Incident- och tillsynsrapport på området elektronisk kommunikation 2021 PTS-ER-2022:20

Sammanfattning

Incidenter

Tillhandahållare av allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster, i rapporten kallade operatörer, är skyldiga att rapportera vissa incidenter till Post- och telestyrelsen (PTS) enligt lagen (2003:389) om elektronisk kommunikation (LEK). PTS är tillsynsmyndighet på området.

Totalt under 2021 har PTS registrerat 429 inrapporterade incidenter. Det rör sig om 25 driftsincidenter och 404 integritetsincidenter. Detta är det lägsta antalet driftsincidenter som har rapporterats under ett år, och det högsta antalet integritetsincidenter sedan rapporteringsskyldigheten trädde i kraft.

PTS har här sammanställt och grupperat de rapporterade driftsincidenterna och integritetsincidenterna från 2021. PTS kommenterar också vilken typ av orsak som är vanligast till driftsincidenter, och vilken typ av integritetsincident som är mest allvarlig enligt PTS mening. Här finns också övergripande jämförelser med tidigare år samt med EU-länder överlag. Integritetsskyddsmyndighetens (IMY) och europeiska unionens cybersäkerhetsbyrå ENISA:s uppställningar av orsaker har använts för att skapa jämförbarhet.

Den vanligaste grundorsaken till rapporterade driftsincidenter under 2021 var systemfel (15 av incidenterna), varav åtta incidenter berodde på strömavbrott genom att reservkraften eller övergången till reservkraft inte fungerade. De allvarligaste integritetsincidenterna 2021 var intrång i röstbrevlådor där 944 personer drabbades av intrången, och röjande av hemliga uppgifter till abonnentupplysning där sammanlagt 48 132 personer drabbades.

Integritetsincidenterna drabbade totalt 64 497 användare eller abonnenter och driftsincidenterna drabbade minst 435 000 användare eller aktiva anslutningar.

Som uppföljning av incidenterna bedriver och planerar PTS flera olika tillsynsinsatser.

Under 2022 utfärdar PTS nya säkerhetsföreskrifter som bland annat innebär delvis nya regler för incidentrapporteringen.

Tillsyn

PTS ska genom tillsyn granska och säkerställa efterlevnaden av LEK vad gäller driftsäkerhet och skydd av uppgifter samt de föreskrifter som meddelats med stöd av densamma.

Under 2021 avslutade PTS årlig tillsyn av inrapporterade incidenter hos åtta operatörer. Den årliga tillsynen omfattade ett urval av operatörer och inrapporterade driftsincidenter.

PTS avslutade även en tillsyn rörande skyddet av sjökablar, vilka störningar som förekommit samt vilka riktlinjer som operatörer använder vid förläggning av sjökablar.

PTS har en pågående tillsyn gällande sårbarheter i Border Gateway Protocol (BGP) samt en pågående tillsyn kring efterlevnaden av reservkraftsregler vid strömavbrott.

Under 2022–2023 planerar PTS att bedriva ett antal tillsynsinsatser som redogörs för nedan i rapporten.

Under år 2022 träder också nya lagen om elektronisk kommunikation i kraft, grundad på EU-direktiv, och PTS utfärdar nya föreskrifter i anledning av den nya lagen.