Vi försöker alla skydda oss mot intrång men det är alltjämt svårt att bilda sig en uppfattning om hur stor risk man utsätter sig för. Tur är det väl då att intrång i datorsystem är ett brott och att vi har en särskild grupp människor som löpande för statistik över brott, nämligen Brottsförebyggande rådet. De borde verkligen kunna berätta för oss hur det ligger till med intrång just gällande svenska företag! Tyvärr. Det är synd, för någonting händer, men vi vet inte vad.

Brottet dataintrång finns i brottsbalken under det fjärde kapitlet om brott mot frihet och frid tillsammans med människorov och människohandel:

9 c § Den som […] olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.

Med ”uppgift” avses data eller information av något slag, tidigare användes ordet ”upptagning” vilket förstås är förvirrande men som tur är förtydligas lagtexter löpande.

Mer eller mindre: om du läser eller ändrar eller tar bort data som finns i en dator utan att ha lov så har du begått dataintrång. Den sista meningen lades till under 2007 för att dataintrång även ska täcka det vi kallar denial of service.

Naturligtvis är det dataintrång att plocka ut innehållet ur en databas med SQL injection men det är också dataintrång att, som sjuksköterska, öppna en journal tillhörande en patient som du inte har något att göra med för tillfället. Tyvärr klumpas båda dessa attacker ihop.

Jag har inget underlag för det men jag gissar att poliser, läkare och sjuksköterskor är överrepresenterade bland förövarna.

Brås halvårsrapport låter höra att antalet anmälda dataintrång har mer än fördubblats under första halvåret 2013 jämfört med samma period föregående år. Det är minst sagt en trend; om det håller i sig under hösten har ökningen varit exponentiell sedan 2011.

Diagram över antal anmälda dataintrång per 100 000 invånare till 2012

Det är svårt att säga något om statistiken, dels för att it-samhället fortfarande växer men inte minst på grund av den onödiga ihopklumpningen. Gottfrid Svartholm Warg dömdes i juni 2013 för två dataintrång för vad som klart kvalificerar in på listan över världens ”häftigaste” överträdelser på området. Mindre än en månad senare dömdes en polisman i Jämtland för samma brott efter att ha sökt på sig själv i ett av polisens register för att han ville kolla om hans skoter var försäkrad.

Visserligen var påföljderna radikalt annorlunda: GSW fick fängelse och polismannen 30 dagsböter, men det förändrar inte statistikens värde. Så vitt vi vet kan ökningen bero på att yngre människor har börjat inom vården och ordningsmakten, att sökningar sitter i ryggmärgen på dem och att myndigheterna försöker stävja detta genom att införa nolltolerans.

Eller så är det APT från Kina och NSA. Vi vet inte.

För kategorin inbrott till exempel har Brå underkategorier för att specificera brottet ytterligare, man gör skillnad på om det är i sommarhus eller i en vind; om det är i en bostad eller ett kontor; läkarmottagning eller apotek; fartyg eller annan farkost och så vidare. Jag önskar motsvarande underkategorier för dataintrång.

Det borde åtminstone göras skillnad på om målsägande är:

  • en privatperson,
  • ett företag eller
  • en myndighet.

Man kanske till och med skulle kunna vara mer specifik och fördela det över branscher. Möjligen skulle de 20-talet branscher som finns på översta nivån i Svensk näringsgrensindelning (SNI) vara lämpliga som bas. Exempelvis:

  • tillverkning
  • försörjning av el, gas, värme och kyla
  • vattenförsörjning; avloppshantering, avfallshantering och sanering
  • byggverksamhet
  • hotell- och restaurangverksamhet
  • informations- och kommunikationsverksamhet
  • finans- och försäkringsverksamhet
  • fastighetsverksamhet
  • verksamhet inom juridik, ekonomi, vetenskap och teknik
  • offentlig förvaltning och försvar
  • utbildning
  • vård och omsorg
  • kultur, nöje och fritid
  • internationella organisationer (ambassader o dyl)
  • övrig verksamhet

Det är viktigt att det är lätt att identifiera rätt kategori och att det går att identifiera tidigt. Därför är det nog bara information om målsägande man kan hoppas på. Jag skulle dock vilja veta hur många dataintrång som helt enkelt handlar om medarbetare som söker i register utan lov, fram för allt de som söker på sig själva:

  • olovlig sökning i register
  • olovlig sökning på sig själv i register

Jag vet inte om det är meningsfullt att skilja på försök till dataintrång och fullbordat dataintrång, jag har svårt att tänka mig att det är särskilt många försök som anmäls.

Vad säger Brottsförebyggande rådet om den idén? Bättre kontroll över statistiken rimmar väl med viljan att skärpa straffen, något som åtminstone borde leda till åtskillnad mellan dataintrång och grovt dataintrång.