Póst og fjarskiptastofnun

Túngumál EN
Heim

PFS gerir Símanum skylt að bæta öryggi gagnagrunns yfir fjarskiptanotkun

17. janúar 2012

Póst- og fjarskiptastofnun hefur birt ákvörðun sína nr. 2/2012 þar sem stofnunin kemst að þeirri niðurstöðu að tilteknar öryggisráðstafanir Símans í tengslum við gagnagrunn félagsins um fjarskiptaumferð séu ófullnægjandi.  Um er að ræða svokallaðan CDR - gagnagrunn (e. Call Detail Record).  Í ákvörðuninni fyrirskipar stofnunin úrbætur í 18 liðum og skal innleiðingu úrbótanna að fullu lokið eigi síðar en 31. desember 2012, auk þess sem a.m.k. helmingi þeirra skal lokið um mitt þetta ár. 

Forsaga málsins er sú að með ákvörðun PFS nr. 37/2010 frá 17. nóvember 2010 komst PFS að þeirri niðurstöðu að Síminn hefði brotið gegn trúnaðarskyldum sínum skv. 26. gr. fjarskiptalaga nr. 81/2003 með því að hagnýta sér fjarskiptaumferðarupplýsingar (CDR-gögn).  Gögnin vörðuðu heildsölusamskipti fjarskiptafyrirtækja í tengslum við samtengingu fjarskiptaneta í markaðslegum tilgangi gagnvart Nova og Vodafone.  M.a. kom fram í ákvörðuninni að í kjölfar hennar myndi PFS framkvæma, eða láta framkvæma fyrir sig, úttekt á samskiptum heildsölu og smásölu Símans.

PFS réði óháðan sérfræðing í upplýsingatækni til að framkvæma þessa úttekt. Niðurstaða hennar var sú að öryggisráðstafanir í tengslum við CDR-gagnagrunn Símans hefðu verið ófullnægjandi að ýmsu leyti, auk þess sem sumar ráðstafanir reyndust ekki vera virkar eða þeim ekki framfylgt sem skyldi. Hinn óháði sérfræðingur lagði til að Síminn framkvæmdi úrbætur til að ráða bót á umræddum annmörkum. Með vísan til tillagna sérfræðingsins um eðlilegar og sanngjarnar úrbætur á öryggi CDR-gagnagrunnsins er það niðurstaða PFS í ákvörðun sinni nr. 2/2012  að Síminn skuli ráðast í tilteknar úrbætur á öryggisskipulagi sínu sem taldar eru upp í 18 liðum í ákvörðuninni.

Umræddar úrbætur fela m.a. í sér skipulagslegar og tæknilegar öryggisráðstafanir, svo og starfsmannatengdar ráðstafanir, sem eru til þess fallnar að draga eins og kostur er úr hættu á því að upplýsingar í grunninum verði misnotaðar í markaðslegum tilgangi, án þess þó að möguleikum til lögmætrar upplýsingavinnslu í gagnagrunninum sé fórnað.   

Að mati PFS er umfang ofangreindra úrbóta til marks um það að ástand öryggismála hjá Símanum í tengslum við CDR-gagnagrunninn hafi verið fjarri því að vera viðunandi. Ljóst er að þær forsendur sem PFS lagði til grundvallar ákvörðun sinni nr. 37/2010, um þörf á úttekt á umræddum gagnagrunni, reyndust á rökum reistar. Telur PFS mikilvægt að Síminn taki öryggisskipulag sitt til reglubundinnar endurskoðunar og viðhafi fyllsta samstarf við PFS um að stuðla að því að öryggisskipulagið uppfylli á hverjum tíma, eins og kostur er, þær kröfur sem settar eru í reglum PFS nr. 1221/2007 um vernd upplýsinga í almennum fjarskiptanetum.

Sjá ákvörðunina í heild:
Ákvörðun PFS nr. 2/2012 varðandi úttekt á samskiptum heildsölu og smásölu Símans vegna meðferðar á trúnaðarupplýsingum (PDF)

 

 

Til baka