Nyligen rapporterades det att hackare angripit SportAdmin och jag har tidigare skrivit om det i bloggen. SportAdmin är ett system som många idrottsföreningar använder för att hantera medlemsregister och annan administration. Uppgifterna pekar på att upp till 1,1 miljoner personuppgifter nu kan vara i fara inkluderat barn och ungdomar med skyddad identitet. Hackarna hotar dessutom med att läcka allt – vilket sätter ännu större press på alla berörda parter… och de planerar att läcka allt idag om de inte betalar. OCH, betalar SportAdmin så kommer de hamna på en lista som gör att de blir objekt igen eftersom det var ett företag som var villiga att betala. Suck..

Vad vet vi egentligen?
Enligt de rapporter som kommit ut handlar det om ett dataintrång som potentiellt exponerar mejladresser, medlemsuppgifter och annan känslig information kopplad till föreningslivet. Det är fortfarande oklart exakt vilken information som faktiskt exfiltrerats, och varken SportAdmin eller säkerhetsexperter har kunnat bekräfta exakt skadans omfattning. Men det som är helt klart är att situationen är allvarlig för alla föreningar och privatpersoner som använder plattformen.

Varför är detta viktigt?
Idrottsrörelsen är en stor del av svensk kultur, och många organisationer lutar sig på digitala tjänster för att hantera allt från betalningar till medlemslistor. I en tid när cyberhoten ökar och nya regelverk som Nis2 kräver mer robust säkerhet, blir det tydligt att även mindre aktörer måste ta informationssäkerhet på allvar. Stora företag och myndigheter har ofta mer resurser för säkerhetsarbete, men mindre föreningar riskerar att hamna på efterkälken – och därmed drabbas hårt när intrång väl sker.

Vad händer nu?
Hackarna påstår sig offentliggöra de stulna uppgifterna idag, 11 februari efter att ha skjutit på det några dagar, något som riskerar att slå hårt mot både privatpersoners integritet och föreningarnas förtroende. För SportAdmin och de föreningar som är beroende av tjänsten handlar det nu om att minimera skadorna. Det kan innebära allt från att tillfälligt stänga ner vissa funktioner och uppgradera säkerheten, till att informera medlemmar om vad som inträffat.

Hur kan man förbereda sig framöver?
Oavsett verksamhetens storlek finns det några viktiga lärdomar att dra:

1. Ha en tydlig beredskapsplan. Om en attack sker bör man redan i förväg veta vem som gör vad och hur snabbt verksamheten kan återupptas.
2. Informera medlemmar och kunder. Trovärdighet och tillit bygger på öppenhet. Om ni drabbas – berätta det, och försök vara så konkreta som möjligt om vilka åtgärder som vidtas.
3. Uppdatera säkerheten löpande. Små organisationer kan kännas som mindre attraktiva mål, men hackerattacker är ofta automatiserade. Varje lucka kan utnyttjas.
4. Följ regler och riktlinjer. Nis2 kommer att innebära ännu större ansvar för verksamheter som hanterar känslig information. Att uppfylla kraven är inte bara viktigt för att undvika böter, utan också för att skydda individer.

Sammanfattningsvis visar attacken mot SportAdmin hur sårbara vi kan vara, även när det handlar om helt vanliga föreningar och hobbyverksamheter. Tekniken underlättar vår vardag, men kräver också att vi är beredda när den missbrukas. Så oavsett om man är en liten ideell förening eller ett stort bolag är budskapet tydligt: det är hög tid att ta cybersäkerhet och beredskap på allvar.