AVSKRIVNINGSBESLUT 1(7) Datum Vår referens 2016-04-29 Dnr: 16-2574 Nätsäkerhetsavdelningen Mikael Ejner 08-678 57 21 mikael.ejner@pts.se Com Hem AB Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB Saken Tillsyn över incidentrapportering och inträffade incidenter. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund PTS genomför årligen planlagd tillsyn över ett urval operatörer, bland annat i syfte att dessa ska redogöra för inträffade incidenter under föregående år. Tillsynen omfattar såväl driftstörningar som integritetsincidenter, vilka operatörerna är skyldiga att rapportera in till PTS. Ett av huvudsyftena med inrapporteringsskyldigheten är att PTS ska kunna göra en bedömning av om det finns skäl att misstänka att bestämmelser i lagen (2003:389) om elektronisk kommunikation (LEK), t.ex. bestämmelsen om driftsäkerhet i 5 kap. 6 b LEK, inte efterlevs. Även i de fall en incidentrapport till PTS inte ger upphov till direkta tillsynsåtgärder, kan incidentrapporten innehålla uppgifter som bidrar till myndighetens kunskap om vanliga orsaker till störningar och avbrott eller integritetsincidenter. Detta kan i sin tur utgöra underlag för PTS planlagda tillsynsinsatser och även bidra till myndighetens arbete med risk- och sårbarhetsanalyser för sektorn och till myndighetens arbete med robusthetshöjande åtgärder. PTS inledde den 9 mars 2016 den planlagda årliga tillsynen rörande incidentrapportering och inträffade incidenter över Com Hem AB (Com Hem). Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se
2(7) Den 23 mars 2016 höll PTS ett tillsynsmöte med Com Hem. Mötet omfattade de störningar och avbrott av betydande omfattning samt de integritetsincidenter som inträffat under perioden sedan föregående års årliga tillsyn och som inte blivit föremål för tillsyn tidigare. Vid mötet redogjorde Com Hem kort för hur ansvaret för hantering av driftstörningar och rapporteringen av dessa till PTS ser ut, samt för de sex störningar och avbrott av betydande omfattning som rapporterats till PTS. Av dessa orsakades flera incidenter av fel i samband med förändringsarbete. En annan återkommande orsak till driftstörningar under det föregående året var fel orsakade av underleverantörer. Com Hem uppgav vid mötet att man genomfört en översyn av nätdesignen i syfte att uppnå en robustare utformning av denna. Sedan en tid tillbaka pågår även, enligt Com Hem, ett omfattande arbete med att införa en systematisk process och tydligt utpekade ansvariga för förändringshantering. Ett testnät håller också på att byggas upp som ska möjliggöra mer realistiska testscenarion än vad som hittills varit möjligt. Com Hem uppgav vidare att samarbetet med en av underleverantörerna har varit problematiskt då underleverantören, trots upprepade möten och uppföljningar från Com Hem, löpande har uppvisat brister i sitt säkerhetsarbete. Enligt Com Hem har underleverantören även orsakat många störningar och avbrott som inte varit av sådan omfattning att de rapporterats till PTS. När PTS frågade Com Hem hur väl medvetna man var om PTS nya föreskrifter om krav på driftsäkerhet (PTSFS 2015:2), uppgav Com Hem att man kände till dessa väl och hade vidtagit åtgärder för att efterleva dessa. När det gäller integritetsincidenter hade Com Hem under den period som varit föremål för denna årliga tillsyn rapporterat en integritetsincident. Vid mötet redogjorde Com Hem för denna, som berodde på att en underleverantör som uppgraderade sitt system fick en bugg som påverkade brevutskick på tjänsten Mina sidor. Felet medförde att vissa kunder fick del av andra kunders informationsbrev (avseende en prisjustering) på Mina sidor. Problemet upptäcktes och åtgärdades inom några timmar, enligt Com Hem. Utöver att buggen rättades, så har Com Hem efter incidenten infört en kontrollrutin och en programmatisk kontrollfunktion i syfte att minimera risken för att liknande problem inträffar igen. Com Hem redogjorde även för sin process för hur man arbetar med att identifiera integritetsincidenter och rapportera dem internt. Enligt uppgift vid mötet så har Com Hem tagit fram en förbättrad process för detta och skriftliga Post- och telestyrelsen 2
3(7) riktlinjer finns tillgängliga på intranätet. Com Hem uppgav vidare att samtliga anställda som hanterar uppgifter årligen får utbildning avseende upptäckt och intern rapportering av integritetsincidenter. Skäl Tillämpliga bestämmelser PTS är enligt 2 förordningen (2003:396) om elektronisk kommunikation tillsynsmyndighet enligt LEK. PTS ska enligt 7 kap. 1 LEK utöva tillsyn över efterlevnaden av lagen och de beslut om skyldigheter eller villkor samt de föreskrifter som meddelats med stöd av lagen. Av 5 kap. 6 b LEK framgår bland annat att den som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att verksamheten uppfyller rimliga krav på driftsäkerhet. Denna bestämmelse förtydligas i Post- och telestyrelsens föreskrifter om krav på driftsäkerhet (PTSFS 2015:2). Av 5 kap. 6 c första stycket LEK framgår att den som tillhandahåller ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst utan onödigt dröjsmål ska rapportera störningar eller avbrott av betydande omfattning till tillsynsmyndigheten. Av PTS föreskrifter och allmänna råd om rapportering av störningar eller avbrott av betydande omfattning (PTSFS 2012:2) framgår bland annat vilka störningar och avbrott som ska rapporteras samt hur rapporteringen ska gå till. Enligt 6 kap. 3 LEK ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Av 6 kap. 4 a första stycket LEK framgår att den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster utan onödigt dröjsmål ska underrätta tillsynsmyndigheten om inträffade integritetsincidenter. Om incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör, eller om tillsynsmyndigheten begär det, ska även dessa underrättas utan onödigt dröjsmål. Hur och när rapportering ske framgår av kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott. En integritetsincident Post- och telestyrelsen 3
4(7) definieras i 6 kap. 1 LEK som en händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster. Av PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter (PTSFS 2014:1) framgår bland annat följande: Tjänstetillhandahållarens säkerhetsarbete avseende behandlade uppgifter ska enligt 3 bedrivas långsiktigt, kontinuerligt och systematiskt och det ska finnas en tydlig rollfördelning med särskilt utpekade ansvariga. Rutiner, processer och rollfördelning ska dokumenteras. Tjänstetillhandahållaren ska enligt 4 bland annat identifiera informationsbehandlingstillgångar och föra en förteckning över dessa samt analysera riskerna för att integritetsincidenter inträffar för de identifierade informationsbehandlingstillgångarna. Vidtagna skyddsåtgärder samt tjänstetillhandahållarens bedömningar av lämplig nivå ska dokumenteras och följas upp årligen och vid behov. Tjänstetillhandahållaren ska enligt 10 ha dokumenterade rutiner för identifiering, intern rapportering, hantering och uppföljning av integritetsincidenter. Rutinerna ska säkerställa 1. att samtliga uppgifter i 11 förs in i den förteckning som tjänstetillhandahållaren ska föra enligt 6 kap. 4 b lagen (2003:389) om elektronisk kommunikation, 2. att inträffade integritetsincidenter och dess orsaker beaktas vid genomgång av riskanalyser i enlighet med 4, och 3. att skyddsåtgärder vidtas för att undvika liknande integritetsincidenter. PTS bedömning Inledningsvis kan PTS konstatera att Com Hem var väl förberett inför mötet, med personal på plats som kunde presentera och redogöra för omständigheterna kring de rapporterade incidenterna. Driftsäkerhet PTS kan konstatera att Com Hems rapportering av driftstörningar i samtliga fall har skett i tid och att rapporterna i stort har innehållit den information som krävs enligt PTS föreskrifter om inrapportering. I vissa fall har rapporterna innehållit interna beskrivningar och förkortningar av tekniskt art, och PTS har Post- och telestyrelsen 4
5(7) då inte alltid kunnat utläsa vad som avses. I dessa fall har myndigheten behövt fråga Com Hem om innebörden av begreppen, vilket förlänger rapporteringsärendet, enligt myndighetens bedömning. Efter att PTS tagit upp detta vid tillsynsmötet bekräftade Com Hem att man hade tagit till sig synpunkten inför kommande rapportering, vilket PTS kan komma att följa upp. I övrigt har PTS inte något att erinra vad gäller Com Hems rapporteringsrutiner, varför saken lämnas utan ytterligare åtgärd. När det gäller de inrapporterade incidenterna kan PTS konstatera att dessa i huvudsak utgjorts av dels problem i samband med förändringshantering, och dels fel orsakade av underleverantörer. I samband med Com Hems redogörelse för de inrapporterade incidenterna framkom att Com Hem arbetat med att se över sin nätdesign i syfte att göra nätet och tjänsterna mer robusta, vilket PTS ser positivt på. Att kontinuerligt genomföra översyner av detta slag bedömer PTS vara en förutsättning för att kunna anses bedriva ett långsiktigt och systematiskt säkerhetsarbete. När det gäller de driftstörningar som orsakats i samband med förändringsarbete bedömer PTS att Com Hem har arbete kvar när det gäller att minimera antalet sådana incidenter och de negativa effekterna av dessa. Myndigheten ser dock positivt på att Com Hem har initierat ett arbete med att förbättra det systematiska arbetet med förändringshantering och uppbyggnaden av en mer omfattande testmiljö. PTS bedömer det som sannolikt att dessa åtgärder kommer att leda till en minskad risk för störningar och avbrott i samband med förändringshantering. PTS har en planlagd tillsyn för att granska operatörers arbete förändrings- och konfigurationshantering, i vilken Com Hems nya arbete med detta kan komma att granskas ytterligare. PTS lämnar med detta påpekande saken utan ytterligare åtgärd. När det gäller Com Hems återkommande problem med underleverantörer, och i synnerhet en specifik underleverantör, bedömer PTS att det åligger Com Hem att se till att t.ex. erforderliga avtal och samarbeten finns på plats som säkerställer driftsäkerheten för Com Hems nät och tjänster. En brist hos en underleverantör kan mycket väl utgöra en brist i det grundläggande säkerhetsarbetet hos Com Hem. Detta påpekande har PTS framfört vid upprepade årliga tillsyner, utan att Com Hem har kommit till rätta med problemen. PTS förutsätter att Com Hem nu kommer att prioritera att lösa problemen genom att t.ex. kravställa bättre och ytterligare följa upp sina underleverantörers driftsäkerhet, något som PTS kan komma att granska i efterföljande tillsyn. Med detta påpekande lämnar myndigheten även denna del av tillsynen utan ytterligare åtgärd. Post- och telestyrelsen 5
6(7) Slutligen ser PTS positivt på att Com Hem vid mötet uppgav att man väl kände till de nya föreskrifterna om krav på driftsäkerhet och att man vidtagit åtgärder för att efterleva dessa. PTS har nyligen initierat en tillsyn för att granska operatörers efterlevnad av vissa av kraven i föreskrifterna. Com Hem kan komma att inkluderas i denna tillsyn, varför myndigheten inte inom ramen för denna tillsyn kommer att granska saken ytterligare, utan lämnar även detta utan ytterligare åtgärd. Integritetsincidenter När det gäller integritetsincidenter kan PTS konstatera att Com Hem rapporterade en enda incident under perioden, varav ingen under 2015. Med tanke på att definitionen av vad som utgör en integritetsincident är så pass vid, samt mot bakgrund av omfattningen av Com Hems verksamhet, bedömer PTS antalet rapporterade integritetsincidenter vara lågt, särskilt om man beaktar incidenter som inte med enkelhet upptäcks av kunderna själva. PTS påminner därför Com Hem om betydelsen av att, i enlighet med PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter, fortsätta att kontinuerligt utbilda personal om integritetsincidenter och hur dessa ska identifieras och rapporteras internt i syfte att säkerställa att rapporteringen till PTS alltjämt förbättras framöver. Enligt PTS bedömning finns det skäl för Com Hem att överväga att införa tätare utbildningar för personalen, i syfte att komma till rätta med eventuella kunskapsbrister. Även när det gäller upptäckt och intern rapportering av integritetsincidenter har PTS planlagd en kommande tillsyn, inom vilken Com Hems arbete med detta kan komma att granskas ytterligare. PTS har inget att erinra när det gäller Com Hems hantering av den inträffade integritetsincidenten, utan lämnar med detta även denna del av tillsynen utan ytterligare åtgärd. Skäl att fortsätta den årliga tillsynen av incidentrapportering och inträffande störningar och avbrott av betydande omfattning föreligger därför inte, varför ärendet avskrivs från vidare handläggning. Beslutet har fattats av enhetschefen Patrik Bystedt. I ärendets slutliga handläggning har även Karin Lodin och Mikael Ejner (föredragande) deltagit. Post- och telestyrelsen 6
Post- och telestyrelsen 7 7(7)