Hoppa till huvudinnehåll

Europol varnar: Företag som drabbas av dataintrång kan välja att betala hackare i stället för att anmäla till myndighet – dataombudsmannen avråder

Bild på en laptop med händer på tangentbordet
Bild på en laptop med händer på tangentbordet Bild: Mostphotos Laptop,hackare,dataintrång,cybersäkerhet,cyberattacker

Den europeiska polismyndigheten Europol säger att EU:s dataskyddsförordning som trädde i kraft i våras har ökat risken för att företag och organisationer betalar ut pengar till hackare som kräver dem på lösensumma.

Det kan bli billigare än att betala ännu större sanktionsavgifter till den övervakande myndigheten, när det har skett ett dataintrång.

Europol har dragit sin slutsats på basis av enkätsvar de har fått från privata samarbetspartners runtom i Europa. Det berättar polismyndigheten för Svenska Yle.

Men Finlands dataombudsman Reijo Aarnio tonar ned risken, och betonar att det lönar sig att anmäla.

– Vi kan kräva betalning på upp till fyra procent av ett företags globala omsättning, men det ligger ingen automatik bakom det här, säger han.

Dålig idé att betala kriminella

Aarnio påpekar också att varje fall är individuellt.

– Vi ger eventuella sanktioner först efter noggranna bedömningar. Det är fel att tänka sig att det är bättre att betala en hackare än att anmäla till oss, säger han.

Polisen har också i flera repriser påpekat att det är en dålig idé att betala kriminella lösensumma.

– Man vet inte vad som händer sen. En hackare kan avslöja dataintrånget efter att han har fått lösensumman, och till exempel sprida vidare de data som han har fått tag på, påpekar Aarnio.

I och med EU:s dataskyddsförordning (GDPR) som trädde i kraft i maj så blev det alltså obligatoriskt för företag och andra aktörer att anmäla då det har skett en allvarligare personuppgiftsincident.

Med en personuppgiftsincident menas enligt Dataombudsmannens byrå en händelse som leder till att personuppgifter förstörs, försvinner, ändras, olovligen överlåts eller hamnar i händerna på en aktör som saknar rätt att behandla dem.

Med personuppgifter menas all information som gäller dig: namn, adress, e-post, telefonnummer, kontonummer, IP-adress, platsdata, personnummer, bilder och samtals- och köphistorik med mera.

Alla incidenter har inte anmälts

Dataombudsmannen Reijo Aarnio säger att vissa dataintrång inte har anmälts trots att så borde ha skett, men han vet inte hur stor roll utpressning har spelat i det här. Han känner inte till några utpressningsfall – åtminstone inte än.

Aarnio vill betona att dataombudsmannens byrå gärna hjälper drabbade aktörer genom att ge råd kring hur de borde sköta sitt dataskydd.

– Och det är något man kan tvingas betala stora summor för om man köper tjänsten av datasäkerhetskonsulter. Vi erbjuder i stället det här gratis, säger han.

Reijo Aarnio
Dataombudsman Reijo Aarnio Reijo Aarnio Bild: Yle / Matti Hämäläinen Reijo Aarnio

Samhällsrisk om lägesbilden blir fel

Han säger dessutom att det är en risk för samhället om företagen väljer att inte anmäla när de har drabbats av dataintrång.

– De fysiska nätverken och verksamheten i dem utgör en viktig nationell infrastruktur, och om det börjar komma störningar som myndigheterna inte är medvetna om så lider hela samhällets dataskyddssatsningar, säger han.

Dataombudsmannens byrå har hittills fått cirka 1 000 anmälningar om personuppgiftsincidenter under de fyra månader som EU:s dataskyddsförordning (GDPR) har varit i kraft.

Aarnio påpekar att det här är en fruktansvärt stor mängd. Det har i medeltal droppat in ungefär åtta anmälningar per dag. GDPR ser ut att fördubbla antalet anmälda personuppgiftsincidenter, jämfört med läget innan förordningen trädde i kraft.

Väntar på lagstiftning

De anmälda fallen handlar om allt från intrång i datasystem till att ett enskilt brev har skickats till fel mottagare.

Dataombudsmannens byrå har inte ännu kunnat behandla fallen eftersom myndigheten väntar på att en ny nationell lagstiftning om dataskydd ska godkännas i riksdagen. Det torde ske ännu i år.

– Efter det kan vi till exempel använda våra legendariska sanktionsbefogenheter, kommenterar Aarnio.

Dataombudsmannens byrå väntas också få betydliga tilläggsresurser i nästa års budget för att den ska kunna göra sitt arbete tillräckligt effektivt.

Läs också

virtuell verklighet + datorer + bredbandsnät + mobiltelefoner + internet + sociala nätverk + lösenord + databrott + teknik (apparater) + kommunikationsteknik + databaser + datakommunikation + pekskärm + telefoner + sökmotorer + datasekretess + e-postadresser