Komist Póst- og fjarskiptastofnun (PFS) að þeirri niðurstöðu að Vodafone hafi brotið fjarskiptalög hefur hún þó ekki heimild til að sekta fyrirtækið. Hins vegar er algengt að stofnunin gefi fyrirmæli um að fyrirtæki breyti verklagsreglum eða taki upp aðra starfshætti.

Forstjóri stofnunarinnar segir Vodafone-málið einstakt að því leyti að almennt séu afrit af fjarskiptasamskiptum ekki geymd heldur aðeins s.k. umferðargögn. Hinsvegar sé ógn við netöryggi vandamál sem haldi bara áfram að vaxa.

Notendur þurftu að afsaka vistun sms-skilaboða

mbl.is greindi frá því eftir lekann á laugardaginn að Vodafone hafi líklega gerst brotlegt gegn lögum um fjarskipti (nr. 81/2003 gr. 42) með því að geyma afrit af margra ára gömlum sms-skilaboðum sem fólk sendi í gegnum vefsíðu Vodafone. 

PFS rannsakar málið og er rannsóknin á frumstigi að sögn Hrafnkels V. Gíslasonar, forstjóra stofnunarinnar. „Við munum kalla eftir gögnum frá Vodafone og óska eftir skýringum á ýmsum atriðum hvað þetta varðar og þeirra sjónarmiðum um ákveðin mál,“ segir Hrafnkell.

Vodafone hefur gefið þá skýringu að gögnin hafi varðveist vegna þess að viðskiptavinum sem sendu sms gegnum síðuna hafi sjálfkrafa boðist að vista skilaboðin. Taka þurfti frumkvæði að því að afþakka vistunina með því að taka út hak við reitinn „Vista í samskiptasögu“. 

Vodafone viðurkennir að þetta fyrirkomulag i heimasíðunni sé gallað. Hinsvegar gæti það þýtt að gagnasöfnunin sé ekki eins augljóst lögbrot og virðist við fyrstu sýn, ef færa má rök fyrir því að viðskiptavinir hafi veitt samþykki.

Efnisleg samskipti á ekki að geyma

Netárásin á Vodafone er einhver sú alvarlegasta sem íslenskt fyrirtæki hefur orðið fyrir, vegna þess magns viðkvæmra upplýsinga sem stolið var. Aðspurður segir Hrafnkell að það sem er einstakt í þessu máli, eins og það snýr að PFS, sé að gögnin sem hakkarinn komst yfir voru efnisleg samskipti fólks.

„Almenna reglan er sú að það eigi ekki að geyma afrit af fjarskiptasendingum, heldur aðeins svo kölluð umferðargögn. Megin þunginn í okkar eftirliti er að tryggja að umferðargögnin séu vel vernduð, því út frá þeim er hægt að rekja ákveðið samskiptamynstur.“

Í ákvæði fjarskiptalaga um vernd persónuupplýsinga og friðhelgi einkalífs segir að fjarskiptafyrirtækjum beri að varðveita lágmarksskráningu um fjarskiptaumferð notenda í 6 mánuði, í þágu rannsókna sakamála og almannaöryggis, en eyða gögnum og gera þau nafnlaus þegar þeirra er ekki lengur þörf.

Lágmarksskráningin felst í umferðargögnum, sem eru einfaldlega upplýsingar um það hver hringdi hvaðan í hvern og á hvaða tíma. Sjálf samskiptin sem fóru fram eru eiga ekki að geymast.

Tölvupóstur sambærilegur við póstkort

Hrafnkell bendir á að efnið sms-sendinganna sé ekki fjarri því sem margir sendi sín á milli í tölvupóstum. Flest eða öll fyrirtæki landsins séu með tölvupóstkerfi þar sem mikið sé af viðkvæmum upplýsingum sem rétt sé að spyrja sig hvort séu nógu vel varin.

„Ég held að þú ættir í aldrei að senda tölvupóst öðru vísi en að hafa það sjónarmið að þú sért í raun að senda póstkort í pósti. Það sem fer yfir netið, þú veist í raun ekkert hvert það fer. Það er eðli internetsins, öryggisstigið er ekki endilega skilgreint.“

Hrafnkell segir að fjarskiptarekstur verði sífellt flóknari og umfangsmeiri. Fyrirtækin haldi úti hundruðum símstöðva, farsímasendum, ljósleiðurum, hýsingarsölum fyrir miðlægan búnað, vefþjónustur o.s.frv. „Þess vegna verður að vera heildstætt stjórnkerfi fyrir þetta allt saman, sem félögin hafa verið að byggja upp og hefur skilað árangir þótt það hafi brostið í tilviki Vodafone.“

Bara toppurinn á ísjakanum

Eftirlitshlutverk PFS er sömuleiðis margþætt og í flóknu umhverfi. Nýjasti hluti starfseminnar hófst bara nú í sumar, en það er sérstök netöryggissveit. Markmið netöryggissveitarinnar er að fyrirbyggja og draga úr hættu á netárásum.

Hrafnkell játar því þó að meira þurfi til. „Við erum auðvitað eins og hver önnur ríkisstofnun, höfum farið í gegnum 25% niðurskurð frá 2008 og þurfum að forgangsraða. Ég myndi gjarnan vilja gera heildstæðar vettvangsrannsóknir og hafa meira reglubundið frumkvæðiseftirlit.“

Píratar hafa gagnrýnt að eftirlitskerfið á Íslandi sé fjársvelt. Hrafnkell segist geta tekið undir að þörf væri á að efla það.

„Ég myndi telja það æskilegt, sérstaklega í ljósi þess að ógnin er sífellt að aukast. Því miður held ég að það séu sterkar vísbendingar um að þetta Vodafone-mál, eins hörmulegt og það er nú, sé bara toppurinn á ísjakanum og slæmur fyrirboði.“

Rétt er að benda á að Póst- og fjarskiptastofnun heldur úti síðunni netöryggi.is þar sem almenningur getur leitað leiðbeiningar um örggismál, persónuvernd og ýmis álitaefni í upplýsinga- og fjarskiptatækni.