Hoppa yfir valmynd
Ákvarðanir

Númer

6/2023

Heiti

Öryggisatvik hjá Sýn hf. í júlí 2022

Dagsetning

22.06.2023

Málsaðilar

Málaflokkur

Öryggi fjarskipta - Tilkynning til netöryggissveitar

Lagagreinar

  1. gr. Öryggi og þagnarskylda.
  1. gr. a. Öryggis- og viðbragðshópur til verndar ómissandi upplýsingainnviðum.

Reifun

Ákvörðun Fjarskiptastofu markar lok á rannsókn stofnunarinnar á öryggisatviki sem upp kom í miðlægu símkerfabúnaði Sýnar hf. í júlí 2022. Öryggisatvikið hafði í för með sér alvarlegt rof og truflun á fastlínuþjónustu og farsímaþjónustu félagsins og langa bilanagreiningu. En þjónusturofið og truflunin stóð samanlagt í um 180 mínútur og varðaði um 200 þúsundu notendur en um 7000 notendur urðu fyrir áhrifum.
   
Rannsókn stofnunarinnar laut að því hvort Sýn hf. hafi farið að þeim kröfum sem ákvæði fjarskiptalaga kveða á um varðandi stjórnskipulag netöryggismála hjá fjarskiptafyrirtækjum. Nánar tiltekið hvort farið hafi verið eftir ákvæðum fjarskiptalaga nr. 81/2003, og afleiddra réttarheimilda sem kveða á um öryggi fjarskipta, tilkynningarskyldu um öryggisatvik til netöryggissveitar Fjarskiptastofu og tilkynningarskyldu til viðskiptavina um alvarleg öryggisatvik.  

Rannsókn Fjarskiptastofu leiddi í ljós veikleika í öryggisskipulagi Sýnar hf. við að tryggja að unnið sé eftir samþykktu breytingaferli félagsins. Veikleikinn lýsti sér í því að breytingar sem Sýn hf. gerði á miðlægum símkerfabúnaði í júlí 2022 voru ekki framkvæmdar í samræmi við samþykkt breytingastjórnunarferli félagsins. Orsakaði það alvarlegt rof og truflun á þjónustu félagsins. Það er hins vegar mat Fjarskiptastofu að eftir að öryggisatvikið kom upp hafi starfsmenn Sýn hf. fylgt viðbragðsáætlun félagsins.

Það var einnig niðurstaða rannsóknarinnar að öryggisatvikið hafi verið alvarlegt og því hafi það verið tilkynningarskylt til viðskiptavina, en Sýn hf. hafi hins vegar ekki tilkynnt það til allra þeirra viðskiptavina sem í hlut áttu. Einnig kom í ljós að þjónustuviðmið tilkynninga til viðskiptavina félagsins var ekki fullnægjandi.        

Þá kom í ljós að Sýn hf. vanrækti tilkynningarskyldu sína til netöryggissveitar Fjarskiptastofu vegna öryggisatviksins. 

Í ákvörðun Fjarskiptastofu er komist að þeirri niðurstöðu að Sýn hf. hafi brotið gegn ákvæðum þágildandi fjarskiptalaga um öryggi fjarskipta og tilkynningu til netöryggissveitar Fjarskiptastofu, sbr. IX. kafla fjarskiptalaga, og reglna nr. 1222/2007, um virkni almennra fjarskiptaneta. Nánar tiltekið að Sýn hf. hafi brotið gegn ákvæðum 1. og 2. mgr. 23., 1. mgr. 24. og 1. mgr. 26. gr. reglna nr. 1222/2007, sbr. 47. gr. fjarskiptalaga nr. 81/2003, sbr. ákvæði I til bráðabirgða við lög nr. 70/2022, sem og 1. málsl. 1. mgr. 47. gr. a. fjarskiptalaga nr. 81/2003, sbr. b. lið 2. tl. 30. gr. laga nr. 78/2019.