Ärende nr 2010:18

Rubrik: Ändringsförslag avseende hantering av IP-adresser

Beskrivning: EMIX representerar två tredjedelar av den svenska elmarknaden och har etablerats för att öka kvalitet och automatisering i såväl meddelandehanteringens administrativa processer som teknisk kommunikation.

Informationsutbytet som sker mellan marknadens aktörer via Ediel för strukturmeddelanden och mätvärden är för professionellt bruk och affärsmässigt kritiskt. Det ömsesidiga beroendet av tids- och innehållsmässigt korrekt information har gjort att branschen ställt särskilda informationssäkerhetskrav på tillgänglighet och spårbarhet av meddelandeflödet. För att leva upp till detta fordras därför att alla aktörer, med säkerhet skall kunna identifieras och spåras för att säkerställa att meddelanden levererats till avsedd och adresserad mottagare. För att hålla kravsatt säkerhetsnivå tillåts därför endast marknadens aktörer, det vill säga de som har ett av SvK utfärdat EdielID, passera genom EMIX brandvägg och de definieras via specificerade och publika IP-adresser.

För EMIX kunder regleras detta via avtalet med EMIX, men för övriga aktörer finns ingen reglering av detta inom befintligt regelverk. Många aktörer använder sig av ej publika IP-adresser, vilket innebär att IP-adressen kan ändras eller att fler än en aktör vid ett visst tillfälle får samma adress. Det innebär alltså att IP-adressen inte blir unik. Under året har några aktörer etablerat "moln-tjänster" för t ex e-post, telefoni, kontorsapplikationer och datalagring. Dessa tjänster innebär oftast att aktören inte direkt behöver administrera eller säkra upp IP-trafik eller adresser lokalt utan att man snarare "surfar" in till tjänsten eller applikationen via internet. IP-adresser är i dessa lösningar inte definierade och stabila utan åsätts vid varje uppkopplingstillfälle. Lösningen kan mycket väl vara ett kostnadseffektivt alternativ för kontorsmail eller mail kopplingar mot andra mobila tjänster och services. Att inte ha definierade IP-adresser innebär dock att meddelanden inte kan kvalitetssäkras enligt de informationssäkerhetskrav som ställs av branschen för Edielmeddelanden. Aktörers IP-adresser kan inte specificeras för SMTP tjänster eller regler runt svartlistning, automatsvar etcetera och EMIX har inte möjlighet att definiera vilka IP-adresser som är tillåten att passera igenom EMIX brandvägg. För att följa branschens informationssäkerhetskrav vad avser tillgänglighet och spårbarhet föreslås därför att alla aktörer på den svenska marknaden skall kommunicera via dedikerade SMTP servrar med unik domän för Ediel-trafik. Detta är ett enkelt och kostnadseffektivt sätt att säkert hantera identifieringen av branschens aktörer.

Beslut: Ärendet avslås med denna motivation:

Ärendet ligger inte inom ramen för Elmarknadsutvecklings och Verkställighetsgrupp Berednings arbete. Frågan kan dock kopplas till informationssäkerhetsområdet inom energibranschen (EBITS) och lyfts in där under hösten för diskussion i det sammanhanget.