Yttrande Datum Vår referens Sida 2009-08-26 Dnr: 09-4998/60 1(5) Er referens IJ2009/792/KO Konsumentavdelningen Maria Joleby 08-678 56 49 Maria.Joleby@pts.se Integrations- och jämställdhetsdepartement 103 33 Stockholm Remissvar angående departementspromemorian Produktsäkerhet vid offentliga tjänster (Ds 2009:16) Post- och telestyrelsen (PTS) har enligt 1 förordningen (2007:951) med instruktion för Post- och telestyrelsen ett samlat ansvar inom området för elektronisk kommunikation. PTS lämnar nedan myndighetens synpunkter med utgångspunkt från myndighetens verksamhetsområden. Bör produktsäkerhetslagen utvidgas till offentliga tjänster? (departementspromemorians 5 kap.) Vid en utvidgning av produktsäkerhetslagen (2004:451) kommer det till stor del handla om immateriella tjänster såsom exempelvis rådgivning, upplysning och annan service där det enbart undantagsvis kan uppkomma säkerhetsproblem som är förbundna med själva tjänsten. PTS bedriver tjänsten Telepriskollen som tillhandahålls av PTS i samarbete med Konsumentverket. Telepriskollen hjälper konsumenter att jämföra priser och villkor mellan olika operatörer inom fast och mobil telefoni, bredband, mobilt och uppringt Internet samt paket. Syftet är att göra det lättare för konsumenten att hitta de mest fördelaktiga erbjudandena utifrån sina behov. I Min beräkning fyller konsumenten i sina telefoni- och Internetvanor och ser vad olika avtal kostar just för honom eller henne. Man kan också använda Snabbjämförelsen med tre fördefinierade användarprofiler; Lite, Mellan eller Mycket, som bygger på en analys av konsumenternas användningsmönster. I Prislista kan man se en översikt av alla tillgängliga avtal och sortera dessa efter olika värden. Telepriskollen visar oberoende och korrekt information om priser och kvalitet, men kan inte garantera att anslutning fungerar där just personen i fråga bor. En rekommendation från PTS sida är därför att kontrollera uppgifterna på operatörens webbsida innan man beställer ett abonnemang. Telepriskollen räknar fram en total månadskostnad för samtliga tillgängliga Kommunikationsmyndigheten PTS Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Birger Jarlsgatan 16 Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se
2(5) alternativ. Uppgifterna om priser och andra villkor kommer från operatörerna själva och kontrolleras av PTS. Operatörerna ansvarar för att uppdatera informationen och att den stämmer överens med uppgifter på deras egna webbplatser. Det är osäkert huruvida säkerhetsrisker överhuvudtaget kan uppstå vid användandet av Telepriskollen och den skada en konsument i det fallet kan lida genom att exempelvis välja ett abonnemang som är för dyrt är ekonomisk skada och torde därför enligt 1 PSL falla utanför lagens tillämpningsområde. PTS bedriver även tjänsten Testa datorn som letar efter svagheter i säkerheten på konsumentens dator och undersöker om den är öppen för intrång. Testa datorn använder ett särskilt öppen källkodsprogram (Nessus) för att utföra en stor mängd identifierings och penetrationstester mot den IP adress som konsumenten lägger beställningen ifrån. Testerna utförs över Internet utan att någon speciell programvara behöver installeras på konsumentens dator. Med hjälp av information om allmänt kända säkerhetsbrister avgör dessa tester om datorn är öppen för intrång. Testa datorn visar dock inte om konsumenten har ett antivirusprogram och brandvägg, eller om denne har uppdaterat sitt operativsystem och webbläsare. Detta är naturligtvis också viktigt för datorsäkerheten. Av säkerhetsskäl är testet spärrat så att det bara kan undersöka den IP-adress som testet startades från. Det innebär att om konsumenten inte själv har en publik IP-adress - till exempel om denne sitter på ett företags nätverk - kommer testet inte att utföras på konsumentens dator, utan på den dator, brandvägg eller router som kopplar upp företagets nätverk mot Internet. Att genomföra ett test vid ett företagsnätverk kan innebära väldigt svårtolkade testresultat och eventuellt också orsaka larm i nätverksövervakningen då testerna liknar riktiga intrångsförsök. Av den anledningen avråder PTS från att testa datorn i en miljö man inte äger och bestämmer över. När konsumenten surfar in på Testa datorn så upprättas en säker så kallad krypterad förbindelse till datorn. Det visas genom att det står https:// uppe i adressraden. Det innebär att ingen obehörig kan ta del av testresultat, som bara visas en gång inom 24 timmar och därefter tas bort. Statistiken sammanställs utifrån de säkerhetsbrister som testet har upptäckt. De säkerhetsbrister som ligger till grund för statistiken kan inte kopplas ihop med enskilda testresultat eller IP-adresser.
3(5) PTS driver även Testa lösenord som syftar till att ge konsumenter möjlighet att lära sig hur lösenord bör konstrueras för att bli starka och svåra att knäcka. Testet analyserar de teckenkombinationer konsumenten skriver in (visas i klartext) och avgör hur starka eller svaga de skulle vara om de användes som lösenord. Analysen sker i två steg. Först analyseras teckenkombinationen för att se om den innehåller tillräckligt många olika teckentyper och om den är nog lång. Därefter testas den mot uppslagsverk för att fånga upp kända ord, namn och systematiska mönster som kan göra den svag. Upplagsverket baserar sig på ett program som heter CrackLib, som bygger på så kallad öppen källkod. Testet skyddas genom kryptering (SSL), när konsumenten surfar in på Testa lösenord så upprättas en säker så kallad krypterad förbindelse till datorn. Det visas genom att det står https:// uppe i adressraden. Det innebär att ingen obehörig kan ta del av testet. Testet sparar inte teckenkombinationer som testas. Konsumenter bör dock inte använda tjänsten för att testa lösenord, eller lösenordsfraser, som de redan använder eller för att skapa nya som de har tänkt använda. Statistiken sammanställs utifrån vanliga lösenordsmisstag. Observera att testet inte sparar testade teckenkombinationer, däremot läser det av vanliga fel för att hjälpa andra att konstruera starka lösenord. Testa datorn och Testa lösenordet torde falla inom den utvidgning av PSL som nu föreslås. PTS har dock gjort en riskanalys avseende Testa datorn och Testa lösenordet och kommit till slutsatsen att ingen av tjänsterna kan leda till att konsumenter lider personskada. PTS upphandlar vidare en rad tjänster och försök från näringslivet i syfte att ge personer med funktionsnedsättning tillgång till elektroniska kommunikationstjänster. Inte sällan handlar det om tjänster på försöksstadiet, som tillhandahålls av ett mindre utvecklingsföretag till ett antal frivilliga testpersoner. Efter tillfredsställande tester upphandlas därefter många av dessa försökstjänster som permanenta tjänster för hela användargruppen. De varumärkesförs och tillhandahålls av den näringsidkare som PTS upphandlar, vanligtvis samma företag som utvecklat tjänsten, och som därmed har kännedom om såväl dess tillverkning som utformning och prestanda. I sin bedömning av remissen har PTS utgått från att de nu beskrivna tjänsterna inte omfattas av förslaget till utvidgning av lagstiftningen. En sådan utvidgning, vilken skulle innebära att det offentliga kan hållas ansvarigt för avancerad teknisk apparatur som många gånger befinner sig på utvecklingsstadiet, skulle kunna få långtgående konsekvenser för de framtida möjligheterna att utveckla tjänster för personer med funktionsnedsättning. Det skulle stå i strid mot den
4(5) allmänna principen om att den som har bäst kontroll över en varas eller tjänsts egenskaper och prestanda också är den som är lämpligast att bära ansvaret för dess goda funktion och säkerhet. PTS har därför dragit slutsatsen att tjänster som upphandlas av en offentlig myndighet är undantagna från PSL:s tillämpningsområdet. Enheten Sveriges IT- incidentcentrum (Sitic) är en nationell funktion med uppgift att stödja samhället i arbetet med att hantera och förebygga ITincidenter. Målet för Sitics arbete är att höja säkerhetsberedskapen i samhället genom att förmedla fakta och kunskap, och på så sätt öka skyddet mot ITincidenter. IT-incidenter kan vara ett försök att göra intrång i en organisations datorer eller en attack mot någon av Internets knutpunkter. I Sitics arbete ligger bl.a. att levererar stöd vid IT-incidenter och viss varningsinformation avseende sårbarheten i IT system. Informationen kan gå till såväl till myndigheter, kommuner och landsting som direkt till företag och privatpersoner/konsumenter. I förordningen (2007:951) med instruktion för Post- och telestyrelsen stadgas i 6 1 p att till myndigheten i detta arbete ska agera skyndsamt vid inträffade IT-incidenter genom att sprida information samt vid behov medverka i samordning av åtgärder som krävs för att avhjälpa och lindar effekter av det inträffade. Kunskapsbildning runt dessa frågor sker under själva incidentförloppet och innebär ofta uppdaterade eller justerade bedömningar. Den första bedömningen behöver inte nödvändigtvis vara den som i detalj är rätt. Det finns ändå ett värde i att information går direkt för att påbörja lindring av skadan så tidigt som möjligt. Det finns en viss osäkerhet i om den information som Sitic går ut med är att anse som en tjänst avsedd för konsumenter, men då informationen kan antas komma att användas av konsumenter kan Sitics verksamhet möjligtvis falla inom lagens tillämpningsområde. Den information som lämnas av Sitic är omöjlig att säkerställa under förloppets gång då man måste informera under incidentförloppet vilket gör det omöjligt att vidta säkerhetsåtgärder eller ge ut säkerhetsinformation innan en IT-incident inträffar. På grund av verksamhetens natur vore det därför orimligt att kunna bli skadeståndsskyldig för något, som innan en slutlig bedömning kan göras, enbart är preliminära bedömningar vars huvudsakliga värde består i att de kommuniceras överhuvudtaget. Den tjänst som Sitic bedriver kan på grund av sin natur inte alltid helt avhjälpa problem som uppstår och i begreppet lindra finns en viss risk för personskada som inte går att undgå om verksamheten ska kunna bedrivas.
5(5) På grund av den skyddsvärda verksamhet Sitic bedriver och den oklarhet som råder om huruvida verksamheten skulle omfattas av en utvidgning av PSL kan PTS varken tillstyrka eller avstyrka en utvidgning av lagen förrän klargörande skett. Marianne Treschow Yttrandet har beslutat av generaldirektören Marianne Treschow. I ärendets slutliga handläggning har även Olof Bjurö tf chef för Konsumentavdelningen samt juristen Maria Joleby (föredragande) deltagit.