Minnesanteckningar Driftsäkerhetsforum 3 maj 2017

Relevanta dokument
Minnesanteckningar Driftsäkerhetsforum 23 november 2016

(5)

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Minnesanteckningar Driftsäkerhetsforum Tid: 26 november Plats: PTS lokaler på Valhallavägen 117 i Stockholm

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Mötesanteckningar från Driftsäkerhetsforum

Minnesanteckningar Integritetsforum 14 april 2016 kl. 9-12

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Tillsyn över dokumentation av tillgångar och förbindelser

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Avbrott i bredbandstelefonitjänst

Minnesanteckningar Integritetsforum 27 april 2018

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Tillsyn över säkerhetsarbete hos underleverantör

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Driftsäkerhetsforum. 26 november Post- och telestyrelsen

Mötesanteckningar från Driftsäkerhetsforum

Minnesanteckningar Nummerforum, onsdag 20 april 2016 kl

Exponerade fakturor på internet

Tillsyn över dokumentation av informationsbehandlingstillgångar

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Tillsyn efter inträffad integritetsincident i fakturasystem

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

(5) Anna Rappe Mötesanteckningar Integritetsforum, 18 mars 2010

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Minnesanteckningar Nummerforum 13 oktober 2016

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

Läget för telekommunikationerna den 17 januari 2005 med anledning av stormen den 8 och 9 januari 2005

Överlämnande av nummer vid byte av tjänsteleverantör

Informationssäkerhet för samhällsviktiga och digitala tjänster

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Tredje samråd angående marknaden för mobil samtalsterminering (marknad 2)

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Förändringar i nya LEK

Driftsäkerhet. Ett utbildningsmaterial för god funktion och säkerhet i stadsnäten

Beslut om avskrivning

Tillsynsrapport: Informationskrav vid ändring av avtal

Vägledning om skyldigheten att rapportera avbrott och störningar

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Svensk författningssamling

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

Alla hälsades välkomna och en kort presentationsrunda följde. Genomgång av agendan. Två punkter anmäldes till övriga frågor.

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Förslag till beslut om ändring av telefoninummerplanen

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Dnr: (2) Postavdelningen Adrian Waltl. Tillsynsärende avseende Postnords rapportering av klagomål till PTS PROMEMORIA

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

(6) Datum: Torsdagen den 13 oktober 2011, kl. 09: Plats: PTS lokaler, Valhallavägen 117

Driftsäkerhet i elektroniska kommunikationer

Underrättelse om att Halebops villkor för registrering av kontantkort strider mot 5 kap. 9 lagen (2004:389) om elektronisk kommunikation (LEK).

Välkomna! Integritetsforum torsdagen den 14 april 2016

KU Regelrådet.pdf; Föreskrifter Regelrådet.pdf; Missiv Regelrådet.pdf

Programmet för säkerhet i industriella informations- och styrsystem

Föreläggande att inkomma med uppgifter

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

MISSIV. PTS har utarbetat ett nytt förslag till prisskyldighet som PTS nu efterfrågar synpunkter på från marknadens aktörer och Konkurrensverket.

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

Information om dataskyddsförordningen

Beslut om ändring av telefoninummerplanen

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Datum: Torsdag den 14 oktober 2004 Plats: PTS, Birger Jarlsgatan 16, Stockholm Deltagarlista: Se bilaga 1

Innehåll Dnr: (5)

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Tillsyn avseende Telia Company AB:s incidenthantering med anledning av stormen Alfrida

Sammanställning av remissvar på PTS uppdaterade förstudierapport 700 MHz

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

PTS aktuella krav om totalförsvarsplanering. telekommunikation. Love de Besche

Utredningen om genomförande av NIS-direktivet

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Upphandling av administration av Telepriskollen

Riktlinjer för ansökan om medfinansiering från PTS

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Svensk författningssamling

Mötesanteckningar, Integritetsforum 17 april 2013

Säkerhetsbrister i kundplacerad utrustning

Remiss angående anmälningspliktig verksamhet och anmälningspliktig omsättning

Varför granskar Datainspektionen er verksamhet?

Årssammansställning 2009 av MSB:s tillsyn och kontroll av SOS Alarm AB:s åtaganden enligt alarmeringsavtalet

Konsekvensutredning avseende föreskrifter om ändring i PTS föreskrifter (2008:2) om förmedling av nödsamtal och

Rapport: Arbete och normer för driftsäkra elektroniska kommunikationer

Tillsyn över behandling av uppgifter

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

(5) Minnesanteckningar från Nummerforum. Datum: Torsdagen den 14 april 2011, kl. 09: Plats: PTS lokaler, Valhallavägen 117

Post- och telestyrelsen (PTS) har beretts tillfälle att yttra sig över rubricerad promemoria.

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

Transkript:

PROMEMORIA Datum Vår referens Sida 2017-06-01 Dnr: 1(7) Nätsäkerhetsavdelningen Minnesanteckningar Driftsäkerhetsforum 3 maj 2017 1. Inledning och presentation Alla hälsades välkomna och en kort presentationsrunda av deltagarna följde. 2. Erfarenheter från årlig tillsyn (PTS) Varje vår sen några år tillbaka genomför PTS sin årliga tillsyn. Alla rapporter som kommit in gås igenom och vi tittar på dem vi inte inlett tillsyn på direkt när incidenten hände. Rapporterna ser generellt bra ut innehållsmässigt och de kommer in i tid. Tillsynsmötena har fungerat bra. Man är väl förberedda och vi har fått tala med rätt personal. 2015 rapporterades 51 st incidenter, 2016 33 st. Man kan konstatera att det varit ett bra driftsår och minskningen av incidenter beror kanske delvis på bättre väder. De vanligaste orsakerna till problem är konfigurationsfel, underleverantörer, avgrävningar/kabelbrott. Det är viktigt att försöka förebygga uppkomsten av problem men en del av dem kan man inte undvika, de kommer alltid att återkomma. 3. Erfarenheter från händelsestyrda tillsyner - Dokumentation av tillgångar och förbindelser (PTS) Tillsynen inleddes för att PTS ville se att operatörerna börjat dokumentera med utgångspunkt i våra nya föreskrifter. 4 var den vi utgick från. I bifogad presentation finns specifikation av det man måste ha på plats som en bas för vidare driftsäkerhetsarbete. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

Hos alla granskade finns dokumentation som är OK. Vissa har haft lite mer tillfälliga lösningar där det finns utrymme för förbättringar. Vi har kollat att det finns hänvisning till en riskanalys men vi har inte kollat på själva riskanalyserna. Ett av de begrepp som det uppkommit frågor på under tillsynen är sina tillgångar och förbindelser där frågor uppstått hur det ser ut när man äger tillsammans eller hyr. En annan diskussion är frågan om regeneratorer ska klassas som en tillgång eller en del av förbindelse. Se förklaringar i bifogad presentation. En fråga ställdes hur vi ser på kommunikationsoperatörer. Vi har inte tittat djupare på frågan men de räknas nog som tjänstetillhandahållare. - Konfigurationshantering (PTS) PTS startade en tillsyn av förändringshantering med inriktning konfigurationshantering i höstas, först mot en operatör och sedan ytterligare två. Bakgrunden är att konfigurationshantering varit den vanligaste orsaken till störningar. I bifogad presentation anges vad vi granskat och slutsatserna gällande de tre tillsynsobjekten. De brister vi uppmärksammat är riskanalyser inför förändringar och uppföljning av genomförda förändringar för att dra lärdomar. Fler operatörer kan komma att granskas men vi har ännu inte bestämt när. 4. Kommande planlagda tillsyner (PTS) PTS har en tillsynsplan för 2017-18. Du hittar den via vår webbplats http://www.pts.se/sv/bransch/internet/driftsakerhet/. Våra tillsynsinsatser är oftast ganska långa och vi kommer fortsätta att fokusera på konfigurationshantering men vi har ännu inte bestämt när vi ska köra igång. Andra områden för tillsyn är driftsäkerhet på landsbygden och driftsäkerhet hos små och medelstora operatörer som planeras starta Q3 2017. Vi kommer att titta på regler om incidentrapportering. Det kan vara mer kapacitetsparametrar som slår in. Vi har ännu inte valt ut vilka vi ska titta på - kanske ett antal stadsnät och mindre operatörer. Händelstyrd tillsyn agerar vi alltid på men hittills i år har det varit ganska bra driftsäkerhetsläge. 5. Driftsäkerhet på landsbygden (PTS) PTS har sett att det finns brister kring driftsäkerhet på landsbygden. På grund av klagomål som kommit in till PTS kommer vi att starta ett projekt gällande detta. Landsbygden når inte upp till tröskelvärdena som krävs för rapportering idag. En utredning pågår för att precisera frågeställningarna och det handlar Post- och telestyrelsen 2

mycket om att få grepp kring om det är problem eller inte. Frågan Vad är landsbygd? kommer vi att definiera i projektet. Våra initiala tankar kring projektet finns i bifogade presentation och vår förhoppning är att kunna hjälpa landsbygden. Vi kommer vara intresserade av att diskutera med er operatörer och tar tacksamt emot era tankar och idéer. 6. Översyn föreskrifter (PTS) Längre tillbaka har PTS talat om att vi hade planer på att revidera föreskrifterna för incidentrapportering. Istället har vi nu gjort en förstudie kring att ensa en del begrepp mellan driftsäkerhets- och integritetsföreskrifterna, tydliggöra vissa saker och förändra tiden för den inledande rapporten och då också följdändring när vi vill ha den kompletterande. Detta och några övriga saker finns angivna i bifogade presentation. Tidplanen är att arbetet med revideringen startar nu. Ni operatörer kommer att få alla chanser att tycka till om alla de ändringar som kommer att ske. Arbetet tar den tid det tar och inget kommer remitteras innan sommaren i alla fall. 7. Internationella frågor - Rapportering till ENISA och EU-kommissionen (PTS) De incidenter som når tröskelvärden enligt ENISA:s rekommendation ska rapporteras till dem. Senast 28 februari varje år ska rapporten lämnas och PTS har skickat den för 2016. Modellen leder till stor underrapportering från de stora länderna. Tröskelvärden och statistik över rapporterade störningar och avbrott de senaste fem åren finns i bifogad presentation. Det är ENISA:s arbetsgrupp för artikel 13a som arbetar med rapporteringen m.m. En gång per år planerar man för att bjuda in operatörer till mötet. Björn frågade om operatörerna får inbjudningar direkt från ENISA och om de är intresserade av att delta. PTS kan ju i så fall sprida inbjudan när den kommer. Troligtvis blir nästa möte i februari 2018 i Wien. - Direktivöversynen i jämförelse med nuvarande regler (PTS) PTS inledde med att visa en bild över infrastruktur och tjänster (se bifogad presentation) och uppmanade alla att ta med sig att allt hänger ihop. eprivacyr släpptes i januari. EECC är koden det som intresserar er operatörer mest. De har lånat definitioner från varandra och gör man ändringar påverkar det på flera ställen. De rosa rutorna, NIS och GDPR, är det enda som är hugget i sten. Man vill säkerställa att det blir lika i alla medlemsstater men det är Post- och telestyrelsen 3

komplicerat och man försöker städa och renodla. Det som inte rör integritet ska placeras någon annanstans än i eprivacyr. Vi måste alltid kolla var reglerna har hamnat. eprivacyr har en ambitiös tidplan och ska träda i kraft i maj 2018. En ny sak som omfattas här är OTT, det ska vara samma regler för snarlika tjänster. Säkerhetskraven och PUL försvinner ur eprivacy. Vissa saker får nya namn. Regler om kakor ska uppdateras ska vi klicka eller ha förinstallerade för webbtjänsten. Förordningen ska bli lite mer modern och anpassningsbar för framtiden. Sanktioner står det mycket om i GDPR. Man har försökt att synka så det inte blir någon överträdelse. Vem ska vara tillsynsmyndighet för det här? Diskussioner förs då medlemsstaterna själva vill bestämma vilken myndighet de vill ha. Gäller det dataskydd så är det datainspektionen här i Sverige. PTS hoppas att Näringsdepartementet har frågat efter era synpunkter då det gäller eprivacy. När det gäller koden EECC har ni inte blivit inbjudna och nu finns risk att ni inte heller blir det. Både eprivacy och EECC är under förhandling. EECC koden kom i höstas. Ett direktiv ska ersätta fyra. Tanken är att EECC också ska börja gälla i maj 2018 men det är lite beroende på hur förhandlingarna går i eprivacy som ligger lite efter i tidplanen. Gällande koden kanske vi ser implementeringstid 2020 och vi tror att vi har ändrade regler i LEK om 3-4 år. Ulrika ber er att ha tålamod med det här PTS håller på att rita upp fältet vad landar här och vad landar där och återkommer i höst med förhoppningsvis bättre bilder av tillståndet. - Säkerhet i signaleringssystem (PTS) Telefoni är viktigt men komplicerat och det är viktigt att användarens bild av en tjänst överensstämmer med verkligheten. Det rapporteras alltmer om sårbarheter i telespecifika protokoll. Vi skyddar inte helheten utan kan man ta sig in i en del öppnas allt. PTS har kartlagt VoLTE i Sverige bl.a. genom att ställa frågor kring vilka protokoll man implementerar, vilka a-nummer etc. och vi kommer arbeta vidare med resultaten men har ännu inte bestämt hur. Se mer detaljer i bifogad presentation. 8. Incidentrapportering - Hur PTS arbetar med inrapporterade incidenter (PTS) Rapportering kan ske till PTS via e-tjänst eller e-post. Det finns möjlighet att skicka krypterad e-post, som ni har bett om tidigare, men det görs sällan. Handläggarna som tar hand om rapportera går på rullande veckoschema. I den Post- och telestyrelsen 4

inledande rapporten är det viktigt att vi får uppgift om när incidenten inträffade och när den avhjälptes, vilka tjänster som berörs och i vilken omfattning. Sedan följer en kompletterande rapport då PTS vid behov ställer frågor för att förstå helheten. Vid eventuell begäran om utlämning av den diarieförda rapporten görs sekretessbedömning varje gång. Alla incidentrapporter kan leda till tillsyn. PTS handläggare och TiB jobbar ihop så några gånger har vi stött på incidenter/störningar vid genomgång av den händelselogg PTS TiB gör. 9. Civilt försvar och säkerhetsskydd (PTS) Sverige befinner sig i förändrat säkerhetspolitiskt läge. Mot bakgrund av detta har regeringen beslutat att totalförsvarsplaneringen ska återupptas. PTS har påbörjat arbetet utifrån det lagstöd som finns. Den försvarspolitiska inriktningen hur arbetet ska fortgå kommer troligen uppdateras i år. Planeringsanvisningar för det civila försvaret kom 2015. MSB:s och FM:s grundsyn för sammanhängande planering redovisas i bifogade presentation. Det ligger på PTS ansvar att omsätta allt detta till något som är relevant för er operatörer vilket har resulterat i en hel del aktiviteter. Prioriterade områden 2018-2020 finns också redovisade i bifogade presentation. PTS har haft några inledande operatörsdialoger och kommer fortsätta med det. En annan stor och viktig fråga är personalplanering hos er operatörer. Vem är kvar och kan utföra det arbete som måste göras när övriga är inkallade under höjd beredskap? Ni behöver hjälp med att få personal undantagen från totalförsvarsplikten. Ett gigantiskt pussel som kommer behövas läggas och även inkluderar personal som ni hyr in. T.ex. de servicetekniker ni hyr in delas mellan ett flertal operatörer. Nkom i Norge planerar att införa nationell autonomi i Norge och en deltagare frågar om det är något man tittar på från PTS sida - om det kan komma att införas i Sverige också. PTS tittar på möjligheterna men kan inte svara på om och i vilken utsträckning det skulle kunna bli relevant. Vi behöver göra en total översyn vad det skulle innebära i stort. Det är en viktig fråga att fundera över. 10. PTS arbete efter händelserna den 7 april (PTS) Efter den här typen av händelse där elektronisk kommunikation påverkas ökar behovet av utredning och lärande. MSB har fått i uppdrag av regeringen att analysera hanteringen av händelsen och även information och ryktesspridning i samband med händelsen. PTS har beslutat att genomföra tre utredningar en intern, en teknisk och en juridisk. Den interna utredningen inriktas på PTS TiB, PTS krisledningsorganisation och relationen till NTSG. Post- och telestyrelsen 5

Händelsen för PTS del började 15.00 via nyhetslarm. 15.54 efterfrågade NTSG lägesinfo från mobiloperatörerna. 16.00 aktiverades NTSG och strax efter fattade GD beslut att aktivera PTS krisstab. 16.46 skickades en första lägesrapport till Näringsdepartementet. 17.30 telefonmöte inom NTSG. Sedan avvecklades krisstaben. Exempel på lärdom och frågor som väckts: - ska PTS har rutin för att kontrollera att alla medarbetare är OK? - hur ska vi kunna låsa huvudentrén före kontorstidens slut? - eventuell handkassa för matinköp? - behöver vi ha förberedd ledningsplats i eller utanför Stockholm? Vi har identifierat en hel del åtgärder och vidare arbete som behöver göras. Den tekniska utredningens syfte är att samla operatörernas erfarenheter och utvecklingsmöjligheter för att kunna utveckla för framtiden. PTS GD kommer denna vecka att skicka ut förfrågan och be er komma till möten då vi efterfrågar muntlig dokumentation. T.ex. vilken påverkan kunde uppstått vid ytterligare händelse i närområdet eller annan del av landet? Mer info om den tekniska utredningen kommer förmodligen under veckan. Den juridiska utredningen grundar sig på LEK och är särskilt kopplad till förmedlingen av nödsamtal. Nödsamtal ska kunna förmedlas kostnadsfritt. PTS har inte kunskap om det finns skyldighet att prioritera nödsamtal. Är det mögligt utifrån nuvarande lagstiftning att operatörer ska prioritera nödsamtal? Är det lämpligt att göra denna prioritering? En operatör sa att det inte var några problem att fördela samtalen men SOS kunde inte ta emot. Vid elavbrott finns vägledning hur kapacitet ska fördelas. I Finland har man föreskrifter hur operatörer ska hantera nödsamtal. Det är inte självklart om samhället ska styra den här typen av hantering. I Estland på 2000-talet hade man i förväg bestämt att det var viktigare att man kunde kontakta nära vän/familj än ringa nödsamtal. En deltagare påpekade att sektorn elektronisk kommunikation inte bjöds in till krissamtal med MSB på fredagen utan först på lördagen. PTS har varit i kontakt med MSB angående detta så det kommer inte hända igen. 11. Övriga frågor För drygt ett år sedan var det en arbetsmarknadskonflikt där PTS gjorde ett bra arbete enligt Telia Company AB. Frågan ställeds vad det finns för regulatoriska styrmedel vid påverkan på sektorn och om det hänt något ur PTS synvinkel. Telia anser att nyckelfunktioner hos operatörerna borde vara undantagna vid sådana konflikter. PTS svarade att vi får ta med oss frågan. Post- och telestyrelsen 6

12. Avslutning Nästa driftsäkerhetsforum föreslås hållas torsdagen den 23 november 2017. Post- och telestyrelsen 7