I veckan publicerade Datainspektionen rapporten ”Personuppgiftsincidenter som beror på antagonistiska angrepp 2019”. Rapporten är en del av Datainspektionens rapportserie där olika delar av ärendeflödet till myndigheten beskrivs. I rapporten framgår det att det under 2019 inkom knappt 4 800 anmälningar om personuppgiftsincidenter varav 13 procent uppgavs bero på it-angrepp. En stor andel av angreppen berodde på breda nätattacker utan specifika mottagare. En femtedel av alla angrepp anmäldes från detaljhandeln och lite mer än en tiondel anmäldes av industrisektorn. Datainspektionen tror dock att det finns ett stort mörkertal. Dels på grund av att incidenter inte upptäcks (ofta är syftet med it-angrepp att obemärkt ta sig in i it-system), dels att incidenter inte anmäls.
It-angrepp har till syfte att få tillgång till information som t.ex. kan användas för ekonomisk vinning eller för att få kunskap om utvecklings- och affärsplaner. Ett vanligt angreppssätt är phishing – utskick av mejl med uppmaning att t.ex. trycka på en länk som ger angriparna tillgång till olika typer av uppgifter.
I rapporten framgår även Datainspektionens generella rekommendationer i dessa hänseenden. Framförallt behöver verksamheter ha välfungerande organisatoriska skyddsåtgärder för att undvika it-angrepp. Skyddsåtgärder är t.ex. att utbilda medarbetarna i angriparnas metoder och tillvägagångssätt samt de risker angreppen kan resultera i. Det är även av vikt att förstärka säkerheten kring e-posthantering med innehåll av personuppgifter. Avslutningsvis poängterade Datainspektionen vikten av användandet av tekniska åtgärder som bl.a. säkerhetsuppdateringar, flerfaktorsautentisering, kryptering och virusprogram.