Brud på persondatasikkerheden i telesektoren 2014

Transkript

1 25. februar 2015 /JV Sag Brud på persondatasikkerheden i telesektoren 2014 Baggrund Teleudbyderne skal efter reglerne i 7 i informationssikkerhedsbekendtgørelsen 1 udarbejde sikkerhedspolitikker for persondatasikkerheden i forbindelse med net- og tjenesteudbuddet. Disse politikker skal sikre, at der ikke sker brud på persondatasikkerheden. Udbyderne skal, hvis der på trods af disse politikker alligevel sker brud på persondatasikkerheden efter bekendtgørelsens 15 underrette Erhvervsstyrelsen herom. Indberetningen sker efter en fast procedure, som er beskrevet i Kommissionens Forordning (EU) Nr. 613/2013 af 24. juni Erhvervsstyrelsen vil på baggrund af disse indberetninger gerne bidrage til at forbedre udbydernes politikker, således at en bredere kreds kan høste de enkelte udbyderes erfaringer vedrørende brud på persondatasikkerheden. ERHVERVSSTYRELSEN Dahlerups Pakhus Langelinie Allé København Ø Tlf Fax CVR-nr E-post erst@erst.dk ERHVERVS- OG VÆKSTMINISTERIET Styrelsen vil derfor gerne bruge denne anledning til at udbrede erfaringerne fra 2014 og på den baggrund foreslå forbedringer i sikkerhedspolitikkerne. Konkrete indberetninger 2014 Erhvervsstyrelsen har i 2014 modtaget 5 indberetninger fra net- og tjenesteudbydere og ejere af elektroniske kommunikationsnet om brud på persondatasikkerheden Indberetningerne vedrører 3 specifikke forhold, idet en del af indberetningerne vedrører det samme brud på persondatasikkerheden hos flere forskellige udbydere. Offentlig tilgængelig Wi-fi En udbyder ønskede at anvende deres slutbrugeres private wi-fi forbindelser til at oprette et offentligt tilgængeligt wi-fi net. Selvom den private og den offentlige del af slutbrugerens wi-fi net ville blive adskilt ved at anvende to forskellige kanaler, kunne udbyderen ved en kontrol ikke garantere, at data til enhver tid ikke kunne forblive adskilt mellem de to net. 1 Bekendtgørelse nr. 445 af 11. maj 2011 om informationssikkerhed og beredskab for elektroniske kommunikationsnet og -tjenester

2 2/5 Løsningen blev lukket, da sikkerhedsrisikoen blev bekendt for udbyderen. Der blev i den forbindelse ikke konstateret, at nogen havde skabt sig uberettiget adgang til persondata som følge af usikkerheden. Alle berørte kunder blev underrettet om sikkerhedsrisikoen via i det omfang udbyderen havde slutbrugernes adresser. De resterende berørte slutbrugere er blevet informeret via enten deres antenneforeninger eller gennem opslag på henholdsvis udbyderens hjemmeside,, Facebook, Twitter samt nyhedsmedier som f.eks. Computerworld. Som konkret tiltag i forlængelse af sikkerhedsbruddet valgte udbyderen som nævnt helt at lukke for løsningen med at tilbyde offentligt wi-fi via slutbrugernes trådløse net. Udbyderen ville sammen med udstyrsleverandørerne arbejde for at få udarbejdet en sikker løsning til systemet, og vil ikke forsøge at genetablere denne type tjeneste før en ny sikker løsning er blevet grundigt testet af en uafhængig leverandør. Erhvervsstyrelsen var enig med udbyderen i, at man under de givne forudsætninger skulle lukke løsningen. Erhvervsstyrelsen bemærkede dog også, at de af udbyderen foreslåede tiltag for at højne sikkerheden i løsningen var tilfredsstillende, og at man, såfremt tiltagene blev gennemført, ikke havde behov for at stille yderligere krav, hvis udbyderen på et senere tidspunkt ønskede at genetablere løsningen. Ændring af passwords - Radio 24/7 I 4 tilfælde hos 4 forskellige udbydere lykkedes det en journalist fra radio 24/7 at skaffe sig adgang til andre kunders selvbetjeningsløsninger ved at ringe til udbydernes kundeservice, og udgive sig for at være den pågældende kunde. Ved at oplyse, at han ikke kunne komme ind på selvbetjeningsløsningen, og at han ikke havde adgang til det telefonnummer og den adresse, som var anført i udbyderens kundesystemer, fik journalisten i alle tilfældene overtalt kundeservicemedarbejderen til at sende et nyt password til selvbetjeningsløsningen til en adresse, som var oprettet til lejligheden af journalisten. Det nye password gav adgang til kundens brugerprofil med oplysninger om blandt andet navn, adresse og forbrug. Adgangen gav desuden mulighed for at ændre i kundens profil. Kunden havde i de konkrete tilfælde uden udbydernes vidende givet samtykke til, at journalisten måtte forsøge at skaffe sig adgang til kundens brugerprofil. Udbyderne har vurderet, at der i de konkrete tilfælde ikke var grund til at orientere kunden om sikkerhedsbruddet, idet kunden i kraft af aftalen med journalisten, allerede måtte forudsættes bekendt med dette. Som konsekvens af ovenstående har de berørte udbydere af egen drift iværksat en række tiltag for at skærpe sikkerheden i disse tilfælde.

3 3/5 For den ene udbyders vedkommende er det blevet indskærpet, at ændring af kundens adresse som udgangspunkt kun må foretages over selvbetjeningsløsningen, og at kundeservice kun må foretage ændring af kundens e- mailadresse, hvis kunden samtidig giver yderligere oplysninger til kundeservice, f.eks. det kundenummer, som ikke kendes af offentligheden. Ændring af kode sendes kun til allerede registreret adresse. I den anden udbyders tilfælde gælder det, at adressen kun kan ændres hos kundeservice, hvis kundens kodeord samtidig oplyses. En ny kode til selvbetjeningen sendes kun til det registrerede telefonnummer eller adresse. Den tredje udbyder har indskærpet de gældende retningslinjer på området overfor personalet i deres kundeservice. Efter retningslinjerne skal kunden i det beskrevne tilfælde kunne oplyse sit fulde navn og cpr-nummer eller kundenummer. Der kan i tvivlstilfælde spørges ind til en række andre oplysninger. I henhold til den fjerde udbyders indberetning er selskabets retningslinjer på området blevet indskærpet overfor kundeservice. Selskabet har dog ikke fundet anledning til at foretage tekniske ændringer i deres kundeservice set-up på dette område. Erhvervsstyrelsen har set på de tiltag, som udbyderne har iværksat for at undgå lignende brud på persondatasikkerheden. Helt overordnet er det naturligvis positivt, at samtlige udbydere har indskærpet deres gældende sikkerhedspolitik overfor deres medarbejdere. Erhvervsstyrelsen bemærker dog, at en indskærpelse i sig selv ikke forhindrer fremtidige brud på området, idet udskiftning af medarbejdere eller eksisterende medarbejdernes subjektive vurderinger ved uheld eller ved overlagte handlinger stadig kan føre til lignende brud på persondatasikkerheden. Erhvervsstyrelsen opfordrer derfor kraftigt udbyderne til at udvikle automatiserede løsninger på området, således at medarbejderne i kundeservice slet ikke har mulighed for at redigere i kundens data eller give adgang til data uden en forudgående automatiseret autentifikationsprocedure. Styrelsen anerkender, at det ikke vil være muligt at gennemføre sådanne løsninger straks, og opfordrer derfor på den korte bane til, at udbyderne iagttager følgende forhold: Ved manuelle ændringer af kundens data skal udbyderne ikke blot identificere, men også autentificere kunden forud for, at ændringen foretages. Det er således ikke nok kun at identificere kunden f.eks. ved adresseoplysninger, cpr-nummer eller et kunde- eller fakturainformationer, da disse data ikke beviser (autentificerer) at det er den egentlige kunde, som ønsker ændringen. I en situation uden fysisk fremmøde, f.eks. online eller telefonisk vil det derfor være nødvendigt, at supplere identifikationen med en autentifikationsprocedure, f.eks. et personligt kodeord, som er afsendt til eller valgt af kunden under

4 4/5 sikre forhold, eller hvor en ny kode til selvbetjeningen kun sendes til det registrerede og dermed allerede autentificerede telefonnummer eller adresse Det samme gælder ved henvendelser ved personligt fremmøde. I disse tilfælde vil man dog også kunne identificere kunden med billedlegitimation, hvis selskabet vurderer dette tilstrækkeligt sikkert. En løsning, som autentificerer kunden ved hjælp af NemID, vil i alle tilfælde være at foretrække. Hovedbudskabet er således, at data ikke må udleveres eller ændres på baggrund af simpel identifikation herunder også cpr-numre. Dette skal indarbejdes i selskabernes sikkerhedspolitik på området. Viderestilling af telefonnumre til sociale organisationer En person ringede i forbindelse med 3 forskellige hændelser til henholdsvis telefonpasningen og erhvervskundeservice hos udbyderen og fik viderestillet opkald til 3 forskellige organisationer, som hver især hjælper folk med forskellige problemer, til sit eget nummer. I et tilfælde blev viderestillingen foretaget på baggrund af et oplyst kundenummer, og i de andre tilfælde blev der efter det oplyste ikke afkrævet identifikation eller foretaget autentifikation af personen i et af tilfældene til trods for at løsningen var forsynet med en kode. I en kortere periode, indtil det blev opdaget af organisationerne, blev alle opkald til deres rådgivningslinjer således viderestillet til en privat person. Henset til organisationernes natur kunne disse opkald indeholde meget følsomme personoplysninger. Da den pågældende person fik viderestillet numrene til sin egen telefon, er personen efterfølgende blevet identificeret af udbyderen og anmeldt til politiet. Udbyderen har efterfølgende ikke kontaktet de abonnenter, hvis opkald er blevet viderestillet, idet det ikke er sikkert, at der er sammenhæng mellem abonnenten og den person, som har foretaget opkaldet til den pågældende organisation. Givet de berørte organisationers følsomme natur ville en henvendelse til abonnenten muligvis kompromittere den anonymitet, som den reelle bruger måtte forvente at få ved opkald til disse organisationer. En underretning af abonnenterne ville derfor muligvis i sig selv udgøre et brud på persondatasikkerheden. Udbyderen har iværksat flere foranstaltninger til at undgå lignende brud på persondatasikkerheden. Ved opkald om viderestilling til udbyderens erhvervsafdeling, vil brugere fremover blive oplyst om, at denne service kun kan bestilles via online selvbetjening, som er forsynet med kode. Ved opkald til udbyderens telefonpasning vil der fremover ske verificering ved, at udbyderen ringer tilbage til abonnentens nummer for at bekræfte bestillingen. I tilfælde af, at der ønskes viderestilling på grund af nedbrud på abonnentens telefonlinje, vil udbyderen finde en alternativ løsning, som vil blive meddelt Erhvervsstyrelsen.

5 5/5 Erhvervsstyrelsen har indledningsvist bemærket, at man er enig i udbyderens vurdering af, at det af de af udbyderen anførte grunde ikke var hensigtsmæssigt at underrette de enkelte abonnenter om persondatasikkerhedsbruddet. Styrelsen har desuden set på de sikkerhedsmæssige tiltag, som udbyderen har iværksat i forlængelse af hændelserne. Styrelsen er af den opfattelse, at de nævnte tiltag umiddelbart vil være egnede til at undgå lignende hændelser, og ser frem til, at tiltagene indarbejdes i udbyderens sikkerhedspolitik på de enkelte områder. Erhvervsstyrelsen skal i øvrigt henvise til bemærkningerne til sagen om Radio 24/7s ændring af passwords, da de bagvedliggende krav om autentifikation af abonnenten også gør sig gældende i nærværende sag. Erhvervsstyrelsens erfaringer I 2013 blev der foretaget 2 indberetninger til Erhvervsstyrelsen om brud på persondatasikkerheden hos teleudbydere. Dette tal er i 2014 steget til 5 indberetninger (fordelt på 3 forhold). En del europæiske lande har endnu ikke eller har kun for nyligt udarbejdet en indberetningsprocedure som krævet efter Kommissionens Forordning (EU) Nr. 613/2013 af 24. juni De fleste lande har dog ligesom Danmark allerede udarbejdet en sådan indberetningsprocedure. Styrelsen kan i den forbindelse konstatere, at der er meget stor forskel på, hvor mange sager om brud på persondatasikkerheden hos teleudbydere, der indberettes i de enkelte lande. Der er således indberettet mellem 0 og 300 sager i de forskellige lande i Med 5 indberetninger i er Danmark blandt de lande, hvor der er blevet foretaget færrest indberetninger i 2014, også når der tages forbehold for de enkelte landes indbyggertal. Det kan ikke siges, om dette skyldes en særlig høj sikkerhed hos de danske udbydere eller manglende indberetninger af konkrete hændelser. Styrelsen kan imidlertid konstatere, at de modtagne indberetninger alle stammer fra landets største udbydere og netejere (eller deres koncernforbundne datterselskaber). Det kan derfor overvejes, om de mindre udbydere har det fornødne kendskab til reglerne om indberetning af brud på persondatasikkerheden. Styrelsen vil på denne baggrund i 2015 arbejde for, at kendskabet til reglerne om indberetning af brud på persondatasikkerheden udbredes bedre i branchen, herunder særligt til de mindre udbydere på det danske telemarked. Erhvervsstyrelsen kan desuden konstatere, at de i 2014 foretagne indberetninger om brud på persondatasikkerheden stort set alle er sket efter, at bruddene har været behandlet i pressen. Dette giver ligeledes Erhvervsstyrelsen anledning til at understrege, at alle brud på persondatasikkerheden med det samme skal indberettes til styrelsen.