Artiklar
08 augusti 2016

Oklart ansvar vid cyberattacker

Känslig information hos svenska myndigheter ligger ofta på privata it-operatörers servrar. Samtidigt ökar antalet cyberattacker. Vem bär då ansvaret för att skydda informationen? Juristen Markus Naarttijärvi söker svaret i sitt Ragnar Söderbergprojekt.

Svenska myndigheter lagrar mängder av information om oss i olika digitala system. En del information är offentlig, medan annan är sekretessbelagd. Vem som helst kan exempelvis ta reda på din taxerade inkomst via Skatteverket. Däremot tycker de flesta av oss att det är självklart att ingen obehörig kan läsa vår patientjournal.

Men frågan är om vi kan lita på att uppgifterna vilar säkert. Under senare år har cyberattackerna duggat tätt. Ett antal av dessa attacker, som alltså är attentat i den virtuella världen, har lett till att känsliga myndighetsuppgifter hamnat på avvägar. Till exempel stals hela Kronofogdens register över skuldsatta svenskar vid ett intrång i it-bolaget Logicas system 2013.  

Mycket av myndigheternas information ligger i dag på servrar som ägs och drivs av privata it-leverantörer. Men vem bär då ansvaret för att skydda de känsliga uppgifterna vid en eventuell attack? Svaret på den frågan inte helt klar, menar Markus Naarttijärvi, forskare vid juridiska institutionen på Umeå universitet:

– Vid en attack kan olika rättsliga system kollidera. Den som utför attacken har naturligtvis ett straffrättsligt och skadeståndsrättsligt ansvar och leverantören ska upprätthålla en rimlig säkerhetsnivå. Men om myndigheten inte har ställt rimliga krav på leverantören, vad har då myndigheten för ansvar?

Markus Naarttijärvis Ragnar Söderbergprojekt i rättsvetenskap fokuserar på denna ansvarsfråga. Han undersöker vilka skyldigheter de olika aktörerna har vid en cyberattack, med målet att ge underlag till en bättre beredskap mot attacker. Kanske behövs ny lagstiftning på området, kanske krävs förutsättningar för bättre tekniska lösningar. Naarttijärvi undersöker också vilka rättsliga möjligheter myndigheterna har att agera vid ett dataintrång.

Flera instanser har redan påtalat att det finns problem i den svenska informationssäkerheten. En av dem är Riksrevisionen, som har till uppgift att granska hur våra statliga pengar används. I rapporten Informationssäkerheten i den civila statsförvaltningen (2014) framkom att bristerna gäller så väl myndigheternas kompetens på området, som deras upphandling av it-tjänster.

En annan käpp i hjulet, säger Markus Naarttijärvi, är att informationen om vilka myndigheter som är kunder hos en it-leverantör i dagsläget är affärshemligheter. Det har försvårat arbetet för Myndigheten för samhällsskydd och beredskap (MSB), den myndighet som samordnar svensk informationssäkerhet. När en cyberattack inträffat har MSB tvingats ringa runt till var och en av myndigheterna för att få reda på om de är kunder hos den drabbade leverantören.

Är det ett problem att myndigheter lägger ut känslig information på privata bolag?

– Om myndigheten väljer att göra det av kostnadsbesparingsskäl är risken att den prioriterar pris framför säkerhet för systemen. Men det behöver inte vara ett problem, om myndigheten vet vad den ska ställa för krav på operatören.

Hur orolig ska man som medborgare vara för att ens uppgifter läcker ut?

– Mängden attacker och intresset för att komma åt den här typen av uppgifter ökar. Men lever man i samhället kan man inte göra så mycket åt att det genereras en massa information om en hos myndigheterna. Det man kan göra är att ställa krav på att den hanteras på ett bra sätt.

FAKTA: Markus Naartijärvi
Blev beviljad anslag för sitt Ragnar Söderbergprojekt Informationssäkerhet ur ett tvärrättsligt perspektiv i april 2015. Han beskriver sig som något av en datanörd som aldrig blommade ut utan blev jurist istället. Tidigare arbetade han som pressfotograf – ett arbete som mest liknar forskarlivet i att det innebär möjligheten att kika bakom kulisserna och alltid vara nyfiken.

Läs mer:
Markus Naartijärvis forskarsida på Ragnar Söderbergs stiftelses webbplats
 

Foto: Umeå universitet
Text: Anette Lindh