Exponerade fakturor på internet



Relevanta dokument
Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Tillsyn efter inträffad integritetsincident i fakturasystem

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Avbrott i bredbandstelefonitjänst

Tillsyn över säkerhetsarbete hos underleverantör

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Tillsyn över dokumentation av informationsbehandlingstillgångar

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Tillsyn över dokumentation av tillgångar och förbindelser

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Tillsyn över behandling av uppgifter

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

(5)

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Överlämnande av nummer vid byte av tjänsteleverantör

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Säkerhetsbrister i kundplacerad utrustning

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Beslut om avskrivning

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Föreläggande att inkomma med uppgifter

Vägledning om skyldigheten att rapportera integritetsincidenter

Säkerhetsbrister i kundplacerad utrustning

UNDERRÄTTELSE 1(4) Vår referens Dnr:

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

Tillsynsrapport: Informationskrav vid ändring av avtal

Beslut om avslag av begäran om omedelbara tillsynsåtgärder mot TeliaSonera Network Sales AB

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Förslag till beslut om ändring av telefoninummerplanen

Misstanke om att Teracom AB handlar i strid med företagets skyldigheter att tillämpa kostnadsorienterad prissättning

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Ändring av telefoninummerplanen

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

Underrättelse om misstanke att Tele2 Sverige AB:s prissättning på mobil samtalsterminering inte är kostnadsorienterad

Vår referens Dnr:

Saken. PTS underrättelse

Svensk författningssamling

Underrättelse avseende krav om god funktion och teknisk säkerhet Telia Fastmobil

Beslut om ändring av telefoninummerplanen

Ansökan om undantag från krav på reservkraft

Förändringar i nya LEK

Beslut om förbud enligt 12 radioutrustningslagen

3. Föreläggandet gäller omedelbart enligt 8 kap. 22 LEK.

Tillsyn avseende Telia Company AB:s incidenthantering med anledning av stormen Alfrida

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Nordisk Mobiltelefon Sverige AB:s konkursbo, Lagrummet december nr 1580 AB, , under namnbyte till AINMT Sverige AB

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

Jakob Rutberg Avdelningen för marknadsfrågor TeliaSonera AB Stab Juridik, Regulatoriska frågor FARSTA

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Telia AB föreläggs vid vite av tio miljoner ( ) kronor. PTS föreläggande gäller omedelbart enligt 64 telelagen (1993:597).

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Datum Vår referens Aktbilaga Dnr:

Underrättelse om misstanke om att Föreningen Sveriges Sändareamatörer (SSA) utfärdar amatörradiocertifikat på bristfälliga grunder

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Föreläggande att på begäran lämna ut uppgifter om abonnemang

Föreläggandet gäller omedelbart enligt 64 telelagen. ---

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut om tillstånd att använda radiosändare i 1800 MHz-bandet

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut om tillstånd att använda radiosändare i 10,5 GHz-bandet

Underrättelse om att Halebops villkor för registrering av kontantkort strider mot 5 kap. 9 lagen (2004:389) om elektronisk kommunikation (LEK).

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Beslut om förbud enligt 12 radioutrustningslagen

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

Beslut om tillstånd att använda radiosändare i frekvensbandet / MHz

(EkomL) avseende avgift för övergång från delad till hel ledning.

Misstanke om underlåtenhet att tillhandahålla information på marknaden för lokalt tillträde till nätinfrastruktur (marknad 3 a)

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Beslut om tillstånd att använda radiosändare i 3,5 GHz-bandet

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut om ändring av telefoninummerplanen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Att: Per Hemrin TeliaSonera Sverige AB Stab Juridik, Regulatoriska frågor FARSTA

Innehåll Dnr: (5)

Transkript:

BESLUT 1(6) Datum Vår referens Aktbilaga 2013-12-18 Dnr: 13-9151 12 Nätsäkerhetsavdelningen Jeanette Kronwall 08-6785898 jeanette.kronwall@pts.se TeliaSonera AB Att: Ann Ekstrand Stab Juridik, Regulatoriska frågor 123 86 FARSTA Exponerade fakturor på internet Saken Tillsyn enligt 7 kap. 1 lag (2003:389) om elektronisk kommunikation, LEK, i anledning av en integritetsincident; nu fråga om avskrivning Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund TeliaSonera uppmärksammades den 12 augusti 2013 på att elektroniska fakturor (e-fakturor) tillhörande 11 abonnenter var indexerade och sökbara på internet. E-fakturorna lagrades även av en sökmotor i form av cachade (mellanlagrade) filer. Berörda kunder underrättades om det inträffade med start den 13 augusti 2013. TeliaSonera rapporterade integritetsincidenten till PTS den 14 augusti 2013. Av denna rapport framgår bl.a. att fakturor och detaljerade samtalsspecifikationer gällande kunder hos Telia Mobile och Halebop därmed varit tillgängliga på internet. Om man känt till en drabbad kunds personnummer har det i vissa fall varit möjligt att logga in på Mina sidor och där komma över ytterligare information. Orsakerna till incidenten är att det har funnits brister i e-fakturasystemet vid kontrollen som görs för att säkerställa att det är rätt abonnent som försöker nå sin e-faktura, att URL:er 1 till fakturor har 1 URL, Uniform Resource Locator, en teckensträng som talar om var en resurs finns och vilket protokoll som är lämpligt, även kallad webbadress. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(6) inte löpt ut i tid utan fortsatt att fungera samt att aktuella servrar inte har haft någon robots.txt 2 som instruerar hur sökrobotar får indexera sidan. Mot bakgrund av orsakerna till incidenten och att det varit fråga om integritetskänsliga uppgifter som varit tillgängliga på internet beslutade PTS den 21 augusti 2014 att inleda tillsyn mot TeliaSonera. Den 29 augusti 2013 ställde PTS skriftligen frågor till TeliaSonera. PTS efterfrågade bl.a. en beskrivning av det tekniska systemet som hanterar e- fakturor, om någon riskanalys gjordes innan införandet av den berörda tjänsten samt uppföljande åtgärder vid förvaltning av systemet. Därtill ställdes bl.a. frågor om kryptering och loggning, vilka åtgärder som vidtagits i anledning av den inträffade incidenten och vilken information som har lämnats till drabbade kunder. Den 2 september 2013 träffades PTS och TeliaSonera för en genomgång av svaren på de av myndigheten ställda frågorna. Mötet gav upphov till ytterligare frågor från PTS, vilka översändes till TeliaSonera den 10 oktober 2013. Den 31 oktober 2013 inkom TeliaSonera med kompletterande svar samt viss efterfrågad dokumentation. Skäl Tillämpliga bestämmelser Enligt 6 kap. 3 LEK ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Den som tillhandahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Vidare enligt 6 kap. 4 a LEK ska den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster utan onödigt dröjsmål underrätta tillsynsmyndigheten om integritetsincidenter. Om incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör, eller om tillsynsmyndigheten begär det, ska även dessa underrättas utan onödigt dröjsmål. Regeringen eller den myndighet som regeringen bestämmer 2 En fil som enligt Robots Exclusion Standard är ett sätt att förhindra att sökrobotar eller sökspindlar, alltså datorprogram som samlar information åt söktjänster på internet, indexerar visst innehåll på en webbplats. Post- och telestyrelsen 2

3(6) får meddela föreskrifter om på vilket sätt skyldigheten ska fullgöras och om undantag från skyldigheten. Av 6 kap. 4 b LEK framgår att den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster löpande ska föra en förteckning över integritetsincidenter. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om innehållet i en sådan förteckning. PTS är enligt 2 första stycket förordningen (2003:396) om elektronisk kommunikation tillsynsmyndighet enligt LEK. Tillsynsmyndigheten ska enligt 7 kap. 1 LEK utöva tillsyn över bl.a. efterlevnaden av lagen samt de föreskrifter som har meddelats med stöd av lagen. En tjänstetillhandahållare som är skyldig att underrätta PTS om en inträffad integritetsincident enligt 6 kap. 4 a LEK, ska i enlighet med 4 PTSFS 2012:1 se till att en sådan underrättelse innehåller följande: 1. datum då integritetsincidenten inträffade, 2. en beskrivning av integritetsincidenten, 3. uppskattat antal berörda abonnenter eller användare, 4. bedömda konsekvenser av integritetsincidenten, 5. orsak till att integritetsincidenten inträffade, 6. de åtgärder som vidtagits eller kommer att vidtas i anledning av integritetsincidenten, 7. tjänstetillhandahållarens kontaktuppgifter och 8. referensnummer kopplat till tjänstetillhandahållarens förteckning över integritetsincidenter. Enligt 7 PTSFS 2012:1 ska en underrättelse till en abonnent eller användare innehålla följande uppgifter: 1. datum då integritetsincidenten inträffade, 2. en beskrivning av integritetsincidenten, 3. bedömda konsekvenser för abonnenten eller användaren, 4. de åtgärder som vidtagits eller kommer att vidtas och som påverkar abonnenten eller användaren, 5. rekommenderade åtgärder som abonnenten eller användaren bör vidta för att begränsa sin skada, 6. tjänstetillhandahållarens kontaktuppgifter och 7. referensnummer kopplat till tjänstetillhandahållarens förteckning över integritetsincidenter. Post- och telestyrelsen 3

4(6) Vidare enligt 10 PTSFS 2012:1 ska tjänstetillhandahållarens löpande förteckning över integritetsincidenter innehålla de uppgifter som nämns i 4 (samma föreskrifter) och uppdaterade uppgifter om de åtgärder som vidtagits eller kommer att vidtas för att undvika att incidenten återupprepas. PTS bedömning Av de uppgifter som TeliaSonera har lämnat till PTS i detta ärende framgår bl.a. följande. TeliaSonera har redogjort för ansvarsfördelningen i det tekniska flödet mellan olika parter i e-fakturasystemet (fakturautställare/fakturapresentatör, fakturautställarbank och CTD/Certified Ticket Distributor). Den aktuella incidenten berodde enligt TeliaSonera på fel i den del av systemet där TeliaSonera själva ansvarar för säkerhetsfrågorna. Det var enligt företaget en svaghet i implementationen och inte i systemet i sig som orsakade incidenten. Enligt uppgift från TeliaSonera har företaget rutiner som tillämpas så fort det misstänks att en integritetsincident har inträffat. När incidenten uppdagades vidtog TeliaSonera ett antal åtgärder; bl.a. kontaktades berörda kunder varvid information lämnades om incidenten, självbetjäningstjänsten Mina sidor stängdes ner för att förhindra ytterligare intrång (två intrång upptäcktes och polisanmäldes) samt att tillhandahållaren av den aktuella sökmotorn kontaktades för att se till att eventuella cachade versioner som kunde finnas kvar raderas. I anledning av det inträffade genomförde TeliaSonera även en incidentutredning, varigenom åtgärder har föreslagits och vidtagits, vilket har resulterat i en omdesign av e-fakturasystemet på grund av säkerhetsskäl. En ny version av e-fakturasystemet med bl.a. förbättrad indatakontroll produktionssattes den 30 augusti 2013. TeliaSonera har infört direktiv för sökrobotar (robot.txt) för att förhindra att söktjänster indexerar och sparar kopior av information om en länk till en faktura och sessionskontrollen har skärpts genom att indatakontrollen numera bygger på s.k. whitelists 3 samt att livslängden på URL:erna har begränsats. TeliaSonera har delvis inkommit med, samt anfört att det finns, relevant dokumentation gällande säkerhetsriskerna i e-fakturasystemet som upprättats vid den nu genomförda omdesignen av systemet. TeliaSonera har uppgett att säkerhetsanalyser och acceptanstester har gjorts tidigare men de har inte funnit någon dokumentation. TeliaSonera har vidare uppgett att de har dragit lärdom av det inträffade och att de nu har för avsikt att kontrollera och rätta till eventuella felaktigheter i liknande system i andra länder inom koncernen. Därtill pågår aktiviteter vad gäller att se över rutinerna för riskhantering och fler s.k. risk managers kommer att anställas. Ett projekt har även initierats för att 3 Whitelists är listor eller ett register över de som tillhandahålls ett visst privilegium t.ex. en viss tjänst. Endast de som finns på listan kommer att accepteras, godkännas eller erkännas. Post- och telestyrelsen 4

5(6) ytterligare säkerställa att nationella lagar och TeliaSoneras policy för personlig integritet följs. TeliaSonera har vidare uppgett att företagets lokala enheter som arbetar med kundrelationer följer en checklista som TeliaSonera anser uppfyller samtliga de krav som LEK och tillämpliga föreskrifter ställer avseende bl.a. information som ska lämnas till berörda kunder. PTS vill dock påpeka att det enligt gällande bestämmelser i LEK och tillämpliga föreskrifter finns tvingande krav på att koppla ett referensnummer till en incident, oavsett om det endast rör sig om ett fåtal incidenter, och att en löpande förteckning ska föras över inträffade incidenter. Dessa krav är dels motiverade ur ett skyddsperspektiv enligt vilket den som tillhandahåller en allmänt elektronisk kommunikationstjänst ska vidta lämpliga åtgärder för att säkerställa att behandlade uppgifter skyddas, dels ur ett tillsynsperspektiv då PTS kan komma att begära ut en sådan förteckning inom ramen för sin tillsyn. PTS anser mot bakgrund av ovanstående att TeliaSonera vidtagit ett antal lämpliga åtgärder dels för att begränsa skadan för drabbade kunder, dels för att förhindra att liknande incidenter ska kunna inträffa igen. TeliaSonera rapporterade även utan onödigt dröjsmål incidenten till PTS. Det är dock anmärkningsvärt att TeliaSonera, trots förfrågan från PTS, inte har inkommit med någon dokumentation av riskanalyser eller liknande vare sig från tiden då tjänsten infördes, eller från löpande översyner under de år tjänsten varit i drift. Detta särskilt med tanke på de integritetskänsliga uppgifter som behandlas i den aktuella tjänsten samt mot bakgrund av de krav på lämpliga tekniska och organisatoriska skyddsåtgärder som följer av 6 kap. 3 LEK. PTS noterar att frågan om integritetsskydd nu synes ha fått ökad prioritet och fått mer resurser. PTS förutsätter att TeliaSonera bedriver det fortsatta riskarbetet med målet att säkerställa en tillräcklig nivå av skydd för behandlade uppgifter, en nivå som ska vara anpassad till risken för integritetsincidenter, inom ramen för ett systematiskt och kontinuerligt säkerhetsarbete. PTS finner sammantaget mot bakgrund av vad som framkommit i ärendet inte anledning att vidta några ytterligare åtgärder. PTS avskriver därför ärendet från vidare handläggning. Post- och telestyrelsen 5

6(6) Beslutet har fattats av enhetschefen Patrik Bystedt. I ärendets slutliga handläggning har även juristen Jeanette Kronwall deltagit. Post- och telestyrelsen 6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss