Hej.
Den 16:e Januari 2025 så drabbades Sportadmin av ett stort dataintrång där angriparna stal alla uppgifter ur systemet, inklusive alla uppgifter om Falu IKs medlemmar. Nu har Integritetsskyddsmyndigheten IMY blivit klara med sin tillsyn mot Sportadmin och kommit fram till att Sportadmin skall betala en sanktionsavgift på 6 miljoner kronor, eftersom man haft för dålig IT-säkerhet.

De uppgifter som stals var namn, kontaktuppgifter, personnummer, målsmän och grupptillhörigheter - dvs alla uppgifter som vi har i Sportadmin. Vad jag vet så har vi inte Falu IK några känsliga personuppgifter i systemet, och heller inte några personer med skyddade personuppgifter.

Vad kan hända efter ett sånt här intrång?
Om man inte har skyddade personuppgifter så är den främsta effekten ökad risk för bedrägerier där man får bedrägerimail som kan se ut att komma från Falu IK eller Sportadmin. I realiteten är riskerna med att personnumret läckt inte så stora. Våra personnummer är redan lätt tillgängliga på andra sätt.

Om man lever under någon form av hot så finns dock en ökad risk att ens hemadress blir känd. Om man är i den situationen så kan man behöva se över sin säkerhet och kanske söka råd hos polisen. I annat fall räcker det med att vara extra uppmärksam på mail som ser konstiga ut. Jag känner inte till att någon sådan phishing förekommer, så troligen är det rätt lungt än så länge. 

Behöver man göra något?
Nej, inget utöver att vara fortsatt vaksam på phishingmail.

Om man lever under någon form av hot, har skyddade personuppgifter eller behöver ha en högre säkerhetsnivå så får man gärna kontakta mig så kan vi gemensamt gå igenom vilka personuppgifter vi har om dig i Falu IK och hur vi hanterar dem. Vi kan t.ex. ta bort hemadresser och annat som inte behövs i verksamheten.

Kommer Falu IK att göra något?
Nej, det är inte planerat. Sportadmin hanterade händelsen bra och alla kan drabbas av dataintrång.

Kan man få något skadestånd?
Om någon har ork och möjlighet så kan det finnas möjlighet att dra en skadeståndsprocess. En läcka av den här typen skulle kunna ge ca 3000 - 5000 kr i skadestånd.

Om man skulle gå ihop med en grupptalan mot Lime Technologies (bolaget bakom Sportadmin) kan det vara möjligt att få ut skadestånd. Mängden pengar som går att få ut kommer troligen att vara begränsad till det som deras försäkring täcker och tillgångarna i bolaget. Om alla 2 miljoner drabbade skulle vara med i en grupptalan som man vinner en standardsumma så kommer summan att landa på 6 till 10 miljarder, vilket Lime omöjligt kan betala. Bolag i den här storleksklassen har ofta en ansvarsförsäkring på upp till 50 miljoner och bolaget omsätter ca 400 miljoner. En större grupptalan innebär alltså en omfattande risk att Lime går i konkurs och att man får ut väldigt lite pengar per person.

Vad berodde intrånget på?
Själva intrånget gjordes genom en "SQL Injection" i kombination med osäkert konfigurerade IT-behörigheter. 

SQL Injection är en av de absolut vanligaste dataintrången. Att bygga in skydd mot SQL Injection är att betrakta som en hygienåtgärd och det skyddet borde ha funnits på plats hos Sportadmin. När man har ett system som behandlar så mycket personuppgifter som Sportadmin ska sådana välkända säkerhetsbrister vara tätade.

För höga behörigheter är också ett vanligt fel. Man har alltså undlåtit att vidta välkända och grundläggande säkerhetsåtgärder. Sportadmin sticker dock inte ut vare sig negativt eller positivt jämfört med andra högprofilerade dataintrång, mönstret är oftast detsamma där man missat att genomföra flera rutinartade säkerhetsåtgärder. 

Ytterligare frågor?
Har man ytterligare frågor om informationssäkerhet och GDPR i Falu IK så får man gärna kontakta mig.


Länk till beslutet hos IMY.

Per Tuvall
Sekreterare i Falu IK, IT- och GDPR-ansvarig