Vad är dataintrång?

En anställd loggar in på sin före detta arbetsgivares system två veckor efter sista arbetsdagen för att hämta egna anteckningar. En privatperson hittar en grannes lösenord till en streamingtjänst och börjar använda kontot. Båda kan vara dataintrång enligt svensk lag, även om gärningspersonen själv inte uppfattar det som ett brott. Dataintrång omfattar mer än klassisk hacking, och rubriken används både för stora intrång mot myndigheter och för enskilda fall som drabbar privatpersoner.

Brottsbalken 4 kap 9 c §

Den centrala paragrafen finns i brottsbalken 4 kap 9 c § och slår fast att den döms för dataintrång som olovligen bereder sig tillgång till en uppgift som är avsedd för automatisk behandling. Lagen täcker fyra olika handlingar mot data: att ta sig in i, ändra, utplåna eller blockera information i ett datorsystem. Påföljden är böter eller fängelse i högst två år. För grovt brott, exempelvis när intrånget orsakar betydande skada eller riktas mot kritisk samhällsinfrastruktur, kan straffet bli upp till sex år.

Vad räknas som dataintrång

Lagen är medvetet brett formulerad, och i domstolspraxis har många olika handlingar bedömts som dataintrång. Några exempel ur svensk rättsfallspraxis:

  • Inloggning på någons sociala medie-konto med stulet eller gissat lösenord
  • Anställd som öppnar kollegors mejl utan tillstånd, även om hen har teknisk behörighet
  • Sjukvårdspersonal som läser patientjournaler utan att vara involverad i vården
  • Tidigare anställd som loggar in på arbetsgivarens system efter att anställningen upphört
  • Köp av en så kallad stresser-tjänst för att slå ut en webbplats med DDoS

Tröskeln är låg. Det krävs inte att intrånget orsakar skada eller att gärningspersonen läser känslig information, det räcker att åtkomsten är olovlig.

Skillnaden mellan dataintrång och grovt dataintrång

För att ett dataintrång ska bedömas som grovt krävs något av tre saker enligt förarbetena: gärningen har orsakat allvarlig skada, riktats mot ett system av stor betydelse eller varit av särskilt farlig art. I praktiken har intrång mot vård, försvar, banker eller större företagssystem bedömts som grova i flera rättsfall. Ett intrång på ett privat Facebook-konto döms normalt enligt grundbestämmelsen, även om handlingen ger upphov till stor personlig skada för offret.

Anmälda fall ökar

BRÅ noterade 2 920 anmälda dataintrång under 2012, vilket var en ökning med 99 procent på ett år. Efterföljande år har trenden enligt BRÅ:s årliga kriminalstatistik fortsatt uppåt i takt med att fler tjänster digitaliseras och fler privatpersoner upptäcker när konton kapas. CERT-SE registrerar parallellt en hög ärendevolym kring intrång mot organisationer som inkluderar både rena tekniska attacker och insider-relaterade fall.

DoS-attacker omfattas också

Att medvetet störa drift av ett datorsystem räknas också som dataintrång sedan en lagändring 2007, SFS 2007:213, som genomförde Europarådets konvention om it-relaterad brottslighet. Det betyder att en DDoS-attack eller en överbelastningsattack mot en hemsida faller under samma paragraf som direkt intrång, även om angriparen inte tar sig in i några konton. Beställning av attacker via stresser- eller booter-tjänster är likställd med själva utförandet rent juridiskt.

Om du har drabbats

Polisen rekommenderar anmälan via polisen.se eller 114 14 vid misstänkt dataintrång. Konkreta steg för en privatperson:

  1. Ändra lösenord på de konton du tror är kapade, samt på andra konton där samma lösenord använts
  2. Aktivera tvåfaktorsautentisering på de drabbade tjänsterna
  3. Logga ut alla aktiva sessioner från kontots säkerhetsinställningar
  4. Spara skärmdumpar av onormal aktivitet, mejl med varningar eller transaktioner du inte gjort
  5. Anmäl till polisen och ange så konkreta detaljer som möjligt om tidpunkt och misstanke

Vid intrång hos arbetsgivare är förstainstans IT-avdelningen, som i sin tur kontaktar säkerhetsansvarig och vid behov polis. För personuppgiftsintrång ska Integritetsskyddsmyndigheten (IMY) informeras av personuppgiftsansvarig inom 72 timmar.

Dataintrångets juridiska tröskel är låg, men anmälningsbenägenheten är ofta hög när enskilda upptäcker att deras konton missbrukats. CERT-SE publicerar löpande rapporter om aktuella intrångstyper, och Polismyndighetens nationella IT-brottscenter följer den bredare hotbilden. För en allmännare bild av digitala hot, se vår artikel om malware, trojaner och ransomware.