Tillsyn med anledning av integritetsincident rörande hemliga nummer

Relevanta dokument
Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Tillsyn över säkerhetsarbete hos underleverantör

Tillsyn över dokumentation av informationsbehandlingstillgångar

Tillsyn efter inträffad integritetsincident i fakturasystem

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Exponerade fakturor på internet

(5)

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Avbrott i bredbandstelefonitjänst

Tillsyn över dokumentation av tillgångar och förbindelser

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Tillsyn över behandling av uppgifter

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Överlämnande av nummer vid byte av tjänsteleverantör

Säkerhetsbrister i kundplacerad utrustning

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Förslag till beslut om ändring av telefoninummerplanen

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Säkerhetsbrister i kundplacerad utrustning

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Ändring av telefoninummerplanen

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Tillsynsrapport: Informationskrav vid ändring av avtal

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Föreläggande att inkomma med uppgifter

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

Beslut om ändring av telefoninummerplanen

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

Beslut om förbud enligt 12 radioutrustningslagen

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Beslut om förbud enligt 12 radioutrustningslagen

Beslut om avskrivning

Vägledning om skyldigheten att rapportera integritetsincidenter

Underrättelse om misstanke om att Föreningen Sveriges Sändareamatörer (SSA) utfärdar amatörradiocertifikat på bristfälliga grunder

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Tillsyn avseende Telia Company AB:s incidenthantering med anledning av stormen Alfrida

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

Innehåll Dnr: (5)

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Misstanke om att Teracom AB handlar i strid med företagets skyldigheter att tillämpa kostnadsorienterad prissättning

Underrättelse om misstanke att Tele2 Sverige AB:s prissättning på mobil samtalsterminering inte är kostnadsorienterad

Beslut om ändring av telefoninummerplanen

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

Informationssäkerhet för samhällsviktiga och digitala tjänster

Dnr: (2) Postavdelningen Adrian Waltl. Tillsynsärende avseende Postnords rapportering av klagomål till PTS PROMEMORIA

Beslut om ändring av telefoninummerplanen

Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Minnesanteckningar Driftsäkerhetsforum 23 november 2016

Föreläggande att på begäran lämna ut uppgifter om abonnemang

Förändringar i nya LEK

Datum Vår referens Aktbilaga Dnr:

3. Föreläggandet gäller omedelbart enligt 8 kap. 22 LEK.

Policy för behandling av personuppgifter

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Dnr: (7)

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Nordisk Mobiltelefon Sverige AB:s konkursbo, Lagrummet december nr 1580 AB, , under namnbyte till AINMT Sverige AB

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

Saken. PTS underrättelse

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Svensk författningssamling

Begränsningsbeslut avseende frekvensutrymmet 452,5 457,5/462,5 467,5 MHz

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Svensk författningssamling

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

(5) Vägledning för anmälan av anmälningspliktig verksamhet. 1. Inledning. 2. Anmälningsplikt Hur görs en anmälan?

Svensk författningssamling

PERSONUPPGIFTSBITRÄDESAVTAL

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Beslut om tillstånd att använda radiosändare i 10,5 GHz-bandet

Förbud att sälja radioutrustning m.m. enligt lagen (2000:121) om radio- och teleterminalutrustning

Allokering och reservering av mobila nätkoder

Datum Vår referens Aktbilaga Dnr: /23 19

Transkript:

AVSKRIVNINGSBESLUT 1(6) Datum Vår referens Aktbilaga 2019-10-01 Dnr: 19-7757 9 Avdelningen för säker kommunikation Tele2 Sverige AB Tillsyn med anledning av integritetsincident rörande hemliga nummer Saken Tillsyn enligt 7 kap. 1 första stycket lagen (2003:389) om elektronisk kommunikation (LEK) med anledning av integritetsincident där abonnenters hemliga nummer blivit felaktigt utlämnade till abonnentupplysningsföretag. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver tillsynsärendet. Bakgrund Under senhösten 2018 uppmärksammade Tele2 Sverige AB (Tele2) att flera av deras kunders telefonnummer var felaktigt publicerade på webbplatser som Eniro.se och Hitta.se. Detta trots att dessa telefonnummer angivits som hemliga och därmed inte skulle vara synliga på webbplatser för nummerupplysning. Tele2 rapporterade detta som en integritetsincident till PTS i april 2019. PTS inledde tillsyn den 11 juni 2019 för att granska Tele2:s systematiska säkerhetsarbete och incidentrapportering med anledning av integritetsincidenten. Tillsynen har genomförts skriftligen och med tillsynsmöten. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(6) Tele2:s uppgifter Incidenten bakgrund och omständigheter Under november till december 2018 genomfördes en systemmigrering i Tele2:s orderflöde, där ett gammalt system byttes ut. Eftersom det inte fanns någon dokumentation för det gamla systemet identifierades inte ett tekniskt krav på hur hantering av hemliga nummer skulle ske. Resultatet blev att hemliga nummer felaktigt publicerades på webbplatser för nummerupplysning. De kunder vars uppgifter omfattades av felet var de som gjorde förlängningar av sina redan befintliga abonnemang. Tele2 genomförde tester inför migreringen. På grund av avsaknad av historisk kunskap hos personal och dokumentation för det gamla systemet identifierades dock inte det specifika testfallet som krävdes för att testa hur förlängning av hemligt nummer skulle hanteras. Utfallet från testerna såg därför korrekta ut eftersom man under testfasen inte ställde den fråga, i systemet, som hade behövt ställas för att upptäcka den felaktiga publiceringen av hemliga nummer. Under december 2018 såg Tele2 en ökning av kunder som hörde av sig till Tele2:s kundservice för att påtala att deras hemliga nummer syntes på webbplatser för nummerupplysning, såsom Eniro.se och Hitta.se. Varje enskild händelse rättades direkt av kundservice. Till en början uppdagades det inte av Tele2 att detta berodde på ett fel i deras eget system, då en del publiceringar visade sig bero på abonnentupplysningsföretagen eller kunden själv. Den 7 mars 2019 överlämnades ärendet till IT-avdelningen för vidare utredning, då misstanken väcktes om att något systemfel ändå förelåg. Ärendet inkom till IT som ett oprioriterat ärende. Den 27 mars 2019 identifierade man grundorsaken till problemet och den 29 mars 2019 var en felrättning av problemet i produktion. Den 13 april 2019 inkom den inledande incidentrapporten till PTS. Tele2 har inte kunnat svara på varför incidenten rapporterades till PTS över två veckor efter att man identifierade grundorsaken till felet, utöver det faktum att Tele2 har begränsade resurser för incidentrapportering. Systematiskt säkerhetsarbete Inför systemmigreringen gjordes inga riskanalyser som beaktade risken för integritetsincidenter och dess konsekvenser. De tester som genomfördes var systemtester och integrationstester mellan gränssnitten. Tele2 har inte några fastställda rutiner inför systemmigreringar. Alla system är olika, varför det inte finns någon mall som skulle passa alla systemmigreringar. Post- och telestyrelsen 2

3(6) Tele2 uppger under tillsynsmötet att de ständigt arbetar med riskanalyser, med att identifiera högrisker och med att ha ett strukturerat säkerhetsarbete. Vidare uppger Tele2 att deras lärdomar inför framtiden innefattar att få in riskanalyser tydligare i sina processer och att ha tydliga rutiner för detta på alla ställen där det behövs. Därtill hoppas Tele2 på att få ett systemstöd med sina riskanalyser, med bl.a. automatiska påminnelser. Rutiner för incidentrapportering Samtliga medarbetare får utbildning i incidentrapportering. Kundtjänst får även riktade utbildningar i incidentrapportering. Det hålls inte några tester eller prov för att kontrollera att medarbetare som gått incidentrapporteringsutbildningen har förstått innehållet. Enligt Tele2:s standard för informationssäkerhet har alla medarbetare en skyldighet att utan dröjsmål rapportera alla säkerhetsincidenter. Detta ansvar förtydligas ytterligare i ett styrdokument. När en rapport har gjorts i Tele2:s incidentrapporteringssystem, som avser en händelse som har inträffat i Sverige, skickas automatiskt ett epostmeddelande till medarbetare i Tele2:s svenska reglerings- och säkerhetsavdelning. Incidentansvarig avgör, efter att tillräcklig information om händelsen har kunnat inhämtas, antingen själv eller i samråd med relevant kollega, om händelsen är en integritetsincident som ska rapporteras till PTS. Om så är fallet upprättar incidentansvarig en rapport om inträffad integritetsincident och skickar in den till PTS. För att höja medarbetarnas kunskap specifikt om integritetsincidenter, och för att tydliggöra vilka händelser som ska rapporteras internt hos Tele2, har en instruktion tagits fram för rapportering av integritetsincidenter. Denna har kommuniceras till samtliga medarbetare. Vidare har Tele2 under tillsynsmötet uppgett att de ska se över rutinerna för incidentrapportering. Vidare har de satt upp månatliga möten med ITavdelningen för att få bättre översikt över vilka långsiktiga och kortsiktiga projekt IT-avdelningen arbetar med. Tillämpliga bestämmelser Det framgår av 6 kap. 3 LEK att den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Dessa åtgärder ska vara Post- och telestyrelsen 3

4(6) ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Regler om vilka skyddsåtgärder som tjänstetillhandahållaren ska vidta framgår av PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter (PTSFS 2014:1). Enligt 3 PTSFS 2014:1 ska tjänstetillhandahållaren bedriva ett långsiktigt, kontinuerligt och systematiskt säkerhetsarbete. Enligt 4 andra stycket PTSFS 2014:1 ska tjänstetillhandahållaren analysera riskerna för att integritetsincidenter inträffar för de identifierade informationsbehandlingstillgångarna. Riskanalyserna ska dokumenteras och följas upp årligen och vid behov. Den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster ska, enligt 6 kap. 4 a LEK, utan onödigt dröjsmål underrätta tillsynsmyndigheten om integritetsincidenter. Regler om hur när och hur integritetsincidenter ska rapporteras till PTS framgår av Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott enligt Europaparlamentets och rådets direktiv 2002/58/EG vad gäller personlig integritet och elektronisk kommunikation (Anmälningsförordningen). Enligt Artikel 2.2 ska leverantörer anmäla integritetsincidenter till behörig myndighet senast 24 timmar efter att incidenten upptäckts. PTS bedömning Inledningsvis vill PTS poängtera vikten av att operatörer skyddar abonnenters uppgifter i enlighet med bestämmelserna i LEK och PTS föreskrifter. Röjandet av hemliga nummer kan resultera i allvarliga konsekvenser för den enskilda individen. Valet att ha hemligt nummer kan grunda sig i flera orsaker. Det går t.ex. inte att utesluta att det finns personer som gör detta val då de har en livssituation där det skulle innebära fara för liv och hälsa om deras kontaktuppgifter vore offentligt publicerade. Systematiskt säkerhetsarbete PTS ser allvarligt på avsaknaden av dokumentation och riskanalys inför den systemmigrering som resulterade i den felaktiga publiceringen av hemliga nummer. Post- och telestyrelsen 4

5(6) Tele2 har uppgett att operatören inte hade någon möjlighet att upptäcka felet som föranledde incidenten, eftersom det inte fanns någon personal med historisk kunskap om, eller dokumentation för, det system som byttes ut. Det faktum att operatören inte haft tillräcklig kunskap och aktuell dokumentation avseende de system som behandlar deras abonnenters skyddsvärda information har enligt PTS bedömning utgjort en brist i det långsiktiga, kontinuerliga och systematiska säkerhetsarbete som operatören är skyldig att bedriva enligt 3 PTFS 2014:1. I aktuellt fall kan denna brist bl.a. ha lett till att tillräckliga tester inte kunnat genomföras inför migreringen. Även genomförande av riskanalyser utgör en förutsättning för ett godtagbart säkerhetsarbete, bl.a. eftersom möjligheten att i förväg upptäcka och hantera eventuella integritetsrisker ökar markant. Att Tele2 saknade såväl kunskap som dokumentation om det aktuella systemet gör det särskilt anmärkningsvärt att operatören inte genomfört en analys av riskerna för integritetsincidenter i samband med systemmigreringen. Tele2 är enligt 4 andra stycket PTSFS 2014:1 skyldiga att genomföra sådana riskanalyser årligen och vid behov. Enligt PTS bedömning utgör ett så pass stort projekt som migreringen ett sådant behov som borde ha föranlett en analys av riskerna för integritetsincidenter. Tele2 har även uppgett att det inte finns någon mall för rutiner som skulle passa samtliga systemmigreringar, då alla system är så pass olika. Oaktat detta ingår det i det säkerhetsarbete som Tele2, enligt PTSFS 2014:1, ska bedriva att beakta integritetsriskerna vid behov, inkluderat inför ett sådant systembyte som det som skedde i november-december 2018. Att anpassning av rutiner och mallar kan behöva ske från fall till fall för att vara ändamålsenliga ändrar inte denna bedömning. Incidentrapportering PTS finner det anmärkningsvärt att Tele2:s incidentrapporteringsrutin lämnat utrymme för att en incident dels tog så pass lång tid att upptäcka och dels inte rapporterades förrän två veckor efter att den upptäcktes. Tele2 har angivit att operatören har begränsade resurser för sin incidentrapportering. Detta är inte en godtagbar ursäkt för att inte rapportera incidenter i enlighet med vad lagen kräver. PTS framhåller att Tele2 måste säkerställa att incidentrapporteringen hanteras enligt Art 2.2. Anmälningsförordningen, genom exempelvis kommunikation och utbildning till sina anställda. Efterlevnad av de nuvarande incidentrapporteringsrutinerna har varit bristfällig, med anledning av vad som angivits ovan. Det krävs inte, enligt PTS bedömning, att anställda ska arbeta uteslutande med incidentrapportering för att incidentrapporteringsrutiner ska anses Post- och telestyrelsen 5

6(6) adekvata. När en incident upptäcks ska den dock rapporteras till PTS inom 24 timmar. Tele2 borde ha säkerställt att de medarbetare som identifierade grundorsaken till felpubliceringen, samt startade felrättningen i systemet, kände till dessa regler. Slutsats Det är uppenbart att Tele2 har haft brister i sitt säkerhetsarbete vad gäller såväl dokumentation och överförande av kunskap internt, som för genomförande av riskanalyser och incidentrapportering. PTS ser positivt på att Tele2 har dragit värdefulla lärdomar av det inträffade och att operatören identifierat var och hur förbättring måste ske. PTS tillsyn är framåtsyftande och syftar till att säkerställa att Tele2 efterlever de skyldigheter som framgår av PTSFS 2014:1. Utifrån vad som framkommit under tillsynen bedömer PTS att Tele2 har för avsikt att förbättra sina rutiner vad gäller överföring av kunskap och dokumentation av system, riskanalyser och incidentrapportering. Tele2 har visat förståelse för de brister som uppdagats i deras säkerhetsarbete och har förklarat vilka åtgärder som kommer vidtas för att nå en tillräcklig nivå av säkerhet. Dessa åtgärder innefattar bl.a. införande av riskanalyser tidigare i sina processer, tydligare rutiner för riskanalyser och månatliga möten med IT-avdelningen. PTS bedömer att dessa åtgärder är ändamålsenliga. PTS kan komma att följa upp dessa åtgärder i kommande tillsynsinsatser. Sammanfattningsvis bedömer PTS att Tele2 har förutsättning att framöver hantera säkerhetsarbetet och incidentrapporteringen i enlighet med regelverket, och det finns därmed inte skäl att fortsätta tillsynen. Ärendet avskrivs därför från vidare handläggning. Beslutet har fattats av tf. enhetschefen Anna Montelius. I ärendets slutliga handläggning har även juristerna Karin Lodin och Anna Söyland (föredragande) deltagit. Post- och telestyrelsen 6

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss