Innlent | mbl | 3.10.2024 | 14:26

Töluverðir annmarkar í öryggisskipulagi Símans

Þann 12. október 2021 kom upp öryggisatvik hjá Símanum. Náði truflunin til allt að 150.000 notenda í 32 mínútur. Samsett mynd/mbl.is/Kristinn Magnússon/Colourbox

Síminn hf. braut gegn ákvæðum þágildandi fjarskiptalaga um öryggi fjarskipta þegar öryggisatvik kom upp árið 2021 sem hafði það í för með sér að útfall og truflun varð á þjónustu til allt að 150.000 notenda Símans í yfir 30 mínútur.

Þetta kemur fram í ákvörðun Fjarskiptastofu sem markar lok á rannsókn stofnunarinnar á öryggisatviki sem kom upp í farsíma- og farnetsþjónustu Símans hf. og á hluta fastlínukerfa félagsins í október 2021.

Frétt af mbl.is

Víðtæk truflun vegna mannlegra mistaka

„Öryggisatvikið átti sér stað við framkvæmd uppfærslu á fjarskiptanetum Símans hf. og hafði í för með sér að útfall og truflun á þjónustu til allt að 150.000 notenda Símans hf. í yfir 30 mínútur,“ segir í tilkynningu frá Fjarskiptastofu.

Þá segir, að rannsókn stofnunarinnar hafi lotið að því hvort Síminn hf. hafi farið að þeim kröfum sem ákvæði fjarskiptalaga kveði á um varðandi stjórnskipulag net- og upplýsingaöryggismála hjá fjarskiptafyrirtækjum.

Síminn hafði hvorki yfirsýn né stjórn á aðstæðum

Rannsókn Fjarskiptastofu leiddi í ljós töluverða annmarka í öryggisskipulagi Símans hf. að því er snertir öryggisatvikið. Að mati Fjarskiptastofu hafði Síminn hf. hvorki þá yfirsýn yfir breytingarnar né stjórn á þeim líkt og ákvæði laga og afleiddra reglna gera kröfu um. Hins vegar ber að líta til þess að þegar upp komst um útfallið var brugðist hratt við enda tók endurreisn skamman tíma.

Lýstu þessir annmarkar sér í því að áætlað var að vinna að uppfærslum í fjarskiptaneti félagsins yfir 14 vikna tímabil án þess að viðhaft væri verklag sem samræmist að öllu leyti kröfum laganna um stjórnskipulag net- og upplýsingaöryggis, að því er fram kemur í ákvörðun Fjarskiptastofu.

Fór ekki eftir sínum eigin verkfallsreglum

„Nánar tiltekið fólu þessir annmarkar í sér að umrædd breyting á fjarskiptanetum Símans hf. var ekki áhættumetin með fullnægjandi hætti. Þjónustusamningur við birgi og þjónustuaðila Símans hf. er framkvæmdi breytinguna var ekki í samræmi við reglur. Breytingarbeiðnin er lá til grundvallar breytingunni var takmörkuð og óljós og verkferlar Símans hf. sem fjölluðu um breytingar voru ófullnægjandi. Aðgangur þess starfsmanns birgis og þjónustuveitanda Símans hf. sem var að vinna að umræddum breytingum var ekki takmarkaður við þær upplýsingar sem honum var nauðsynlegt til að hann gæti sinnt starfi sínu.

Síminn hf. fór ekki eftir sínum eigin verklagsreglum við framkvæmd umræddra breytinga. Ekki var til staðar nægur varabúnaður og önnur úrræði þegar öryggisatvikið átti sér stað til að viðhalda samfelldum rekstri. Neyðaráætlun Símans hf. var ófullnægjandi og hafði ekki verið prófuð reglulega til að tryggja virkni hennar. Svo var ekki til staðar fullnægjandi innra eftirlit, m.a. til að tryggja virkni neyðaráætlunar,“ segir í ákvörðuninni.