Vissa brister i operatörernas dokumentation av tillgångar som behandlar kunddata

2017-02-02

Det har funnits vissa brister i hur de stora operatörerna dokumenterar system och andra tillgångar som behandlar kunduppgifter. Det visar den granskning som Post- och telestyrelsen (PTS) nyligen har avslutat. Bristerna är nu åtgärdade.

Alla i Sverige ska kunna kommunicera elektroniskt utan att riskera att informationen kommer på avvägar eller används på ett oönskat sätt. Operatörerna är därför bland annat skyldiga att dokumentera system och andra tillgångar som behandlar information om kunderna och deras kommunikation. Det kan exempelvis vara routern i en bostad som överför innehåll när kunden surfar, men även databaser hos operatörerna som lagrar information om vem som ringt vem och när, förbindelser, servrar och liknande. Det handlar om alla tillgångar där det skulle kunna inträffa en incident som innebär att informationen riskerar att komma på avvägar eller förändras. Dessa tillgångar ska operatörerna ha kontroll på och skydda från incidenter.

Tolkar reglerna för snävt

PTS tillsyn visar att det har funnits vissa generella brister i hur operatörerna tolkade och tillämpade reglerna om dokumentation av tillgångarna. Operatörerna hade bland annat tolkat begreppet informationsbehandlingstillgång snävare än PTS, främst genom att inte inkludera samtliga fysiska tillgångar, exempelvis förbindelser.

Flera operatörer hade också endast bedömt om tillgången ifråga behandlade personuppgifter eller inte. Reglerna rör dock inte bara uppgifter om en viss individ, utan all information som kommuniceras eller som berör kommunikationen ska skyddas.

I tillsynen granskades även informationen i operatörernas dokumentation. Den är viktig för att operatörerna bland annat ska kunna genomföra riskanalyser och skyddsåtgärder. Dokumentationen bör åtminstone innehålla namn och funktion på tillgången, ansvarig, vilka uppgifter som behandlas, var den är placerad (om det är fysiska tillgångar), samt en hänvisning till riskanalysen.

Under tillsynens gång har alla operatörer som omfattats av granskningen justerat sin dokumentation och följer nu PTS tolkning av kraven. PTS avskriver därför tillsynen.

Läs avskrivningsbesluten

Mer information

Karin Lodin, sakkunnig, PTS nätsäkerhetsavdelning: 073-644 56 04
PTS presstjänst: 08-678 55 55

Om PTS arbete med integritets- och driftsäkerhetstillsyn

Alla i Sverige ska kunna kommunicera elektroniskt utan att riskera att informationen kommer på avvägar eller används på ett oönskat sätt. En viktig säkerhetsfråga är också att elektroniska kommunikationsnät- och tjänster är driftsäkra. PTS har i uppgift att säkerställa att operatörerna följer reglerna inom integritets- och driftsäkerhetsområdet. PTS genomför därför olika typer av tillsyn – dels planlagd tillsyn, som denna tillsyn är ett exempel på, dels tillsyn i samband med inträffade incidenter, så kallad händelsestyrd tillsyn. När PTS bedömer att tillsynsobjektet följer gällande regler, avslutas tillsynen genom att PTS fattar ett så kallat avskrivningsbeslut.