Under 2023 ökade antalet försök till cyberangrepp kraftigt mot statliga myndigheter och leverantörer av samhällsviktiga tjänster.
Tidigare år har systemfel och misstag dominerat orsaksbilden – men nu är cyberangrepp den vanligaste orsaken. Det visar MSB:s årsredovisning av it-incidentrapporter.
Statliga myndigheter och organisationer som omfattas av NIS-direktivet är skyldiga att rapportera it-incidenter till MSB, som sammanställer och analyserar rapporteringen. Nu är fjolårets statistik klar. Under 2023 har totalt 334 it-incidenter rapporterats till MSB från 136 olika organisationer. Det är i stort sett lika många som rapporterades under 2021 och 2022. Det som skiljer är att andelen cyberangrepp är betydligt fler och den största bakomliggande orsaken till it-incidenter under 2023. Tidigare har systemfel och misstag dominerat orsaksbeskrivningen. Närmare hälften av alla it-incidenter skedde hos en leverantör, vilket är en ökning med 33 procent jämfört med 2022.
– Cybersäkerhetsnivån i samhället måste förbättras. Omvärldsläget och den senaste tidens it-incidenter som fått stora konsekvenser för en rad organisationer aktualiserar vikten av ökad förändringstakt. Ökningen av cyberangrepp hänger ihop med att fler överbelastningsangrepp rapporterades mellan januari och maj 2023, säger Åke Holmgren, chef för avdelningen för cybersäkerhet och säkra kommunikationer på MSB.
Han fortsätter:
– Det sammanträffar med de uppmärksammade manifestationer där koranen skändades på olika platser i Sverige. Angreppen begränsade exempelvis tillgängligheten till webbsidor. Det är allvarligt att så många organisationer drabbades, samtidigt noterades inga större samhällskonsekvenser denna gång.
Figur 1– Fördelning av inrapporterade orsaker till it-incidenter 2023
Ursprung hos en leverantör
Förutom att andelen cyberangreppsförsök ökat visar alltså statistiken att närmare hälften av alla it-incidenter har sitt ursprung hos en leverantör till den rapporterade organisationen. MSB har i tidigare rapporter påvisat att störningar i digitala leveranskedjor är de incidenter som riskerar få störst samhällskonsekvenser eftersom en mängd organisationer och dess tjänster kan påverkas samtidigt. I närtid utgör Tietoevry-incidenten ett väldokumenterat typexempel på problematiken.
EU-regleringar ökar kraven på de organisationer som omfattas
Årsrapporten har i år en temadel om nya EU-regleringar på information- och cybersäkerhetsområdet. Rapporten lyfter bland annat NIS2, CER, DORA, AI-förordningen och Cyberresiliensakten och ger en överblick på de krav som kan komma att ställas på berörda organisationer. Dessa och andra regleringar kommer att stärka området samtidigt som högre krav innebär ökade kostnader för de organisationer som berörs.
– För att leva upp till kommande krav bedömer MSB att de organisationer som omfattas av regleringarna behöver tillföra resurser redan nu. Medarbetare måste exempelvis utbildas om den nya kravbilden och genomföra gapanalyser. Det behövs även investeringar för att genomföra identifierade säkerhetsåtgärder säger Satu Björn, analytiker på strategiska cybersäkerhetsanalysen på MSB.
Sverige behöver införa dessa EU-regleringar effektivt och dra nytta av synergier med beredskapssystemet. Vissa företag och organisationer kommer att omfattas av flera av de kommande regleringarna samtidigt vilket kan innebära större påfrestningar för att möta alla krav. För att stärka motståndskraften är det centralt att göra det så enkelt som möjligt för dem att leva upp till kraven. Om företag och organisationer får samordnade krav ges de bästa möjliga förutsättningar, samtidigt som statens resurser används effektivt.
25 rekommendationer för stärkt skydd mot cyberangrepp
MSB publicerade i januari i år en temarapport om cyberangrepp mot samhällsviktiga informationssystem, samt 25 rekommendationer för stärkt skydd mot cyberangrepp. Dessa rekommendationer aktualiseras ytterligare utifrån årsrapportens redogörelse.