Antalet rapporterade integritetsincidenter fortsätter öka
13 april 2022
Intrång i röstbrevlådor och utlämnande av hemliga nummer till nummerupplysningstjänster var de mest allvarliga integritetsincidenterna under 2021. Systemfel orsakade av strömavbrott var den vanligaste driftstörningen. Det visar PTS rapport om incidenter och tillsyn på området säker kommunikation för 2021.
Nyhet från Post- och telestyrelsen:
Tillhandahållare av kommunikationsnät och - tjänster rapporterar löpande driftsincidenter av betydande omfattning och integritetsincidenter till PTS. Varje år sammanfattar PTS fjolårets incidentrapportering, tillsynsarbete och tillsynsplanering inom området för säker elektronisk kommunikation.
Under 2021 rapporterades 429 incidenter, varav drygt 400 var integritetsincidenter. Detta var det högsta antalet integritetsincidenter hittills, samtidigt som antalet driftsäkerhetsincidenter var det lägsta hittills.
Incidenterna kan ge allvarliga konsekvenser för abonnenter
Särskilt allvarliga incidenter under 2021 var att obehöriga kunnat göra intrång i abonnenters röstbrevlådor samt att operatörer utan tillåtelse lämnat ut abonnentuppgifter till nummerupplysning. Ett stort antal användare och abonnenter har drabbats och särskilt allvarligt är detta för personer som lever med skyddad identitet.
– Dessa typer av incidenter kan leda till allvarliga konsekvenser för de drabbade abonnenterna. PTS har en pågående tillsyn om säkerheten i röstbrevlådor och planerar att inleda tillsyn av operatörers hantering vid utlämnande av uppgifter till nummerupplysning, säger Therese Braathen, vid PTS avdelning för säker kommunikation.
Systemfel kopplade till reservkraft vanligast orsak till driftstörningar
Av de 25 driftsäkerhetsincidenter som rapporterades under 2021 var den vanligaste orsaken systemfel, och över hälften av systemfelen berodde på elfel eller strömavbrott efter brister i reservkraftsystem. Just systemfel är den vanligaste orsaken till driftstörningar även på europeisk nivå, enligt EU-organet ENISA.
Nya säkerhetsregler
Under 2022 kommer Sverige att implementera EU:s direktiv om inrättande av en europeisk kodex för elektronisk kommunikation genom införandet av en ny lag om elektronisk kommunikation.
Lagen innehåller bland annat rapporteringsplikt för säkerhetsincidenter som har betydande påverkan på nät och tjänster, samtidigt som rapporteringsplikten för integritetsincidenter kommer att kvarstå. Aktörer som erbjuder nummeroberoende interpersonella kommunikationstjänster (till exempel samtal, meddelanden och chatt) blir skyldiga att rapportera incidenter till PTS.
Rapporten är ett underlag för planering och säkerhetsarbete
Med rapporten vill PTS ge återkoppling till tillhandahållare av allmänt tillgänglig elektronisk kommunikation och också sprida den övergripande bilden av driftsäkerhets- och integritetsincidenter på området. Den är avsedd att kunna användas som ett underlag i säkerhetsarbete hos operatörerna och i PTS tillsynsplanering.
Rapportering av incidenter på området elektroniska kommunikationer
Tillhandahållare av allmänt tillgängliga kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster är skyldiga att rapportera incidenter till PTS både när de har driftsavbrott eller störningar av betydande omfattning, och när de har incidenter där de inte tillräckligt har skyddat de uppgifter om abonnenterna som operatören behandlar.
Rapporteringen ger PTS underlag att bedöma om operatörerna följer bestämmelserna om driftsäkerhet och om skydd av uppgifter, och, om det behövs, för att bedriva tillsyn. Det finns även andra syften med incidentrapportering. Informationen ger en överblick över vanliga säkerhetsproblem och kan ge underlag för att identifiera behov av nya regler samt informations- eller främjandeinsatser.
Om PTS tillsynsarbete inom driftsäkerhet och skydd av behandlade uppgifter
Alla i Sverige ska kunna kommunicera i driftsäkra kommunikationsnät och -tjänster. Alla ska också kunna kommunicera elektroniskt utan att riskera att information som man lämnar ifrån sig används på ett oönskat sätt. PTS är tillsynsmyndighet och har i uppgift att säkerställa att operatörerna följer reglerna om driftsäkerhet och skydd av de uppgifter som behandlas i samband med att tjänsterna tillhandahålls (integritet). PTS genomför därför olika typer av tillsyn: dels planlagd, dels händelsestyrd i samband med inträffade händelser.
