İsveç’te spor kulüplerinin yaygın olarak kullandığı Sportadmin uygulamasına yönelik siber saldırının ardından şirket, GDPR ihlali gerekçesiyle 6 milyon kron para cezasına çarptırıldı.
İsveç’te faaliyet gösteren spor kulübü yönetim uygulaması Sportadmin, Ocak 2025’te yaşanan hacker saldırısı nedeniyle 6 milyon İsveç kronu tutarında idari para cezası ödeyecek. Karar, Integritetsskyddsmyndigheten (IMY) tarafından açıklandı.
IMY’nin yürüttüğü incelemeye göre, Sportadmin’in kişisel verilerin korunmasına yönelik güvenlik önlemleri yetersiz bulundu. Bu durumun, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) 32. maddesinin ihlali anlamına geldiği belirtildi.
2 milyondan fazla kişinin verisi sızdırıldı
Ocak 2025’te gerçekleşen saldırıda, 2,1 milyondan fazla kişiye ait hassas verilerin ele geçirildiği tespit edildi. Sızdırılan bilgilerin büyük bölümünün çocuklar ve gençlere ait olduğu, ayrıca gizli tutulması gereken korumalı kişisel verilerin de açığa çıktığı bildirildi.
Sportadmin uygulaması, İsveç genelinde çok sayıda spor kulübü tarafından antrenman çağrıları, üye iletişim bilgileri ve organizasyonel süreçler için kullanılıyor. Hacker grubunun fidye talebinin karşılanmaması üzerine, ele geçirilen tüm verilerin darknet üzerinden yayımlandığı kaydedildi.
“Bilinen riskler yeterince ele alınmadı”
IMY’nin denetim raporunda, saldırıdan önce şirkette hem teknik hem de organizasyonel düzeyde ciddi güvenlik açıklarının bulunduğu ifade edildi. Rapora göre Sportadmin, sistemdeki zayıflıkların farkında olmasına rağmen bu sorunları gidermek için yeterli önlem almadı. Ayrıca olası siber saldırıları ve güvenlik ihlallerini tespit etmeye yönelik etkili prosedürlerin de bulunmadığı belirtildi.
IMY Genel Direktörü Eric Leijonram, konuya ilişkin yaptığı açıklamada şu ifadeleri kullandı:
“BT saldırıları ve veri sızıntıları tamamen engellenemeyebilir. Ancak şirketler, işledikleri kişisel verilerin niteliğine uygun bir güvenlik seviyesi sağlamakla yükümlüdür. Sportadmin bunu yapmadı ve bilinen riskleri yönetme konusunda ciddi bir pasiflik sergiledi.”
Bu değerlendirmeler doğrultusunda IMY, Sportadmin’in GDPR’yi ihlal ettiği sonucuna vararak şirkete 6 milyon kron tutarında yaptırım uygulanmasına karar verdi.
