Tillsyn över säkerhetsarbete hos underleverantör

Relevanta dokument
Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Tillsyn över dokumentation av informationsbehandlingstillgångar

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Tillsyn efter inträffad integritetsincident i fakturasystem

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Avbrott i bredbandstelefonitjänst

Tillsyn över dokumentation av tillgångar och förbindelser

(5)

Exponerade fakturor på internet

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Säkerhetsbrister i kundplacerad utrustning

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Överlämnande av nummer vid byte av tjänsteleverantör

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Tillsyn över behandling av uppgifter

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Säkerhetsbrister i kundplacerad utrustning

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Föreläggande att inkomma med uppgifter

Saken. PTS underrättelse

Förslag till beslut om ändring av telefoninummerplanen

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

Tillsyn avseende Telia Company AB:s incidenthantering med anledning av stormen Alfrida

Beslut om ändring av telefoninummerplanen

Ansökan om undantag från krav på reservkraft

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

Beslut om avskrivning

Förändringar i nya LEK

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Nordisk Mobiltelefon Sverige AB:s konkursbo, Lagrummet december nr 1580 AB, , under namnbyte till AINMT Sverige AB

Ändring av telefoninummerplanen

Post- och telestyrelsen (PTS) har beretts tillfälle att yttra sig över rubricerad promemoria.

Beslut om avslag av begäran om omedelbara tillsynsåtgärder mot TeliaSonera Network Sales AB

Beslut om tillstånd att använda radiosändare i 10,5 GHz-bandet

Vägledning om skyldigheten att rapportera integritetsincidenter

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Datum Vår referens Aktbilaga Dnr:

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

Misstanke om att Teracom AB handlar i strid med företagets skyldigheter att tillämpa kostnadsorienterad prissättning

Beslut om ändring av telefoninummerplanen

Underrättelse om misstanke att Tele2 Sverige AB:s prissättning på mobil samtalsterminering inte är kostnadsorienterad

UNDERRÄTTELSE 1(8) Tele2 Sverige AB Att: Gustav Ehrner Box Kista

Dnr: (2) Postavdelningen Adrian Waltl. Tillsynsärende avseende Postnords rapportering av klagomål till PTS PROMEMORIA

Tillsynsrapport: Informationskrav vid ändring av avtal

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

Föreläggandet gäller omedelbart enligt 64 telelagen. ---

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Föreläggande att på begäran lämna ut uppgifter om abonnemang

3. Föreläggandet gäller omedelbart enligt 8 kap. 22 LEK.

(5) Vägledning för anmälan av anmälningspliktig verksamhet. 1. Inledning. 2. Anmälningsplikt Hur görs en anmälan?

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Beslut om tillstånd att använda radiosändare i 1800 MHz-bandet

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Beslut om förbud enligt 12 radioutrustningslagen

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

Beslut om tillstånd att använda radiosändare i frekvensbandet / MHz

Förbud att sälja radioutrustning m.m. enligt lagen (2000:121) om radio- och teleterminalutrustning

Allokering och reservering av mobila nätkoder

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Underrättelse om misstanke om att Föreningen Sveriges Sändareamatörer (SSA) utfärdar amatörradiocertifikat på bristfälliga grunder

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Beslut om tillstånd att använda radiosändare i 3,5 GHz-bandet

Beslut om ändring av telefoninummerplanen

Underrättelse avseende krav om god funktion och teknisk säkerhet Telia Fastmobil

Vår referens Dnr:

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Mötesanteckningar från Driftsäkerhetsforum

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Tele2 och Telenorbolagen stödjer PTS förslag i stort men har synpunkter på formuleringar, ändringar och önskar vidare förtydliganden av förslaget.

Beslut om tillstånd att använda radiosändare i 700 MHz-bandet

Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter

Minnesanteckningar Integritetsforum 27 april 2018

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Transkript:

AVSKRIVNINGSBESLUT 1(6) Datum Vår referens Aktbilaga 2018-12-13 Dnr: 17-5292 44 Nätsäkerhetsavdelningen Hi3G Access AB Tillsyn över säkerhetsarbete hos underleverantör Saken Tillsyn över säkerhetsarbete vid förläggning av verksamhet hos underleverantör samt hantering av återkommande incidenter av liknande karaktär. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund Tillhandahållare av allmänna elektroniska kommunikationstjänster är skyldiga att vidta åtgärder för att skydda uppgifter som behandlas i samband med tillhandahållandet av tjänsten. Tjänstetillhandahållarens säkerhetsarbete avseende behandlade uppgifter ska bedrivas långsiktigt, kontinuerligt och systematiskt, och bl.a. innefatta analysering av riskerna för att integritetsincidenter inträffar för uppgifterna, samt inrapportering av inträffade integritetsincidenter till PTS. Hi3G Access AB (Tre) har under en period av ca två år rapporterat in ett tjugotal integritetsincidenter till PTS gällande felleveranser av brev och paket hos en och samma underleverantör; Brightstar. I synnerhet har detta inneburit att avtalsinnehåll har skickats till fel mottagare. Med anledning av de återkommande incidenterna av liknande slag inledde PTS den 5 maj 2017 tillsyn i syfte att granska Tres säkerhetsarbete vid förläggning av verksamhet hos underleverantörer. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(6) Inom ramen för tillsynen har PTS skriftligen och vid möten ställt frågor till Tre om bl.a. deras säkerhetsarbete generellt och i relation till underleverantörer, vilka rutiner man har för hantering och uppföljning av integritetsincidenter, samt Tres rutiner för genomförande av riskanalyser och vidtagande av lämpliga skyddsåtgärder. Tre har härvid redogjort för sina rutiner för säkerhetsarbetet, såväl generellt som för arbete kopplat till underleverantörer. Tre har även presenterat en sammanställning av operatörens rutiner rörande integritetsincidenter, infattandes en checklista för hantering av återkommande incidenter. Under tillsynens gång noterade PTS att rapporter om integritetsincidenter relaterade till att avtalsinnehåll levererats till fel mottagare av Brightstar alltjämt fortsatte att inkomma till myndigheten. PTS efterfrågade därför ytterligare information om vilken skyddsåtgärd som Tre avsåg att vidta för att komma till rätta med problemet. Tre uppgav då att man, vad gäller just risken att avtalsinnehåll skickas till fel mottagare efter mänskliga fel hos Brightstar, avsåg att implementera en lösning som innebär att avtal inte längre skickas manuellt i leveranserna från Brightstar, utan att kunderna istället behöver använda sig av inloggning med Bank-ID för att få åtkomst till informationen. Lösningen skulle implementeras i oktober 2018. PTS efterfrågade i samband med detta den riskanalys och bedömning som legat till grund för valet av den lämpliga skyddsåtgärden, dvs. att införa Bank-ID. Tre uppgav som svar på detta att någon riskanalys inte hade genomförts för att komma fram till vilken skyddsåtgärd som var lämplig att vidta för att hantera risken. Mot bakgrund av detta svar begärde PTS att Tre skulle presentera sin process för genomförande av riskanalyser, vilket Tre gjorde på ett möte med myndigheten. Efter mötet framförde PTS att Tre i samband med slutförd implementation av lösningen med Bank-ID behövde inkomma med en riskanalys för handhavandefel relaterade till Brightstar, som visade på hur riskvärdena reducerats genom införandet av Bank-ID. Den 2 november 2018 bekräftade Tre att lösningen med Bank-ID var implementerad, och två veckor senare bekräftade operatören att inga ytterligare integritetsincidenter av det slag som tidigare inträffat hade skett. Den 4 december 2018 inkom Tre med slutlig version av den efterfrågade riskanalysen. Skäl Tillämpliga bestämmelser Enligt 6 kap. 3 lagen (2003:389) om elektronisk kommunikation (LEK) ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållande av tjänsten skyddas. Post- och telestyrelsen 2

3(6) Den som tillhandahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå, som med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Av PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter (PTSFS 2014:1) (föreskrifterna) framgår bl.a. följande: Tjänstetillhandahållarens säkerhetsarbete avseende behandlade uppgifter ska enligt 3 föreskrifterna bedrivas långsiktigt, kontinuerligt och systematiskt och det ska finnas en tydlig rollfördelning med särskilt utpekade ansvariga. Rutiner, processer och rollfördelning ska dokumenteras. Tjänstetillhandahållaren ska enligt 4 föreskrifterna analysera riskerna för att integritetsincidenter inträffar för de identifierade informationsbehandlingstillgångarna. Tjänstetillhandahållaren ska dessutom vidta nödvändiga skyddsåtgärder på den nivå som är lämplig för att hantera de identifierade riskerna. Vidtagna skyddsåtgärder samt tjänstetillhandahållarens bedömningar av lämplig nivå ska dokumenteras och följas upp årligen och vid behov. Tjänstetillhandahållaren ska enligt 10 föreskrifterna ha dokumenterade rutiner för identifiering, intern rapportering, hantering och uppföljning av integritetsincidenter. Rutinerna ska säkerställa 1. att samtliga uppgifter i 11 förs in i den förteckning som tjänstetillhandahållaren ska föra enligt 6 kap. 4 b lagen (2003:389) om elektronisk kommunikation, 2. att inträffade integritetsincidenter och dess orsaker beaktas vid genomgång av riskanalyser i enlighet med 4, och 3. att skyddsåtgärder vidtas för att undvika liknande integritetsincidenter. PTS är enligt 2 förordningen (2003:396) om elektronisk kommunikation tillsynsmyndighet enligt LEK. PTS ska enligt 7 kap. 1 LEK utöva tillsyn över efterlevnaden av lagen och de beslut om skyldigheter eller villkor samt de föreskrifter som meddelats med stöd av lagen. PTS bedömning Systematiskt säkerhetsarbete Enligt PTS bedömning kan upprepade problem och incidenter av liknande karaktär utgöra ett tecken på att det föreligger brister i det långsiktiga, Post- och telestyrelsen 3

4(6) kontinuerliga och systematiska säkerhetsarbete som tjänstetillhandahållare är skyldiga att bedriva enligt LEK och PTS föreskrifter. Det har för Tres del varit anmärkningsvärt många integritetsincidenter som uppstått inom ramen för verksamhet som lagts ut på underleverantören Brightstar, i synnerhet rörande att avtal har skickats till fel mottagare. Under tillsynen har PTS bl.a. granskat hur Tres säkerhetsarbete är utformat och tillämpas, både vad gäller Tres interna rutiner och rutiner vid förläggning av verksamhet hos underleverantörer. PTS kan här konstatera att Tre bl.a. har dokumenterade rutiner som säkerställer att det finns utpekade ansvariga för säkerhetsarbetet i verksamheten, att personal utbildas för att bl.a. lättare kunna upptäcka och rapportera incidenter, samt att man löpande granskar och följer upp integritetsincidenter som inträffar. Oaktat att Tre enligt PTS bedömning visat att man har vissa rutiner och processer för säkerhetsarbete på plats, samt att man genomför löpande uppföljningar av incidenter och underleverantörers arbete kan PTS konstatera att liknande incidenter fortsatt att ske. Orsaken till detta är enligt PTS bedömning att Tres långsiktiga, kontinuerliga och systematiska säkerhetsarbete snarare har haft brister vad gäller genomförande av riskanalyser och vidtagande av lämpliga skyddsåtgärder. Genomförande av riskanalyser När det gäller problemet med att avtalsinnehåll skickades till fel mottagare har Tre infört en lösning där kunderna behöver använda sig av inloggning med Bank-ID för att få åtkomst till sitt avtal. Enligt 4 PTS föreskrifter ska bedömning av lämplig skyddsåtgärd vara resultatet av en genomförd riskanalys, men då PTS efterfrågade analysen och bedömningen som legat till grund för implementeringen av Bank-ID, uppgav Tre att någon sådan analys och bedömning inte tagits fram. Enligt PTS uppfattning är det nödvändigt för att kunna bedriva ett långsiktigt, kontinuerligt och systematiskt säkerhetsarbete att tjänstetillhandahållaren arbetar proaktivt och för varje informationsbehandlingstillgång löpande analyserar riskerna för integritetsincidenter, för att sedan kunna bedöma och prioritera vilka skyddsåtgärder som ska vidtas. Tre är även skyldiga att beakta inträffade integritetsincidenter vid genomförande av riskanalyser, samt att vidta åtgärder för att undvika att liknande incidenter inträffar igen, enligt 10 föreskrifterna. En riskanalys går förenklat ut på att man för en specifik tillgång bedömer hur stor risken är för varje identifierat hot. Riskvärdet får man genom att göra en sammanvägd bedömning av sannolikheten för att ett hot ska inträffa och de konsekvenser för kundernas integritet som hotet medför om det realiseras. Post- och telestyrelsen 4

5(6) När det gäller uppgifterna som behandlats av Brightstar och t.ex. hotet mänskligt handhavandefel torde upprepade incidenter av liknande karaktär ha medfört att Tre, vid en förnyad riskanalys, skulle ha bedömt att sannolikheten ökat för att en incident skulle inträffa igen. Detta i sin tur skulle ökat det sammantagna riskvärdet för det aktuella hotet för informationsbehandlingstillgången, vilket tillhandahållaren behövt ta hänsyn till vid bedömning av den lämpliga skyddsåtgärden. De flesta krav i PTS föreskrifter är beroende av att tjänstetillhandahållaren först genomfört riskanalyser. Brister i riskanalysarbetet leder därmed också till brister i efterlevnaden av andra krav. PTS ser mot bakgrund av detta det som allvarligt att Tre vid tidpunkten för efterfrågandet av riskanalysen och bedömningen av lämplig skyddsåtgärd inte kunde presentera sådana, eftersom det tyder på att företaget inte anammat den metodik med vilken föreskrifterna ska tillämpas. PTS har granskat den process för riskanalysarbete som bolaget har för avsikt att tillämpa framgent. Utifrån den genomgång som Tre gjort kan PTS konstatera att Tres framtida process för genomförande av riskanalyser i stort är ändamålsenlig och följer etablerad standard. Vissa förbättringsområden noterades dock, såsom att säkerställa att riskanalys verkligen genomförs för samtliga informationsbehandlingstillgångar, att tydliggöra att riskanalyserna inte ska genomföras utifrån ett kommersiellt perspektiv samt att Tre på ett bättre sätt behöver dokumentera de bedömningar som görs av vilka lämpliga åtgärder som ska vidtas som ett resultat av analyserna. PTS har planerat att i en kommande tillsyn mer ingående granska tillhandahållares arbete med riskanalyser, så myndigheten kan inom kort återkomma till frågan om hur Tre efterlever reglerna i detta avseende. Mot bakgrund av att Tre tagit fram en förnyad, förbättrad modell för genomförande av riskanalyser samt att PTS inom kort kan komma att granska ytterligare hur den tillämpas lämnar PTS denna del av tillsynen utan vidare åtgärd. Val av skyddsåtgärder När det gäller den valda skyddsåtgärden kan PTS konstatera att Tre efter införandet av Bank-ID inte har haft några liknande incidenter som inneburit att avtalsinnehåll har skickats till fel mottagare. Tre har även tagit fram en specifik riskanalys som visar hur införandet av lösningen har reducerat risken för det aktuella hotet. PTS bedömer mot bakgrund av detta att den vidtagna skyddsåtgärden är lämplig i förhållande till risken för just denna typ av integritetsincidenter. PTS bedömer dock, givet att det rört sig om så pass många återkommande incidenter av liknande karaktär under en längre tidsperiod, att Tre borde ha eskalerat problemet internt och fattat beslut om lämplig Post- och telestyrelsen 5

6(6) skyddsåtgärd på ett tidigare stadium. Det är enligt PTS bedömning sannolikt att en sådan eskalering hade kunnat ske tidigare om Tre hade genomfört godtagbara riskanalyser och återkommande förnyat dessa analyser i enlighet med 4 och 10 i föreskrifterna. PTS kan vidare konstatera att inte alla risker för integritetsincidenter hos Brightstar hanteras inom ramen för den valda skyddsåtgärden. Det har t.ex. förekommit incidenter där underleverantören fellevererat SIM-kort. Detta utgör incidenter som tyder på att det finns andra risker med förläggning av verksamhet hos Brightstar än att avtal skickas till fel mottagare. Dessa risker behöver Tre också analysera och hantera genom vidtagande av lämpliga skyddsåtgärder. Avslutning Den risk som främst aktualiserats i detta ärende, dvs. att avtalsinnehåll hamnar hos fel mottagare, har enligt PTS bedömning hanterats på ett godtagbart sätt. PTS uppmanar härvid Tre att fortsätta arbeta löpande och proaktivt med genomförande av riskanalyser och vidtagande av lämpliga skyddsåtgärder för samtliga hot som uppstår inom ramen för verksamheten. PTS lämnar med denna erinran saken utan ytterligare åtgärd. Ärendet avskrivs från vidare handläggning. Beslutet har fattats av enhetschefen Staffan Lindmark. I ärendets slutliga handläggning har även projektledaren Emelie Björkegren Näslund och juristen Karin Lodin (föredragande) deltagit. Post- och telestyrelsen 6