Summering av cyberattacken i SportAdmin

I januari utsattes SportAdmin för ett allvarligt cyberangrepp. En kriminell aktör tog sig in i våra system och kom över data som våra föreningar lagrat i verksamhetssyfte. Vi agerade direkt: systemet stängdes ner, en ny miljö byggdes upp, och externa experter kallades in för att utreda vad som hänt och säkra systemet.

Attacken anmäldes omgående till polisen, Integritetsskyddsmyndigheten (IMY) och Myndigheten för samhällsskydd och beredskap (MSB), samtidigt som vi gjorde vårt yttersta för att stötta föreningarna genom GDPR-processen kopplad till angreppet.

Vi har genomfört omfattande åtgärder:

• Ny produktionsmiljö med förstärkta skyddslager
  En helt ny och isolerad driftmiljö byggdes upp från grunden, med utökade säkerhetsnivåer i varje lager – från infrastruktur till applikation.
• Granskning och återaktivering av all funktionalitet
  Tjänsterna återstartades stegvis, först efter att varje enskild komponent analyserats och verifierats som säker och kompatibel med den nya miljön.
• Förbättrade rutiner för incidenthantering och utveckling
  Vi har stärkt våra interna processer – både hur vi agerar i skarpa lägen och hur vi arbetar förebyggande med säkerhet i vår produktutveckling.
• Extern granskning och säkerhetstester
  Externa experter har granskat vår kodbas och genomfört penetrationstester för att identifiera eventuella sårbarheter och bekräfta säkerhetsnivån.
• Förbättringar i funktioner som personkort och gallring
  Vi har uppdaterat delar av produkten för att det ska bli enklare för föreningarna att arbeta med registervård och hålla hög datakvalitet över tid.

Detta är endast början på det långsiktiga arbetet framåt kring data och säkerhet – hos oss, hos våra föreningar, och hos idrottsrörelsen i stort. Vi vidtar ett antal åtgärder framöver, bland annat:

• Mer stöd till föreningarna kring säker datahantering
  Genom vägledning, produktstöd och utbildning hjälper vi föreningarna att skapa tryggare rutiner för hantering av personuppgifter i föreningslivet.
• Lansering av nya funktioner – Säkerhetscentrum och MFA
  Vi utvecklar ett nytt Säkerhetscentrum i produkten, där föreningarna får bättre överblick över sin datasäkerhet. Multifaktorautentisering (MFA) kommer införas för administratörer och ledare.
• Fortsatt utbildning och starkare incidentberedskap
  Vi utökar den interna kompetensen inom områden som GDPR, datarutiner och IT-säkerhet med hela Limekoncernen i ryggen, och stärker vår förmåga att agera snabbt och samordnat vid framtida incidenter. En överblick av vårt säkerhetsarbete finns här (https://www.sportadmin.se/sakerhet/)
• Samverkan för hela idrottsrörelsen
  Tillsammans med Riksidrottsförbundet (RF) och andra aktörer arbetar vi för att höja kunskapen om dataskydd och registerkvalité i föreningslivet – en fråga som rör hela idrottsrörelsen.

Cyberattacker är ett växande hot mot hela samhället. Vi gör vårt yttersta, inte bara för att skydda vår plattform, utan för att bidra till en starkare, säkrare digital grund för hela den svenska idrottsrörelsen.

Vi vill slutligen rikta ett stort tack till alla föreningar och eldsjälar som varit med oss genom den här perioden. SportAdmin skapades för att göra det enklare för föreningar att få fler barn och unga i rörelse – det är vår gemensamma drivkraft framåt.

/Vännerna på SportAdmin