Ifrågasätter incidentrapportering

Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet 2020-2021: två från MSB och en från IMY (Integritetsskyddsmyndigheten). Det konstaterar IT-säkerhetsexperten Fia Ewald med bakgrund på MSB.

– Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete, undrar konsulten i systematiskt informationssäkerhetsarbete. Hon skriver om sådana frågor på sin blogg.

Kvantitativa insamlingar
– Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till IT-incidenter, vilket är det som MSB och NIS-direktivet* fokuserar på.

Fia Ewald.

– Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har, skriver Fia Ewald.

”Tar mycket resurser”
För att få grepp om frågan har hon gjort en sammanställning av 2020 års inrapporterade incidenter. Sammantaget betraktar hon incidentrapporteringen som ”en av de tyngsta säkerhetssatsningarna nationellt som tar mycket resurser både lokalt och centralt.”

– Detta skulle kanske vara motiverat om resultatet vore i paritet med insatsen. Vid genomläsningen av rapporterna kan jag inte tycka att det är det, fastslår Fia Ewald.

I sitt blogginlägg utvecklar hon frågeställningarna och motiveringarna till sitt ställningstagande. Läs mer här. 

Fotnot

*NIS (Network and Information Security) trädde i kraft den 1 augusti 2018 och lagen kallas även för Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Syftet med direktivet är att uppnå en hög gemensam nivå av säkerhet i nätverk och informationssystem inom EU. Direktivet tvingar leverantörer av samhällsviktiga tjänster att arbeta med hantering av risker och incidenter för att höja säkerheten och uppnå en hög säkerhetsnivå.