Mötesanteckningar, Integritetsforum 17 april 2013

Transkript

1 PROMEMORIA Datum Vår referens Sida (7) Nätsäkerhetsavdelningen Gudrun Thelander Mötesanteckningar, Integritetsforum 17 april Inledning Staffan Lindmark hälsade alla välkomna och en kort presentation av alla närvarande följde. 2. Säkerhet i smarta telefoner Demonstration av FRA. FRA är en civil myndighet vars verksamhet bidrar till att skydda Sverige och svenska intressen med huvudinriktning på signalunderrättelse och informationssäkerhet. Jonas Augustsson, Jesper Svensson och Daniel Forsgren visade en film om hur en attack på iphone fungerar. Scenariot var uppbyggt på att angriparen kom åt telefonen som ägaren lämnat obevakad under en kort stund. Angriparen hade tillgång till en dator med verktyg som finns att ladda ner på internet och en kabel för att koppla in telefonen med. Telefonen startades om i ett speciellt läge med speciell boot ROM och det gick då att komma åt t.ex. kalender, sms-databas och samtalshistorik. Under tiden detta gjordes kördes ett program i bakgrunden som forcerade PIN-koden och nycklar för att dekryptera data plockades ut. Det var sedan möjligt att få fram hela filsystemet och komma åt e-postdatabasen och göra en kopia som speglar innehållet i telefonen. Angriparen försatte sedan telefonen i samma läge som innan genom att starta om och det märktes då inte att någon använt enheten. Angreppet tog dryga 3 minuter och spegling ca 15 min. FRA gav följande tips och råd: Håll alltid enheten under uppsikt, pinkodsskydda sim-kortet (gärna med en mer komplex kod än den vanliga 4- siffriga), använd starka lösenord, aktivera automatisk låsning, sträva efter att Post- och telestyrelsen Postadress: Besöksadress: Telefon: Box 5398 Valhallavägen 117 Telefax: Stockholm pts@pts.se

2 2(7) använda VPN-anslutningar för kommunikation, stäng av trådlöst och bluetooth när det inte används, töm listan över sparade trådlösa nätverk och fråga innan du ansluter till trådlöst nät, var vaksam vid certifikatsvarningar, lagra inte dina största hemligheter i din smartphone och tänk på var din data lagras (-itunes backuper, icloud, Dropbox och andra synkroniseringstjänster). Ha också i åtanke att alla smarta telefoner är som att ta en PC och backa tillbaka 10 år i tiden - inga brandväggar etc. Det är också svårt för en användare att avgöra om en app är dålig eller bra. Man kan inte neka en specifik del av listan över vad applikationen kräver så det är för mycket som lämnas åt användaren att besluta. Artikel 29-gruppens rapport om appar. (Anna Hörnlund, Datainspektionen) På Datainspektionen arbetar ca 45 personer med att titta på all personuppgiftsbehandling inom alla områden utom det som finns inom LEK 6 kap. Artikel 29-gruppen tar fram yttranden om hur olika företeelser ska tolkas och ett av de senaste, om appar, är från februari i år och klargör det juridiska regelverk som är tillämpligt. Yttrandet har stor betydelse för harmonisering och man listar vad de ansvariga ska och bör göra och Datainspektionen och systermyndigheterna kommer att hålla sig till detta när de gör tillsyn. Ca 1600 nya appar lanseras per dag och genomsnittsanvändaren har 37 st. All den information (adressbok, lokaliseringsinfo, data från sensorer m.m) som samlas in behandlas och processas för att förse användaren med nya och innovativa tjänster och förs i vissa fall även vidare till tredje part som använder datan för analys och annonsering. Det är svårt för användare att se vad som händer med all data och det finns så många möjliga personuppgiftsansvariga - utvecklare, app-ägare, tillverkare och tredje parter. PuL och LEK (eller dess motsvarighet i andra EU-länder) gäller alltid för appar som riktar sig till användare inom EU och mer data än nödvändigt får inte samlas in och inte lagras längre än nödvändigt. Innan användandet börjar ska det vara klara och tydliga samtycken och det ska finnas möjlighet att återkalla sitt samtycke och att avinstallera appen, men många gånger fungerar inte detta. Man kan inte reglera vilka appar som finns men titta på hur de används och även göra säkerhetsanalyser etc. då appar används på myndigheter och inom vården. Var och en har också ett eget ansvar för vad som sker i ens enhet. Liknande diskussioner om appar förs i Nordamerika, där väldigt många appar utvecklas, och Kanada och Holland har nyligen gjort rapporter om appar. Post- och telestyrelsen 2

3 3(7) Arbetet med framtagning av råd till slutanvändare. (Jeanette Kronwall, PTS) PTS har arbetat med frågan om säkerhetshot en längre tid och att rapporter togs fram 2006 och Jeanette har skickat ut frågor till alla operatörer om hur PTS bör arbeta vidare med frågan om säkerhetshot och hur PTS stöd ska se ut. Tankar finns att arbeta ihop med MSB och Datainspektionen. Synpunkter som framfördes på ovannämnda frågor var att grunderna i upplysningar till konsument måste vara desamma hos alla operatörer. En central portal på t.ex. MSB:s hemsida skulle nog inte fungera då människor söker på olika håll så det bästa vore nog info med ett gemensamt budskap på hemsidorna hos PTS, Datainspektionen och alla operatörer. En annan kommentar vara att det blir mer tyngd bakom råden om det står att PTS tagit fram dem. Staffan Lindmark svarade att PTS självklart vill bidra men har inte den tekniska kompetensen som krävs och begränsade resurser men ställer sig gärna bakom och promotar. Det verkar vara av intresse med fortsatt samarbete mellan operatörerna i den form som startades i november så PTS kommer att återkomma om detta. 3. Incidentrapportering Slutsatser från PTS årliga tillsyn om incidenter och inrapportering. (Staffan Lindmark, PTS) Två generella synpunkter har kommit upp på de årsvisa tillsynsmötena Vid vilken tidpunkt ska rapportering ske till PTS? och Vad är en integritetsincident? Frågan om tidpunkten kommer snart att vara löst i och med den nya förordningen. En integritetsincident är enligt PTS vägledning En händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster. De vardagliga incidenterna kan uppkomma i kundtjänst/butiker. Man är inte ute för att förstöra eller avslöja utan det sker av misstag. Sen finns det ju också t.ex. IT-attacker där någon tar sig in i systemet. Vid flera möten med operatörer har det nämnts att det finns en del svårtolkade formuleringar som t.ex. oavsiktligt eller otillåtet och Staffan Lindmark uppmanade deltagarna att lämna förslag och typexempel till PTS på vad som kan orsaka problem med gränsdragningar och vara svårtolkat. Anna Hörnlund, Datainspektionen, sa att Artikel 29-gruppen har tagit fram verktyg. Staffan lovade titta på om det finns något att jobba utifrån/med där. Post- och telestyrelsen 3

4 4(7) EU-förordning om incidentrapportering och PTS föreskrifter. (Staffan Lindmark, PTS) EU-kommissionen har tagit fram en förordning om hur rapportering av incidenter ska ske i alla medlemsstater. Förordningen har gått ut till rådet (Coreper) som beslutat inte invända och parlamentet väntas godkänna. Förordningen kommer sedan tillbaka till kommissionen och träder ikraft 2 månader efter formellt beslut där, sannolikt i sommar. Några viktiga punkter som skiljer sig från PTS föreskrifter är att undantag vid fåtal berörda inte finns med i förordningen och att det i förordningen finns möjlighet att ansöka om att skjuta upp rapporteringen och krav att underleverantörer ska rapportera till er operatörer. PTS behöver titta på vad man ska göra med sina föreskrifter. Rapportering ska fortsätta som hittills med lite förändrade förutsättningar. Underlag skickades med vid kallelse till mötet. Ny autentiseringsmetod för användning av PTS e-tjänst. (Erika Hersaeus, PTS) E-tjänsten togs fram i oktober 2012 och hade då autentisering via e- legitimation. Nu är en ny version driftsatt som använder sms-inloggning och man behöver inte ange personnummer vid ansökan om att bli ansluten till tjänsten. Inloggning sker med ett engångslösenord som skickas till mobiltelefonen. Det är ett smidigt sätt att rapportera och PTS ser gärna att ni använder tjänsten. Ansökan görs via blankett på PTS hemsida 4. Nya föreskrifter om tekniska och organisatoriska åtgärder för att skydda behandlade uppgifter. Arbetet med framtagning av krav, framsteg sedan referensgruppsmötet den 18 mars. (Staffan Lindmark, PTS) Arbetet började i slutet av 2012 och referensgrupp med operatörer är bildad. Genomgång av regelverket är klart liksom avstämningar med Datainspektionen och systermyndigheter i Norden. Nästa referensgruppsmöte är den 24 maj och förhoppningsvis kommer det att finnas ett mer omfattande underlag till dess. PTS vill ställa krav på övergripande säkerhetsarbete som bl.a. innefattar att dokumentera rutiner, analyser, vidtagna åtgärder och ett kontinuerligt och systematiskt arbete. Det är viktigt att man hanterar risker med tillgänglig teknik och kostnader och redan vid utvecklingen kan man kravställa integritetshoten. Post- och telestyrelsen 4

5 5(7) Det är också viktigt att begränsa så att personal bara får tillgång till uppgifter de behöver för sitt arbete genom rutiner för behörighetshantering och att de har tillräcklig kunskap om regelverk etc. kring säkerhetsfrågor. Loggning, även när någon är inne och tittar, är viktigt samt att man tittar på loggarna för att bli bättre på att upptäcka incidenter. Staffan sa att han vet att det är en stor utmaning som är svår och dyr. En fråga ställdes om vad man får kontrollera och inte då en del har fått klagomål att de kontrollerar sina anställda för mycket. Datainspektionen svarar att de ställer krav på att de anställda ska vara medvetna om att det loggas och att kontroller kommer att göras. Kravställning gällande fysiskt skydd som t.ex. stöld och brand samt säkerhetskopiering av vissa uppgifter och krypterad överföring - över publikt nät kommer också att ske. PTS tidplan för arbetet är fortfarande att en remiss ska kunna skickas ut i höst. 5. Kommande tillsynsarbete Gallring av trafikuppgifter m.m. (Staffan Lindmark, PTS) Trafikdatalagringsdirektivet har aktualiserat frågan om gallringstillsyn då det inte är gjort på länge. Ännu ej klart hur det ska läggas upp men planen är att det ska ske till hösten förutsatt att resurser finns. En annan fråga som kommit upp i olika sammanhang är samtyckesklausuler. Planen är att se över dessa i år. Det är ännu inte planerat i detalj hur det ska gå till men arbetet knyter an till PTS Konsumentmarknadsavdelnings föreskrifter kring avtalsinnehåll, som nyligen varit ute på remiss. 6. Uppföljning av tidigare frågor Tjänster för spårning av störande telefonsamtal. (Staffan Lindmark, PTS) Efter Integritetsforum i november 2012 skickade PTS ut en enkät om operatörernas spårningstjänster. De fyra svar som inkommit visade att tre av fyra operatörer erbjuder en särskild spårningstjänst och en erbjuder samtalslistor. Abonnenten behöver inte motivera varför spårning önskas. Även hemliga A-nummer visas. Samtliga tar betalt för tjänsten. Utlämning av abonnentuppgifter för kontroll av TV-avgift. Radiotjänst kontaktar operatörerna och vill ha ut information om vilka som köpt telefoner. Operatörerna behandlar Radiotjänsts begäran olika och några tycker det är tveksamt om de verkligen ska kunna begära detta då kundernas integritet är viktig för operatörerna. Post- och telestyrelsen 5

6 6(7) Staffan Lindmark, PTS, sa att lagen om kontroll av TV-avgift i första hand borde ta sikte på försäljning och uthyrning av hårdvara snarare än själva abonnemangen. PTS har inte mandat att göra tolkningar av denna lag så det är inte i PTS händer att avgöra frågan. Som tillsynsmyndighet kan PTS försöka få en samlad bild av vad som gäller. Staffan uppmanar deltagarna att lämna tips om hur PTS ska göra med detta. 7. Information från PTS om några aktuella frågor. Samrådsförfrågan till Datainspektionen om gränsdragningsfråga mellan LEK och PuL (Jeanette Kronwall, PTS) Förfrågan gäller specifikt frågor om begäran om registerutdrag. Frågan är för närvarande aktuell i EU-domstolen. Kontakta Jeanette om ni är intresserade av mer uppgifter. Förslag till EU-direktiv om åtgärder för att åstadkomma en gemensam hög nivå av nät- och informationssäkerhet i Europa. (Peter Wallström, PTS) Kommissionens NIS-direktiv kom i februari. Man vill att medlemsstaterna ska ha en viss gemensam miniminivå och även inrätta en nationell myndighet för nät- och informationssäkerhet i varje land. Information ska utbytas mellan privat och offentlig sektor i landet och medlemsstaterna ska samarbeta i nätverk och utbyta information för att bekämpa nät- och informationssäkerhetshot. På frågan hur resilience på EU-nivå är kopplat till EP3R svarade Peter att ett forum har bildats för att diskutera frågan men EP3R är mer en rådgivande funktion. Förhandlingar och diskussioner kring direktivet har precis börjat. Förslaget till direktiv finns här: Viktigt Meddelande till Allmänheten (VMA) via mobilen. Sedan många år pågår diskussioner om hur man skulle kunna modernisera VMA och SOS Alarm har fått i uppdrag av Regeringen att ta fram ett system för att skicka VMA via mobiltelefoni. T.ex. skulle man kunna skicka ta kontakt via mobil och sms till de som befinner sig i det område som berörs. PTS ser att det finns integritetsaspekter (främst rörande positionering) i detta och kommer att bevaka dem. Det finns även kostnadsaspekter och förväntningar på teknik som måste beaktas. Flera operatörer tycker att arbetet det är mycket underligt skött och att de kom in bakvägen i arbetet. Post- och telestyrelsen 6

7 7(7) 8. Övriga frågor Inga övriga frågor. 9. Avslutning, planering inför nästa möte Nästa möte blir någon gång under vecka Staffan tackade alla deltagare och mötet avslutades. Post- och telestyrelsen 7