Póst og fjarskiptastofnun

Túngumál EN
Heim

Rannsókn Póst- og fjarskiptastofnunar á öryggisatviki á vefsvæði Fjarskipta hf. lokið

13. janúar 2017

Póst- og fjarskiptastofnun hefur tekið ákvörðun nr. 24/2016 vegna öryggisatviks sem átti sér stað á vefsvæði Fjarskipta hf. í nóvember 2013. Í umræddu öryggisatviki var brotist inn á vefsvæði félagsins, vodafone.is, og þar stolið gögnum sem vistuð voru á gagnagrunnum félagsins og þau síðar birt opinberlega á internetinu.

Rannsókn stofnunarinnar laut að því hvort Fjarskipti hf. hafi, þegar öryggisatvikið átti sér stað, farið að þeim ákvæðum fjarskiptalaga, nr. 81/2003, og reglna nr. 1221/2007 um vernd upplýsinga á almennum fjarskiptanetum, sem kveða á um öryggi og leynd fjarskipta og viðhaft viðeigandi ráðstafanir til verndar þeim upplýsingum sem geymdar voru á vefsvæði félagsins. Rannsóknin náði einungis til vefkerfis Fjarskipta hf., sem tilheyrir almennu fjarskiptaneti þess, þ.e. vodafone.is, en ekki alls fjarskiptakerfis félagsins.

Niðurstaða stofnunarinnar er sú að Fjarskipti hf. hafi, þegar öryggisatvikið átti sér stað í nóvember 2013, brotið gegn meginákvæðum fjarskiptalaga, um vernd persónuupplýsinga og friðhelgi einkalífs, sbr. IX. kafla fjarskiptalaga, og framangreindra reglna nr. 1221/2007, með því að hafa ekki:

i) Viðhaft virkt öryggisskipulag fyrir vefsvæði félagsins, vodafone.is. Telst það varða við 2. og 3. tl. 7. gr. reglna, nr. 1221/2007, um vernd upplýsinga í almennum fjarskiptanetum, sbr. einnig 12. gr. reglnanna, og 2. mgr. 47. gr. fjarskiptalaga.

ii) Viðhaft viðeigandi ráðstafanir til að tryggja vernd vefsvæðisins og þeirra upplýsinga sem þar voru vistaðar. Telst það varða við 4. gr. framangreindra reglna, sbr. einnig 12. gr. þeirra, og 1. mgr. 47. gr. fjarskiptalaga.

iii) Viðhaft a.m.k. árlegt innra eftirlit fyrir vefsvæði félagsins. Telst það varða við 8. gr. reglna nr. 1221/2007.

iv) Uppfyllt kröfur um upplýst samþykki áskrifenda fyrir vistun gagna á vefsvæði félagsins. Telst það varða við 5. gr. framangreindra reglna og 4. mgr. 47. gr. fjarskiptalaga.

v) Eytt eða gert nafnlaus gögn um fjarskiptaumferð áskrifenda, sem nýttu sér almenna fjarskiptaþjónustu félagsins á vefsvæði þess, eftir sex mánuði. Telst það varða við 1. mgr. 42. gr. fjarskiptalaga.

Það er einnig niðurstaða stofnunarinnar að viðbrögð Fjarskipta hf., eftir að upp komst um innbrot og birtingu gagna, hafi verið góð og að leitað hafi verið allra leiða til að takmarka það tjón sem hlaust af gagnastuldinum.

Þá hefur félagið, í kjölfar öryggisatviksins, eflt varnir sínar og hefur nú vottað stjórnkerfi upplýsingaöryggis samkvæmt alþjóðlega staðlinum ISO 27001:2005, sbr. nýjustu útgáfu hans.

Póst- og fjarskiptastofnun telur rétt að vísa til ákvörðunar sinnar nr. 1/2014, þar sem stofnunin komst að þeirri niðurstöðu, eftir andmæli Fjarskipta hf., að ákvæði fjarskiptalaga og afleiddra réttarheimilda, næðu yfir vefsvæði Fjarskipta hf. og þá þjónustu sem þar var veitt. Ákvörðunin var staðfest af úrskurðarnefnd fjarskipta- og póstmála, sbr. úrskurð nefndarinnar í máli nr. 3/2014. Fjarskipti hf. hafa síðan farið fram á ógildingu úrskurðarins fyrir héraðsdómi Reykjavíkur. Við málsmeðferð fyrir dómi óskaði héraðsdómur eftir ráðgefandi áliti EFTA-dómstólsins. Álit dómstólsins liggur nú fyrir, sbr. álit í máli E-6/16. Sjá frétt okkar hér á vefnum um dóminn frá 29. desember sl. Er nú beðið eftir áframhaldi á málsmeðferð fyrir héraðsdómi.

Sjá ákvörðunina í heild:

Ákvörðun PFS nr. 24/2016 - Öryggisatvik á vefsvæði Fjarskipta hf. í nóvember 2013

 

 

 

Til baka