Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Relevanta dokument
Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Tillsyn över dokumentation av informationsbehandlingstillgångar

Tillsyn över säkerhetsarbete hos underleverantör

Tillsyn efter inträffad integritetsincident i fakturasystem

(5)

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Tillsyn över dokumentation av tillgångar och förbindelser

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Exponerade fakturor på internet

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Avbrott i bredbandstelefonitjänst

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Förändringar i nya LEK

Säkerhetsbrister i kundplacerad utrustning

Överlämnande av nummer vid byte av tjänsteleverantör

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Vägledning om skyldigheten att rapportera integritetsincidenter

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Tillsyn avseende Telia Company AB:s incidenthantering med anledning av stormen Alfrida

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Föreläggande att inkomma med uppgifter

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

Tillsyn över behandling av uppgifter

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Beslut om ändring av telefoninummerplanen

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Säkerhetsbrister i kundplacerad utrustning

Tillsynsrapport: Informationskrav vid ändring av avtal

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Saken. PTS underrättelse

Minnesanteckningar Driftsäkerhetsforum 23 november 2016

Förslag till beslut om ändring av telefoninummerplanen

Beslut om avskrivning

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

Ansökan om undantag från krav på reservkraft

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

Underrättelse om misstanke att Tele2 Sverige AB:s prissättning på mobil samtalsterminering inte är kostnadsorienterad

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Driftsäkerhet i elektroniska kommunikationer

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Mötesanteckningar från Driftsäkerhetsforum

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

KU Regelrådet.pdf; Föreskrifter Regelrådet.pdf; Missiv Regelrådet.pdf

Ändring av telefoninummerplanen

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Post- och telestyrelsen (PTS) har beretts tillfälle att yttra sig över rubricerad promemoria.

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Minnesanteckningar Integritetsforum 14 april 2016 kl. 9-12

Föreläggande att på begäran lämna ut uppgifter om abonnemang

Misstanke om att Teracom AB handlar i strid med företagets skyldigheter att tillämpa kostnadsorienterad prissättning

Beslut om ändring av telefoninummerplanen

Innehåll Dnr: (5)

Minnesanteckningar Integritetsforum 27 april 2018

Nordisk Mobiltelefon Sverige AB:s konkursbo, Lagrummet december nr 1580 AB, , under namnbyte till AINMT Sverige AB

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

(5) Vägledning för anmälan av anmälningspliktig verksamhet. 1. Inledning. 2. Anmälningsplikt Hur görs en anmälan?

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Allokering och reservering av mobila nätkoder

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Beslut om tillstånd att använda radiosändare i 10,5 GHz-bandet

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Beslut om förbud enligt 12 radioutrustningslagen

Underrättelse avseende krav om god funktion och teknisk säkerhet Telia Fastmobil

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

Driftsäkerhetsforum. 15 juni Post- och telestyrelsen

Välkomna! Integritetsforum torsdagen den 14 april 2016

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Post- och telestyrelsen, PTS. Post- och telestyrelsen

Vägledning om skyldigheten att rapportera avbrott och störningar

Förbud att sälja radioutrustning m.m. enligt lagen (2000:121) om radio- och teleterminalutrustning

Beslut om tillstånd att använda radiosändare i 3,5 GHz-bandet

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Post- och telestyrelsen (PTS) har med utgångspunkt från myndighetens verksamhetsområde följande synpunkter.

UNDERRÄTTELSE 1(4) Vår referens Dnr:

Beslut om avslag av begäran om omedelbara tillsynsåtgärder mot TeliaSonera Network Sales AB

Underrättelse om misstanke om att Föreningen Sveriges Sändareamatörer (SSA) utfärdar amatörradiocertifikat på bristfälliga grunder

Beslut att begränsa antalet tillstånd i 3,5 GHz- och 2,3 GHz-banden

Informationssäkerhet för samhällsviktiga och digitala tjänster

Utredningen om genomförande av NIS-direktivet

Transkript:

AVSKRIVNINGSBESLUT 1(7) Datum Vår referens 2016-04-29 Dnr: 16-2574 Nätsäkerhetsavdelningen Mikael Ejner 08-678 57 21 mikael.ejner@pts.se Com Hem AB Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB Saken Tillsyn över incidentrapportering och inträffade incidenter. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund PTS genomför årligen planlagd tillsyn över ett urval operatörer, bland annat i syfte att dessa ska redogöra för inträffade incidenter under föregående år. Tillsynen omfattar såväl driftstörningar som integritetsincidenter, vilka operatörerna är skyldiga att rapportera in till PTS. Ett av huvudsyftena med inrapporteringsskyldigheten är att PTS ska kunna göra en bedömning av om det finns skäl att misstänka att bestämmelser i lagen (2003:389) om elektronisk kommunikation (LEK), t.ex. bestämmelsen om driftsäkerhet i 5 kap. 6 b LEK, inte efterlevs. Även i de fall en incidentrapport till PTS inte ger upphov till direkta tillsynsåtgärder, kan incidentrapporten innehålla uppgifter som bidrar till myndighetens kunskap om vanliga orsaker till störningar och avbrott eller integritetsincidenter. Detta kan i sin tur utgöra underlag för PTS planlagda tillsynsinsatser och även bidra till myndighetens arbete med risk- och sårbarhetsanalyser för sektorn och till myndighetens arbete med robusthetshöjande åtgärder. PTS inledde den 9 mars 2016 den planlagda årliga tillsynen rörande incidentrapportering och inträffade incidenter över Com Hem AB (Com Hem). Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(7) Den 23 mars 2016 höll PTS ett tillsynsmöte med Com Hem. Mötet omfattade de störningar och avbrott av betydande omfattning samt de integritetsincidenter som inträffat under perioden sedan föregående års årliga tillsyn och som inte blivit föremål för tillsyn tidigare. Vid mötet redogjorde Com Hem kort för hur ansvaret för hantering av driftstörningar och rapporteringen av dessa till PTS ser ut, samt för de sex störningar och avbrott av betydande omfattning som rapporterats till PTS. Av dessa orsakades flera incidenter av fel i samband med förändringsarbete. En annan återkommande orsak till driftstörningar under det föregående året var fel orsakade av underleverantörer. Com Hem uppgav vid mötet att man genomfört en översyn av nätdesignen i syfte att uppnå en robustare utformning av denna. Sedan en tid tillbaka pågår även, enligt Com Hem, ett omfattande arbete med att införa en systematisk process och tydligt utpekade ansvariga för förändringshantering. Ett testnät håller också på att byggas upp som ska möjliggöra mer realistiska testscenarion än vad som hittills varit möjligt. Com Hem uppgav vidare att samarbetet med en av underleverantörerna har varit problematiskt då underleverantören, trots upprepade möten och uppföljningar från Com Hem, löpande har uppvisat brister i sitt säkerhetsarbete. Enligt Com Hem har underleverantören även orsakat många störningar och avbrott som inte varit av sådan omfattning att de rapporterats till PTS. När PTS frågade Com Hem hur väl medvetna man var om PTS nya föreskrifter om krav på driftsäkerhet (PTSFS 2015:2), uppgav Com Hem att man kände till dessa väl och hade vidtagit åtgärder för att efterleva dessa. När det gäller integritetsincidenter hade Com Hem under den period som varit föremål för denna årliga tillsyn rapporterat en integritetsincident. Vid mötet redogjorde Com Hem för denna, som berodde på att en underleverantör som uppgraderade sitt system fick en bugg som påverkade brevutskick på tjänsten Mina sidor. Felet medförde att vissa kunder fick del av andra kunders informationsbrev (avseende en prisjustering) på Mina sidor. Problemet upptäcktes och åtgärdades inom några timmar, enligt Com Hem. Utöver att buggen rättades, så har Com Hem efter incidenten infört en kontrollrutin och en programmatisk kontrollfunktion i syfte att minimera risken för att liknande problem inträffar igen. Com Hem redogjorde även för sin process för hur man arbetar med att identifiera integritetsincidenter och rapportera dem internt. Enligt uppgift vid mötet så har Com Hem tagit fram en förbättrad process för detta och skriftliga Post- och telestyrelsen 2

3(7) riktlinjer finns tillgängliga på intranätet. Com Hem uppgav vidare att samtliga anställda som hanterar uppgifter årligen får utbildning avseende upptäckt och intern rapportering av integritetsincidenter. Skäl Tillämpliga bestämmelser PTS är enligt 2 förordningen (2003:396) om elektronisk kommunikation tillsynsmyndighet enligt LEK. PTS ska enligt 7 kap. 1 LEK utöva tillsyn över efterlevnaden av lagen och de beslut om skyldigheter eller villkor samt de föreskrifter som meddelats med stöd av lagen. Av 5 kap. 6 b LEK framgår bland annat att den som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att verksamheten uppfyller rimliga krav på driftsäkerhet. Denna bestämmelse förtydligas i Post- och telestyrelsens föreskrifter om krav på driftsäkerhet (PTSFS 2015:2). Av 5 kap. 6 c första stycket LEK framgår att den som tillhandahåller ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst utan onödigt dröjsmål ska rapportera störningar eller avbrott av betydande omfattning till tillsynsmyndigheten. Av PTS föreskrifter och allmänna råd om rapportering av störningar eller avbrott av betydande omfattning (PTSFS 2012:2) framgår bland annat vilka störningar och avbrott som ska rapporteras samt hur rapporteringen ska gå till. Enligt 6 kap. 3 LEK ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Av 6 kap. 4 a första stycket LEK framgår att den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster utan onödigt dröjsmål ska underrätta tillsynsmyndigheten om inträffade integritetsincidenter. Om incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör, eller om tillsynsmyndigheten begär det, ska även dessa underrättas utan onödigt dröjsmål. Hur och när rapportering ske framgår av kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott. En integritetsincident Post- och telestyrelsen 3

4(7) definieras i 6 kap. 1 LEK som en händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster. Av PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter (PTSFS 2014:1) framgår bland annat följande: Tjänstetillhandahållarens säkerhetsarbete avseende behandlade uppgifter ska enligt 3 bedrivas långsiktigt, kontinuerligt och systematiskt och det ska finnas en tydlig rollfördelning med särskilt utpekade ansvariga. Rutiner, processer och rollfördelning ska dokumenteras. Tjänstetillhandahållaren ska enligt 4 bland annat identifiera informationsbehandlingstillgångar och föra en förteckning över dessa samt analysera riskerna för att integritetsincidenter inträffar för de identifierade informationsbehandlingstillgångarna. Vidtagna skyddsåtgärder samt tjänstetillhandahållarens bedömningar av lämplig nivå ska dokumenteras och följas upp årligen och vid behov. Tjänstetillhandahållaren ska enligt 10 ha dokumenterade rutiner för identifiering, intern rapportering, hantering och uppföljning av integritetsincidenter. Rutinerna ska säkerställa 1. att samtliga uppgifter i 11 förs in i den förteckning som tjänstetillhandahållaren ska föra enligt 6 kap. 4 b lagen (2003:389) om elektronisk kommunikation, 2. att inträffade integritetsincidenter och dess orsaker beaktas vid genomgång av riskanalyser i enlighet med 4, och 3. att skyddsåtgärder vidtas för att undvika liknande integritetsincidenter. PTS bedömning Inledningsvis kan PTS konstatera att Com Hem var väl förberett inför mötet, med personal på plats som kunde presentera och redogöra för omständigheterna kring de rapporterade incidenterna. Driftsäkerhet PTS kan konstatera att Com Hems rapportering av driftstörningar i samtliga fall har skett i tid och att rapporterna i stort har innehållit den information som krävs enligt PTS föreskrifter om inrapportering. I vissa fall har rapporterna innehållit interna beskrivningar och förkortningar av tekniskt art, och PTS har Post- och telestyrelsen 4

5(7) då inte alltid kunnat utläsa vad som avses. I dessa fall har myndigheten behövt fråga Com Hem om innebörden av begreppen, vilket förlänger rapporteringsärendet, enligt myndighetens bedömning. Efter att PTS tagit upp detta vid tillsynsmötet bekräftade Com Hem att man hade tagit till sig synpunkten inför kommande rapportering, vilket PTS kan komma att följa upp. I övrigt har PTS inte något att erinra vad gäller Com Hems rapporteringsrutiner, varför saken lämnas utan ytterligare åtgärd. När det gäller de inrapporterade incidenterna kan PTS konstatera att dessa i huvudsak utgjorts av dels problem i samband med förändringshantering, och dels fel orsakade av underleverantörer. I samband med Com Hems redogörelse för de inrapporterade incidenterna framkom att Com Hem arbetat med att se över sin nätdesign i syfte att göra nätet och tjänsterna mer robusta, vilket PTS ser positivt på. Att kontinuerligt genomföra översyner av detta slag bedömer PTS vara en förutsättning för att kunna anses bedriva ett långsiktigt och systematiskt säkerhetsarbete. När det gäller de driftstörningar som orsakats i samband med förändringsarbete bedömer PTS att Com Hem har arbete kvar när det gäller att minimera antalet sådana incidenter och de negativa effekterna av dessa. Myndigheten ser dock positivt på att Com Hem har initierat ett arbete med att förbättra det systematiska arbetet med förändringshantering och uppbyggnaden av en mer omfattande testmiljö. PTS bedömer det som sannolikt att dessa åtgärder kommer att leda till en minskad risk för störningar och avbrott i samband med förändringshantering. PTS har en planlagd tillsyn för att granska operatörers arbete förändrings- och konfigurationshantering, i vilken Com Hems nya arbete med detta kan komma att granskas ytterligare. PTS lämnar med detta påpekande saken utan ytterligare åtgärd. När det gäller Com Hems återkommande problem med underleverantörer, och i synnerhet en specifik underleverantör, bedömer PTS att det åligger Com Hem att se till att t.ex. erforderliga avtal och samarbeten finns på plats som säkerställer driftsäkerheten för Com Hems nät och tjänster. En brist hos en underleverantör kan mycket väl utgöra en brist i det grundläggande säkerhetsarbetet hos Com Hem. Detta påpekande har PTS framfört vid upprepade årliga tillsyner, utan att Com Hem har kommit till rätta med problemen. PTS förutsätter att Com Hem nu kommer att prioritera att lösa problemen genom att t.ex. kravställa bättre och ytterligare följa upp sina underleverantörers driftsäkerhet, något som PTS kan komma att granska i efterföljande tillsyn. Med detta påpekande lämnar myndigheten även denna del av tillsynen utan ytterligare åtgärd. Post- och telestyrelsen 5

6(7) Slutligen ser PTS positivt på att Com Hem vid mötet uppgav att man väl kände till de nya föreskrifterna om krav på driftsäkerhet och att man vidtagit åtgärder för att efterleva dessa. PTS har nyligen initierat en tillsyn för att granska operatörers efterlevnad av vissa av kraven i föreskrifterna. Com Hem kan komma att inkluderas i denna tillsyn, varför myndigheten inte inom ramen för denna tillsyn kommer att granska saken ytterligare, utan lämnar även detta utan ytterligare åtgärd. Integritetsincidenter När det gäller integritetsincidenter kan PTS konstatera att Com Hem rapporterade en enda incident under perioden, varav ingen under 2015. Med tanke på att definitionen av vad som utgör en integritetsincident är så pass vid, samt mot bakgrund av omfattningen av Com Hems verksamhet, bedömer PTS antalet rapporterade integritetsincidenter vara lågt, särskilt om man beaktar incidenter som inte med enkelhet upptäcks av kunderna själva. PTS påminner därför Com Hem om betydelsen av att, i enlighet med PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter, fortsätta att kontinuerligt utbilda personal om integritetsincidenter och hur dessa ska identifieras och rapporteras internt i syfte att säkerställa att rapporteringen till PTS alltjämt förbättras framöver. Enligt PTS bedömning finns det skäl för Com Hem att överväga att införa tätare utbildningar för personalen, i syfte att komma till rätta med eventuella kunskapsbrister. Även när det gäller upptäckt och intern rapportering av integritetsincidenter har PTS planlagd en kommande tillsyn, inom vilken Com Hems arbete med detta kan komma att granskas ytterligare. PTS har inget att erinra när det gäller Com Hems hantering av den inträffade integritetsincidenten, utan lämnar med detta även denna del av tillsynen utan ytterligare åtgärd. Skäl att fortsätta den årliga tillsynen av incidentrapportering och inträffande störningar och avbrott av betydande omfattning föreligger därför inte, varför ärendet avskrivs från vidare handläggning. Beslutet har fattats av enhetschefen Patrik Bystedt. I ärendets slutliga handläggning har även Karin Lodin och Mikael Ejner (föredragande) deltagit. Post- och telestyrelsen 6

Post- och telestyrelsen 7 7(7)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss