Operatörer har vidtagit åtgärder med anledning av obehörigt intrång

2020-02-20

Telenor och Tele2 har ändrat sina rutiner så att abonnentuppgifter i bolagens säljstödsystem är bättre skyddade. Det anser Post- och telestyrelsen (PTS) efter att ha granskat förra årets incidenter då obehöriga fick otillåten åtkomst till inloggningsuppgifter.

Telenor och Tele2 rapporterade integritetsincidenter till PTS i början av hösten förra året. Incidenterna handlade om att obehöriga under en längre tid haft tillgång till ett stort antal abonnentuppgifter i operatörernas säljstödsystem.

PTS har nu granskat om operatörerna lever upp till kravet om skydd av behandlade uppgifter. Syftet med granskningen har varit att granska Telenors och Tele2:s rutiner och arbetssätt för åtkomst och behörighet till behandlade uppgifter samt för loggning och kontroll av loggar.

PTS har funnit brister i operatörernas rutiner kring uppföljning av loggar. Bristerna har troligen bidragit till att obehöriga fick åtkomst till så många abonnentuppgifter under så lång tid. Telenor och Tele2 har nu bland annat ändrat sina rutiner för inloggning till säljstödsystemen och för kontroll av loggar. 

PTS bedömer att de åtgärder som bolagen har vidtagit minskar risken för att en liknande incident inträffar igen, och avslutar sin granskning. 

Vad säger lagen om skydd av abonnentuppgifter?
Enligt lagen om elektronisk kommunikation (2003:389) är operatörer skyldiga att vidta lämpliga säkerhetsåtgärder för att skydda de uppgifter som behandlas. Enligt PTS föreskrifter (PTSFS 2014:1) är operatörerna också skyldiga att logga system för behandlade uppgifter och systematiskt och återkommande kontrollera dessa loggar.

Ta del av besluten

Tele2

Telenor

Mer information
Johanna Eklund, PTS avdelning för säker kommunikation, tfn 08-678 55 78
PTS presstjänst: tfn 08-678 55 55

Om PTS arbete med tillsyn av konfidentiell kommunikation

Alla i Sverige ska kunna kommunicera elektroniskt utan att riskera att informationen kommer på avvägar eller används på ett oönskat sätt. PTS har i uppgift att säkerställa att operatörerna följer reglerna om konfidentiell kommunikation. PTS genomför därför olika typer av tillsyn: dels planlagd tillsyn, dels tillsyn i samband med inträffade händelser. När PTS bedömer att tillsynsobjektet följer gällande regler, avslutas tillsynen genom att PTS fattar ett så kallat avskrivningsbeslut.