IMY granskar Sportadmin efter hacket

Fast vilket brott gör de sig skyldiga till? Är det olagligt att inte ha marknadens bästa datasäkerhet? Jag letade runt så mycke jag kunde bland "internetlagar" och hittade mest amerikanska diton o några på EU-nivå. Men för privatpersoner kan det sammanfattas med följande:

"datainsamlare skyddar personlig information och skapar ändamålsenligt dimensionerade datasäkerhetssystem"

Med andra ord, en bank behöver rigorös säkerhete och procedurer runtomkring. En hemsida för sportintresserade småföreningar? Inte lika mycket.

En gigantisk gråzon där "rätt/fel" inte är utrett än. Antar att det är därför tillsynsärendet pågår för att kanske få lite klarhet i vad som krävs när man har en server online.

Ja det är GDPR brott vilket då kan bli vite.

En hel del av webblösningar som används inom ideella föreningar och bokningssystem för frisörer som är utvecklade av hemmapulare som kanske inte alltid har den kompetensen som krävs för att bygga säkra system. Jag har själv sett så flera skräckexempel på system där personuppgifter och betalningstransaktioner kan hackas på några minuter. Mins när jag själv lyckades stänga ner servern till ett nytt komersiellt bokningssystem på under 30 sekunder, med företagets godkännande ska kanske tilläggas. Har slutat att förvånas över vilken inkompetens som finns inom IT.

Fast bara för att man läcker data så har man inte brutit mot gdpr. Det som sägs där är att OM det läcker så måste man meddela berörda parter. Och som jag nämnde tidigare ha en strategisk tanke med säkerheten.

Du kan fortfarande få vite om du anmäler beroende på varför det läckte och vad.

I ett nyhetsinslag på SVT så hade någon varit i kontakt med kvinnorätts-organisationer och tydligen är det kvinnor som har skyddad identitet (pga vidriga ex-partners) som nu blivit röjda och dessa kvinnor tog åtgärder och flyttade till ny adress redan när läckan blev känd första gången. Det är så himla tråkigt. Flera nu som därmed fick bryta upp sina liv och flytta iväg asap ...

Ok, nu måste jag leka jävulens advokat här. HUR kan sportadmin veta att skyddade personer använder sina rätta namn istället för ett fejkat och en postbox via skatteverket som adress? Är helt orimligt att alla som skapar en login-funktion (typ alla existerande sidor idag) ska ha så pass hög säkerhet att de skyddar hemliga identiteter. Givetvis ligger ansvaret på användaren.

Om man hade haft en hemlig identitet så hade iaf jag inte registrerat mig på diverse idrottsföreningar. Lite självbevarelsedrift är sunt.

Här kan jag faktiskt hålla med dig delvis. Jag förstår inte varför de med skyddad identitet inte har ett mer praktiskt skydd där det inte blir upp till dem att försöka välja vilka sidor de litar på och ej. Men ett lätt motexempel jag fick lära mig nyss är t.ex. poliser och politiker som inte nödvändigtvis har, vill ha eller kan ha en hemlig identitet men där hemadress och telefonnummer (och detsamma för deras barn!) är dåligt om det blir lättillgängligt.

Men det är ju inte enbart dessa personer som drabbats av läckan. Det verkar ju exempelvis handla om intern information som att en ledare kan skrivit att utövaren har någon typ av svårighet eller diagnos som kan vara relevant information att spara i tjänsten men olämpligt att det blir allmänt känt.

Eller bara det att mängder av validerade kontaktuppgiter läcks. Det är enkelt att göra bra phishing om du kan maila alla i Björneborgs IK med något som är anpassat utifrån den klubb du vet att de är medlemmar.

Betala årsavgiften kontant som en annan gjorde förr i tiden?
Det gick också utmärkt förr att ha korta informationsmöten någon gång i månaden medans ungen tränade... eller helt enkelt skicka med ungen ett A4 där relevant info finns för kommande kvartal.
Detta uråldriga sätt fungerade förvånansvärt bra utan krav på uppkoppling.

Dom jävlarna hade ju kvar personuppgifter på barn och föräldrar som lämnat klubben eller sporten ifråga i 10 års tid. Dom verkar aldrig ha gallrat ut gamla medlemmar utan bara byggt på.