Varje år sammanfattar PTS fjolårets incidentrapportering och tillsynsarbete inom området för säkra elektroniska kommunikationer. I årets rapport ingår också myndighetens tillsynsplanering för 2021 och 2022.
PTS har tagit emot 36 rapporter om driftsäkerhetsincidenter och 305 rapporter om integritetsincidenter under 2020. Det går att se att integritetsincidenterna ökar från år till år, medan driftssäkerhetsincidenterna ligger på ett relativt stabilt antal.
Ökningen av integritetsincidenter kan delvis bero på att operatörerna själva har blivit bättre på att upptäcka och rapportera till PTS. Myndigheten ser mycket positivt på att operatörerna sköter arbetet med att rapportera allt bättre.
De vanligaste orsakerna till driftsäkerhetsincidenterna är, likt tidigare år, konfigurationsfel, hårdvarufel, kabelavgrävningar och strömavbrott. Den vanligaste orsaken till integritetsincidenter är handhavandefel från personal i kundtjänst eller hos återförsäljare, och drabbar normalt endast en eller ett par abonnenter eller användare. Oftast har kunders kontaktuppgifter förväxlats i kundtjänst och en kund får då utskick som innehåller en annan kunds abonnemangsuppgifter. Här är integritetskränkningen mindre.
Allvarligare integritetsincider handlar oftast om att obehöriga personer, eller behöriga personer som saknar fullmakt, kontaktar operatörer och utan att legitimera sig får ut uppgifter om en annan individs abonnemang. Det innebär en hög grad av integritetskränkning för den enskilda kunden och operatörerna har tystnadsplikt för dessa uppgifter. Dessa senare händelser behöver minskas markant.
Teknisk autentisering i kundtjänst
Därför har PTS förelagt de fyra största operatörerna att införa teknisk autentisering av sina kunder. Det betyder att kunden behöver identifiera sig genom en teknisk lösning, när de ringer till kundtjänst. Åtgärden är nödvändig för att minska riskerna för bedrägerier, ID-kapningar och andra skadeverkningar för enskilda abonnenter om någon annan kommer åt information som det råder tystnadsplikt kring.
En av operatörerna har överklagat föreläggandet till domstol, medan tre av operatörerna arbetar med att införa en teknisk säkerhetslösning för att skydda uppgifter som omfattas av tystnadsplikten.
PTS granskningar under 2020
Under 2020 har PTS genomfört tillsyn avseende autentisering av kunder som ringer till kundtjänst hos flera operatörer, granskat sårbarheter i röstbrevlåda hos Tele2, intrång i säljstödsystem hos Telenor och Tele2 samt brister i Telias rapportering av integritetsincidenter.
Myndigheten har också bedrivit tillsyn på driftsäkerhetsområdet kring en stor driftstörning hos Tele2 under sommaren 2019 och störningar i möjligheten att ringa 112 för IP-telefonikunder hos Telenor.
Vidare har PTS granskat hur flera operatörer efterlever kraven på riskanalyser, såväl vad gäller driftsäkerhet som konfidentialitet.
PTS planerade granskningar för 2021-2022
För åren 2021-2022 avser PTS att genomföra tillsyn bland annat vad gäller skärpta säkerhetskrav på operatörerna när de upphandlar utrustning eller tjänster. Vidare planeras tillsyn av operatörers förmåga att upptäcka integritetsincidenter med hjälp av tekniska lösningar, och vad gäller autentisering av kunder fortsätter arbetet vad gäller händelser vid byte av SIM-kort (så kallad SIM-swapping).
PTS kommer också att bedriva tillsyn utifrån den nya lagen om elektronisk kommunikation som väntas träda i kraft under perioden.
Klicka här för att läsa tillsynsrapporten 2020 säker kommunikation
Mer information
Therese Braathen, avdelningen för säker kommunikation, tfn: 08-678 55 37
PTS presstjänst, tfn: 08-678 55 55
Om PTS tillsynsarbete inom driftsäkerhet och konfidentiell kommunikation
Alla i Sverige ska kunna kommunicera i driftsäkra kommunikationsnät och -tjänster. Alla ska också kunna kommunicera elektroniskt utan att riskera att information som man lämnar ifrån sig används på ett oönskat sätt. PTS har i uppgift att säkerställa att operatörerna följer reglerna om driftsäkerhet och konfidentiell kommunikation (integritet). PTS genomför därför olika typer av tillsyn: dels planlagd, dels händelsestyrd i samband med inträffade händelser. I reglerna ingår också att operatörerna ska rapportera när det i deras verksamhet inträffar integritetsincidenter eller störningar och avbrott av betydande omfattning.
