Póst og fjarskiptastofnun

Túngumál EN
Heim

Vodafone og Nova standast úttekt á öryggi fjarskiptaumferðarupplýsinga.

6. janúar 2017

Póst- og fjarskiptastofnun hefur fengið niðurstöður úr úttekt sem stofnunin lét gera í lok nýliðins árs á meðferð og öryggi fjarskiptaumferðarupplýsinga hjá Vodafone og Nova. Slíkar upplýsingar eru viðkvæmar og mikilvægt að með þær sé farið samkvæmt réttum verkferlum. Bæði félögin stóðust úttektina og engin frávik komu fram í vettvangsathugunum á öryggisráðstöfunum þeirra varðandi þessar upplýsingar.  

Var úttektin gerð hjá þessum tveimur félögum nú, en undanfarin ár hefur stofnunin eflt eftirlit sitt með því að viðhafðar séu viðurkenndar öryggisráðstafanir og innri ferlar hjá fjarskiptafélögunum til að tryggja öryggi upplýsinga um umferð í fjarskiptanetum.  M.a. var gerð úttekt á gagnagrunni Símans árið 2012 og úttekt á verklagsreglum fjarskiptafélaganna um meðferð og eyðingu fjarskiptaumferðarupplýsinga á árinu 2014.

Fjarskiptaumferðarupplýsingar (e. Caller Data Record – CDR) eru tengiupplýsingar um fjarskipti, t.d. um það hvaða númer hringir í annað númer, hvaða IP-tala flettir upp annarri IP-tölu, hversu lengi símtal varir, hversu miklu gagnamagni er hlaðið niður o.s.frv.

Megintilgangurinn með vinnslu þessara upplýsinga, fyrir utan að koma á tilteknu fjarskiptasambandi, er að gjaldfæra fyrir fjarskiptaþjónustuna. Um þessa upplýsingavinnslu er fjallað í 42. gr. laga um fjarskipti nr. 81/2003.  Samkvæmt ákvæðinu njóta þessar upplýsingar sérstakrar verndar og t.d. er skylt að eyða þeim að tilteknum tíma liðnum.  Auk þess þarf samþykki viðkomandi notanda ef vinna á með upplýsingarnar í öðrum tilgangi en að koma á fjarskiptasambandi og gjaldfæra fyrir það. Ástæða þessa er að þarna er um að ræða ákveðnar persónuupplýsingar sem eru þess eðlis að úr þeim má vinna persónusnið sem sagt getur til um venjur og neyslu tiltekins einstaklings.

Upplýsingar um fjarskiptaumferð eru líka viðkvæmar vegna þess að þær segja til um samtengiumferð í netum og eru nauðsynlegar til uppgjörs á milli fjarskiptafyrirtækja vegna lúkningar á símtölum á heildsölustigi, þ. e. hjá hvaða félagi símtali lýkur sem hefst hjá öðru félagi. Þessar upplýsingar geta því sagt til um magn fjarskiptaumferðar og notkunarmynstur viðskiptavina fjarskiptafyrirtækis sem ekki er gert ráð fyrir að smásölu- og markaðsdeildir í öðrum fjarskiptafyrirtækjum hafi aðgang að, sbr. trúnaðarskyldu samkvæmt 26. gr. fjarskiptalaga.

Af þessum sökum er mikilvægt að fjarskiptafyrirtækin viðhafi viðeigandi öryggisráðstafanir og séu með innri ferla til að tryggja öryggi upplýsinganna og að unnið sé með þær í samræmi við lög.

Til að framkvæma úttektina hjá Vodafone og Nova nú fékk PFS til liðs við sig Ólaf Róbert Rafnsson, sérfræðing í upplýsingaöryggi. Hann gerði vettvangsathuganir hjá félögunum með það að markmiði að sannreyna að tilgreindar öryggisráðstafanir væru til staðar og virkar. Hann skilaði stofnuninni skýrslu um niðurstöður vettvangsathugana í desember s.l. Samkvæmt henni sýndu niðurstöður hans að engin frávik komu fram.

Vegna trúnaðarupplýsinga er ekki hægt að birta skýrsluna í heild en í henni koma m.a. fram eftirfarandi umsagnir:

„Í úttekt komu engin atriði fram sem gefa til kynna að fyrirtækið sé ekki að hlíta kröfum PFS um meðhöndlun CDR gagna en komið var auga á nokkur úrbótatækifæri sem er að finna í þessari skýrslu.

„Gögn og upplýsingar sem skoðaðar voru staðfestu að viðeigandi stýringar eru til staðar til að tryggja að gögn séu gerð ópersónugreinanleg og að lögum um geymslutíma sé fylgt.“

Heildarniðurstaða úttektarinnar er að þó bent hafi verið á nokkur tækifæri til úrbóta sem PFS hefur beðið um að tekin verði til skoðunar uppfylltu bæði Vodafone og Nova þær kröfur sem gerðar eru um öryggisráðstafanir varðandi meðferð fjarskiptaumferðarupplýsinga.

 

 

Til baka