Brister i säkerhetsrutiner bakom felaktig publicering av hemliga nummer

2019-10-01

Post- och telestyrelsens (PTS) granskning av Tele2 visar att det fanns brister i säkerhetsarbetet som låg bakom den felaktiga publiceringen av hemliga nummer på offentliga webbplatser för abonnentupplysning.

Tele2 har rättat till den felaktiga publiceringen och dragit lärdomar av incidenten. Operatören har även identifierat och börjat vidta åtgärder för att stärka säkerhetsarbetet. PTS bedömer därför att bolaget har gjort tillräckligt och avslutar sin granskning.

I slutet av 2018 genomförde Tele2 en systemmigrering, som resulterade i att hemliga nummer tillhörande ett stort antal abonnenter felaktigt publicerades på webbplatser för abonnentupplysning. Incidenten rapporterades i april 2019 till PTS, som därefter inledde sin granskning för att bland annat ta reda på vad som hänt, hur det kunde ske och vilka åtgärder Tele2 vidtagit för att se till att det inte händer igen.

Brister i säkerhetsarbete och incidentrapportering

PTS granskning visar att Tele2 inte gjort någon riskanalys inför systemmigreringen. PTS har även bedömt att Tele2 haft otillräcklig kunskap om, och inaktuell dokumentation avseende, de system som behandlar abonnenternas skyddsvärda information.

– De brister som vi har sett är tecken på att Tele2 brustit i sin skyldighet att bedriva ett långsiktigt och systematiskt säkerhetsarbete, säger Anna Söyland, ansvarig för granskningen på PTS.

Tele2 har inte heller följt de regler för incidentrapportering som säger att operatörer ska anmäla integritetsincidenter till PTS senast 24 timmar efter att incidenten har upptäckts. I det här fallet dröjde det två veckor. Dessutom tog det flera månader innan man upptäckte att man hade en incident.

– Det är anmärkningsvärt att Tele2:s incidentrapporteringsrutin lämnat utrymme för att det tog så pass lång tid att upptäcka incidenten och att rapportera till PTS, säger Anna Söyland.

Förbättrade säkerhetsrutiner identifierade

Tele2 har dragit lärdomar och identifierat var och hur förbättring måste ske. Tele2 har visat förståelse för de brister som PTS påtalat och har kunnat förklara vilka åtgärder som kommer vidtas. PTS bedömer att Tele2 har förutsättning att framöver hantera säkerhetsarbetet och incidentrapporteringen i enlighet med reglerna, och det finns därmed inte skäl att fortsätta granskningen.

Ta del av beslutet

Mer information
Anna Söyland, PTS avdelning för säker kommunikation, 08-678 56 11
PTS presstjänst: tfn: 08-678 55 55

Om PTS arbete med tillsyn av konfidentiell kommunikation

Alla i Sverige ska kunna kommunicera elektroniskt utan att riskera att informationen kommer på avvägar eller används på ett oönskat sätt. PTS har i uppgift att säkerställa att operatörerna följer reglerna om konfidentiell kommunikation. PTS genomför därför olika typer av tillsyn: dels planlagd tillsyn, dels tillsyn i samband med inträffade händelser. När PTS bedömer att tillsynsobjektet följer gällande regler, avslutas tillsynen genom att PTS fattar ett så kallat avskrivningsbeslut.