Fel kunduppgifter var vanligaste orsaken till integritetsincident 2020

2021-10-28

Under 2020 handlade Post- och telestyrelsen (PTS) drygt 330 driftsäkerhets- och integritetsincidenter. Den vanligaste orsaken till incidenter var fel kunduppgifter. PTS genomgång visar även på stora skillnader mellan landets största operatörer.

– Skillnaderna mellan operatörerna rör integritetsincidenter. PTS avser att följa upp situationen i tillsyn. Det skulle kunna bero på att operatörerna är olika bra på att identifiera och rapportera incidenter till myndigheten, säger Therese Braathen, jurist på PTS.

Operatörer ska enligt lagen om elektronisk kommunikation (LEK) rapportera driftstörningar och avbrott av betydande omfattning samt integritetsincidenter till PTS.  

Totalt under 2020 har PTS handlagt 341 ärenden med rapporterade incidenter, varav 332 stycken slutligt har bedömts som rapporteringspliktiga incidenter. Av dessa var cirka 90 procent integritetsincidenter och tio procent driftsäkerhetsincidenter. Under 2020 har PTS vidarerapporterat fyra driftsäkerhetsincidenter till EU-kommissionen och Europeiska unionens cybersäkerhetsbyrå (ENISA).

Vanligaste orsakerna – avgrävd fiberkabel och fel kunduppgifter

Av de drygt 30 driftsäkerhetsincidenter som rapporterades under 2020 var den vanligaste orsaken att fiberkablar hade grävts av. Andra vanliga orsaker var hårdvaru- mjukvaru- eller systemfel samt strömavbrott. Endast en driftstörningsincident under 2020 orsakades av ett antagonistiskt angrepp, närmare bestämt en överbelastningsattack. Inget större avbrott berodde på hårt väder.

När det gäller integritetsincidenter är den överlägset vanligaste orsaken att kontaktuppgifter har felregistrerats eller att uppgifter och adresser har förväxlats i kundtjänst. Den näst vanligaste, och också enligt PTS den allvarligaste typen av incident, är att obehöriga personer har fått ut information eller ändrat abonnemangsuppgifter. Denna typ av incident kan leda till allvarliga konsekvenser för de drabbade abonnenterna.

– PTS har sett en successiv och på senare år kraftig ökning av antalet integritets­incidenter, säger Therese Braathen. Det kan vara ett tecken på att operatörerna arbetar målmedvetet med integritetsfrågor och rapporterar till myndigheten enligt reglerna. Självklart är det viktigt att operatörerna arbetar aktivt för att minska antalet integritetsincidenter, och inte enbart med organisatoriska åtgärder, utan också med tekniska.

Rapportens slutsatser påverkar PTS tillsyn

Med rapporten vill PTS sprida den övergripande bilden av driftsäkerhets- och integritetsincidenter i allmänt tillgängliga elektroniska kommunikationer.

Rapporten ska ge en överblick av ett helt års incidentrapportering. I sammanställningen räknas och grupperas incidenterna efter orsak eller typ, och PTS kommenterar de mönster som framgår.

PTS beaktar slutsatserna i rapporten vid planeringen av kommande tillsynsinsatser. Myndigheten avser bland annat att följa upp den tidigare genomförda tillsynen om autentisering av kunder för att minska problemet med att obehöriga får tillgång till information om abonnenter eller kan ändra i kundernas abonnemang.

Myndigheten ser även att sammanställningen kan användas av operatörerna själva i planeringen av sitt säkerhetsarbete och incidenthanteringsarbete.

Ta del av rapporten

Mer information

Therese Braathen, avdelningen för säker kommunikation, tfn: 08-678 55 37
PTS presstjänst, tfn: 08-678 55 55

Rapportering av incidenter på området elektroniska kommunikationer

Tillhandahållare av allmänt tillgängliga kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster är skyldiga att rapportera incidenter till PTS både när de har driftsavbrott eller störningar av betydande omfattning, och när de har incidenter där de inte tillräckligt har skyddat de uppgifter om abonnenterna som operatören behandlar.

Operatörernas rapporter ger PTS underlag att bedöma om bestämmelserna om driftsäkerhet och om skydd av uppgifter följs, och, om det behövs, bedriva tillsyn. Det finns även andra syften med kravet på incidentrapportering, till exempel för att skapa en överblick över operatörernas säkerhetsproblem, som underlag till nya regler, för att identifiera informationsbehov eller behov av främjandeinsatser.