postserver. En effekt blev att myndigheten fick problem att skicka e-post under två timmar då den blev svartlistad av ett flertal domäner. Den hade också återkommande problem med fördröjning av e-postleverans på grund av den tidigare svartlistningen.

    I incidentrapporten framgår även att myndigheten planerade genomföra ett antal utbildningsinsatser för att minska risken att liknande händelser sker igen. Den planerade även att byta sitt e-postfilter samt införa säkerhetshöjande åtgärder på sina e-postservrar.

    Rekommendation

    Myndigheten har vidtagit ett antal korrekta åtgärder för att förhindra att liknande incidenter igen. Förutom informationsinsatser för att utbilda personalen om kända nätfiskemetoder och hur känslig information bör delas (eller inte) så rekommenderas en översyn av diverse skyddslösningar och kontrollsystem för att säkerställa att tillräckligt skydd är installerat i alla led i it-miljön.

  • Oönskad eller oplanerad störning i kritisk infrastruktur

    En eftermiddag drabbades myndigheten av ett avbrott hos sin mobiltelefonioperatör. Myndighetens möjligheter att kommunicera med omvärlden med mobiltelefon var då mycket begränsade. Samtal tappades, bröts, var helt tysta eller gick inte fram. Detta medförde stor påverkan på flera verksamhetsområden inom myndigheten, med effekter för såväl anställda som allmänheten.

    Samma kväll klarskrevs incidenten av mobiloperatören men problemen återkom efterföljande morgon, och pågick då fram till eftermiddagen. Incidenten klarskrevs igen på eftermiddagen dag två, med undantag för kapacitetsproblem till och från mobiloperatören. Detta medförde i sin tur problem med övervakningslösningar som gick på mobiloperatörens nät. Detta problem åtgärdades under kvällen dag två. Följande dag genomförde mobiloperatören åtgärdsarbeten och uppgraderade då diverse utrustning. 

    Totalt drabbades myndigheten under en och en halv dag. Under denna tidsperiod kompletterades mobiltelefonitjänsten med fasta telefoner samt mobiltelefoner med annan operatör.

    Rekommendation

    För verksamheter som levererar samhällskritiska tjänster är det viktigt att upphandla redundanta leverantörer, så att man snabbt kan ställa om till en annan aktör om problem med tjänsteleverans eller liknande uppstår.

    I kritiska lägen går det också att använda sig av SGSI,  Swedish government secure intranet, ett nätverk för datakommunikation mellan myndigheter, som är skilt från internet.

    Det är även viktigt att upphandla stränga serviceavtal om vilka krav som ställs på tjänsten. Förutom krav på kostnader, driftsäkerhet, antal fel och hastighet bör incidenthantering vara ett krav. Kraven bör anges så att de blir mätbara.

  • Störning i driftsmiljön vid blixtnedslag i dator

    Ett blixtnedslag slog ut en dator, vilket innebar allvarliga störningar i en myndighets samhällskritiska verksamhet. Påverkan pågick i nästan ett dygn. Ingen reservdator av den typ som behövs för verksamheten fanns på plats utan en tekniker var tvungen att ta med sig en dator från annan ort och konfigurera den.

    På grund av bristande rutiner fördröjdes lösningen av incidenten. Enligt dokumentation skulle en färdigkonfigurerad reservdator finnas på plats, men på grund av bristande rutiner var så inte fallet.  Incidenten fick stora konsekvenser på leverans av samhällskritisk tjänst.

    Rekommendation

    Vädret är svårt att rå på men interna rutiner kan man däremot ha bättre kontroll över. När det gäller samhällskritisk verksamhet är det av yttersta vikt att ha reservutrustning nära till hands, och redo för användning, för att minimera samhällsstörningen i tid och omfång. Rutinerna och dokumentationen kring detta bör ses över så att liknande händelser inte inträffar i ett kritiskt läge.

 

Ladda ner rapporten i sin helhet

Innehållet på den här sidan är ett utdrag av årsrapporten, som du kan ta del av i sin helhet genom att ladda ner den som pdf-fil.

Årsrapport it-incidentrapportering 2019

Utveckling 2016-2019

Andelen myndigheter som rapporterat in incidenter har ökat under perioden 2016-2019. Fler myndigheter har lämnat en eller flera rapporter under vissa år, men inga alls under andra år.

 

2016

2017

2018

2019

Antal rapporteringspliktiga myndigheter 244 244 256 251
Antal (andel) rapporterande myndigheter 77 (32 %) 79 (32 %) 87 (34 %) 101 (40 %)
Antal inlämnade it-

incidentrapporter

214 (285)

281

297

296

Rapporterade allvarliga it-incidenter per kategori 2016-2019.

Ladda ner rapporten i sin helhet

Innehållet på den här sidan är ett utdrag av årsrapporten, som du kan ta del av i sin helhet genom att ladda ner den som pdf-fil.

Årsrapport it-incidentrapportering 2019

Analys av rapporteringen

MSB ser med oro på den kombinerade utvecklingen av ökande andel
handhavandefel, föråldrade it-miljöer hos svenska myndigheter och ökad digitalisering. I en komplex och i vissa fall föråldrad it-miljö kan enskilda handhavandefel få stora och ibland svårupptäckta följder.

MSB bedömer att det föreligger en risk att kommande års it-incidenter kommer att få allt allvarligare konsekvenser i takt med att digitaliseringen av myndigheternas informationshantering fortsätter.

Fler kan rapportera mer

MSB har sedan den första årsrapporten publicerades våren 2017 konstaterat samma sak varje år – det är för få incidenter som rapporteras, och för få myndigheter som rapporterar även om antalet rapporterande myndigheter har ökat.

Många it-incidenter går att förebygga och det som inte går att förebygga kan hanteras bättre.

Ladda ner rapporten i sin helhet

Innehållet på den här sidan är ett utdrag av årsrapporten, som du kan ta del av i sin helhet genom att ladda ner den som pdf-fil.

Årsrapport it-incidentrapportering 2019

Senast granskad: 1 april 2020

Kontakta

När du skickar in formuläret kommer vi att behandla dina personuppgifter för att utföra den uppgift som formuläret avser. Tänk på att det du skickar in kan bli en allmän handling.

Till toppen av sidan