Polisanmälda dataintrång

Karaktär, utmaningar, utvecklingsområden

I den här rapporten presenterar Brå en samlad överblick över karaktären på de dataintrång som anmäls till polisen och en beskrivning av de utmaningar som rättsväsendets aktörer står inför i sitt arbete med att utreda och lagföra brotten. Brå beskriver även utvecklingsområden för polisens arbete mot dataintrång. Rapporten vänder sig i första hand till Polismyndigheten, Åklagarmyndigheten och regeringen.

Dataintrång är att olovligen bereda sig tillgång till en uppgift som är avsedd för automatiserad behandling eller att olovligen ändra, utplåna, blockera eller i register föra in en sådan uppgift. Begreppet dataintrång samlar därmed brott som sker inom ramen för flera olika typer av brottsupplägg. Det är allt från dataintrång av enklare karaktär som att i sitt arbete göra otillåtna slagningar i olika register eller att kapa konton på sociala medier, till mer komplexa dataintrång där någon försöker att olagligen få tillgång till en dator eller ett datorsystem i syfte att orsaka skada genom att blockera tjänster, stjäla eller förstöra information, eller kryptera information i utpressningssyfte.

Även om dataintrång kan se väldigt olika ut i sina upplägg karaktäriseras de av att de sker i en digital och många gånger internationell kontext, vilket försvårar polisens och åklagarnas utredningsarbete. Denna rapport har som syfte att beskriva de dataintrång som anmäls i dag samt de svårigheter som polis och åklagare möter i arbetet med att utreda och lagföra i synnerhet de mer komplexa dataintrångsbrotten.

Frågeställningar

För att uppnå syftet utgår studien från följande frågeställningar:

  1. Vilka typer av dataintrång och tillhörande brottsupplägg anmäls till polisen, och vilka är det som utsätts respektive misstänks för dessa dataintrång?
  2. Vilka typer av dataintrång leder till, respektive leder inte till, personuppklaring?
  3. Vilka svårigheter upplever polis och åklagare i arbetet med att utreda och lagföra komplexa dataintrång?

Rapporten lyfter även förslag på utvecklingsområden för rättsväsendets utredningsarbete samt vikten av att nå ut med information för att förebygga och därmed minska antalet dataintrång i samhället.

Fokus på de mer komplexa dataintrångsbrotten

I Sverige polisanmäldes närmare 9 000 dataintrång 2020 med en ökning till drygt 11 000 dataintrång 2021, vilket troligtvis bara är en bråkdel av de dataintrång som begås eftersom mörkertalet anses vara stort . Polisen tillämpar fem olika brottskoder för att skilja mellan olika typer av dataintrång

  • dataintrång genom överbelastningsattack
  • dataintrång med hjälp av skadlig kod i utpressningssyfte
  • dataintrång genom olovlig registerslagning
  • dataintrång i sociala medier eller e-tjänster
  • övrigt dataintrång.

Polismyndigheten skiljer sådana dataintrång som faller inom ramen för det som betraktas som komplex cyberbrottslighet, såsom dataintrång genom överbelastningsattack och dataintrång med hjälp av skadlig kod i utpressningssyfte, från dataintrång av enklare karaktär såsom dataintrång i sociala medier eller e-tjänster och dataintrång genom olovlig registerslagning. Denna rapport har ett särskilt fokus på utredningsarbetet kopplat till de mer komplexa dataintrången, som utreds vid polisens expertfunktioner för utredning av komplexa cyberbrott vid Polismyndighetens olika it‑brottscentrum.

Brås bedömning

  • En mer utvecklad och ändamålsenlig polisiär cyberbrottsinfrastruktur

Brås intervjuer med personer i olika positioner inom polisorganisationen ger en samlad bild av en polisiär infrastruktur för utredning av komplexa cyberbrott som fortfarande är under uppbyggnad, och som också är sårbar. Organisationen med regionala it-brottscentrum är relativt ny, och det saknas en tydlig samordningsfunktion på nationell nivå. Utifrån Brås granskning framstår ett behov av ett mer uthålligt utredningsarbete, där enskilda ärenden inte läggs ner för fort, och där man får bättre möjligheter att identifiera och samordna ärenden som härrör från samma kriminella aktör, både regionalt och nationellt, till exempel genom att arbeta i team där det ingår representanter från såväl regionerna som det nationella it-brottscentrumet. Ett mer uthålligt arbete skulle också ge bättre möjligheter att arbeta fram utredningsunderlag som kan vara till nytta i internationella polisoperationer mot den organiserade cyberbrottsligheten.

  • En fortsatt modernisering av relevant lagstiftning
Polisens möjligheter att utreda komplexa cyberbrott, inklusive dataintrång, är beroende av en ändamålsenlig lagstiftning. En utmaning som lyfts både i tidigare Brårapporter och i intervjuerna med polis och åklagare i den här studien är att lagstiftningen inte har hängt med i den digitala brottsutvecklingen. Under de senaste åren har regeringen tillsatt ett flertal utredningar i syfte att se över olika delar av lagstiftningen kopplat till rättsväsendets möjligheter att få tillgång till elektroniska uppgifter, och dessa har resulterat i en lagstiftning som bland annat förbättrat möjligheterna att få tillgång till information som finns lagrad i molnet. Ett fortsatt arbete med att modernisera lagstiftningen och anpassa den efter den föränderliga digitala verkligheten är också en förutsättning för att de brottsbekämpande myndigheterna ska kunna arbeta effektivt mot dataintrång och andra typer av cyberbrott.
  • Uppmaningar och stöd för att skydda sig mot dataintrång

En viktig slutsats från Brås diskussioner med experter inom cybersäkerhet är att ett centralt mål för det förebyggande arbetet bör vara att få flera internetanvändare att ta till sig de möjligheter som finns för att skydda sig mot dataintrång. De flesta dataintrång sker med hjälp av enkla metoder och skulle kunna förhindras. Det finns redan i dag välutvecklade säkerhetslösningar och rekommendationer för att skydda sig mot dataintrång, och information om dessa lösningar finns samlad hos olika aktörer, bland annat Myndigheten för samhällsskydd och beredskap (MSB).

Utmaningen för det brottsförebyggande arbetet är att nå ut med dessa rekommendationer och få fler att tillämpa dem. Redan i dag sker generella informationskampanjer i detta syfte, men enligt forskningen ökar sannolikheten att åstadkomma beteendeförändringar om informations­insatser riktas på ett mer direkt och anpassat sätt till olika målgrupper. Därför är det viktigt att även andra aktörer tar den information som finns samlad och anpassar och sprider den till sina egna målgrupper, till exempel inom skolan och högskolesektorn, bransch- och intresseorganisationer samt enskilda företag och myndigheter.

Övergripande resultat

De polisanmälda dataintrångens karaktär

  • Dataintrång som en del av annan brottslighet
    Dataintrång kan vara en enskild händelse eller ingå som ett initialt steg för att i ett senare skede begå ytterligare brott. Studiens resultat visar att när andra brott förekommer i de granskade ärendena är det vanligt att dataintrånget använts som ett steg i att begå bedrägeri- eller utpressningsbrott. Med undantag för dataintrång genom olovliga registerslagningar, förekommer bedrägeribrott eller utpressningsbrott tillsammans med dataintrång i mellan 20 och närmare 27 procent av de granskade dataintrångsanmälningarna.
  • Dataintrång drabbar både juridiska personer och privatpersoner
    Studien visar att företag och verksamheter inom offentlig och ideell sektor i något större utsträckning anmäler mer komplexa dataintrång (överbelastningsattacker och dataintrång genom skadlig kod i utpressningssyfte) jämfört med privatpersoner, medan privatpersoner i större utsträckning är målsägare i de andra typerna av ärenden.

De personuppklarade och nedlagda dataintrångsbrotten

  • Personuppklaringen låg för dataintrång
    Studiens resultat visar att personuppklaringen för dataintrång är låg i de ärenden som Brå har granskat. Det finns ändå en variation i uppklaringen mellan de olika brottskoderna. De allra flesta brott som personuppklaras är olovliga registerslagningar, där en femtedel av de studerade anmälningarna har lett till åtal och fem procent resulterat i ett strafföreläggande.
  • Vanligare att en misstänkt person knyts till brottet vid olovliga registerslagningar
    Vid de flesta anmälda dataintrången finns det ingen skäligen misstänkt gärningsperson. Den enda typ av dataintrång där en skäligen misstänkt knyts till brottet i en majoritet av ärendena är dataintrång genom olovlig registerslagning. Dessa brott skiljer sig från de övriga typerna av dataintrång genom att slagningarna ofta sker på gärningspersonens arbetsplats och loggas i organisationens it-system, vilket underlättar identifieringen av en misstänkt gärningsperson.

Utredningssvårigheter och utmaningar

  • Svårigheter i flera led av utredningsarbetet
    Intervjupersonerna beskriver svårigheter i flera led i utredningsarbetet, i synnerhet när det gäller de mer komplexa dataintrångs­brotten. Det handlar om allt från att det finns ett bristande engagemang hos målsägare att delta i utredningen, särskilt hos utsatta företag, till svårigheter med att få tillgång till data från operatörer och från molntjänster.
  • En underutvecklad polisiär organisation för utredning av komplexa cyberbrott
    Brås intervjuer visar att den svenska polisen i dag i mångt och mycket fortfarande arbetar på ett relativt traditionellt sätt mot dataintrångs­brottsligheten. Till exempel utreds de komplexa dataintrångsbrotten framför allt vid it-brottscentrum i respektive region.

Utvecklingsområden

  • Dataintrång del av ett viktigt men svårhanterligt hot

Dataintrångsbrottsligheten är ett betydande nuvarande och framtida hot mot såväl svenska företag och medborgare som landets digitala infrastruktur. Jämfört med den traditionella brottsligheten kräver komplexa cyber­brott, däribland dataintrångsbrotten, ett annat tillvägagångssätt och ett annat sätt att organisera brottsbekämpningsarbetet.

  • Viktigt med ett fokus på det internationella polisiära samarbetet

En slutsats utifrån den befintliga kunskapen på området och Brås genomgång av de anmälda brotten är att ett framgångsrikt brottsbekämpningsarbete mot den organiserade dataintrångs­brottsligheten kräver ett aktivt polisiärt samarbete på internationell nivå.

  • En mer utvecklad och ändamålsenlig, och mindre sårbar, polisiär organisation

Brås intervjuer med personer i olika positioner inom polisorganisationen ger en samlad bild av en polisiär infrastruktur för utredning av komplexa cyberbrott som fortfarande är under uppbyggnad, och som också är sårbar .

Utvecklingsområden:

  • Förbättrat stöd till polisens kontaktcenter (PKC)
  • Ett utvecklat samarbete med privata aktörer
  • En fortsatt modernisering av relevant lagstiftning

Även med utvecklingsarbete av den typ som beskrivits ovan är polisens möjligheter att utreda komplexa dataintrång och delta i internationella sammanhang beroende av en ändamålsenlig lagstiftning.

  • Viktigt med uppmaningar och stöd för att skydda sig mot dataintrång

Mot bakgrund av de hot och skador som kopplas till dataintrångs­brottsligheten samt de svårigheter som kännetecknar utrednings- och lagföringsarbetet är det viktigt med uppmaningar och stöd till företag, organisationer och privatpersoner för att skydda sig mot dataintrång.

  • Olika aktörsgrupper har olika roller i det förebyggande arbetet
  • Samtliga internetanvändare har en nyckelroll
  • Information bör spridas på olika nivåer och anpassas till olika grupper

Fakta om publikationen

Författare: Elina Lindskog, Lou Huuva, Sarah Lehtinen, David Shannon

© Brottsförebyggande rådet 2022

urn:nbn:se:bra-1074

Rapport 2022:8

Tips på andra rapporter