NIF mottok 18. desember en henvendelse fra Nasjonal sikkerhetsmyndighet (NSM) vedrørende et varsel de mottok fra sikkerhetsmyndighetene i Irland. Varselet gjaldt et uttrekk med personopplysninger som var tilgjengelig uten tilgangskontroll via en IP-adresse hos en skyleverandør med servere plassert i Irland. Avviket ble oppdaget av sikkerhetsmyndighetene i Irland, som igjen meldte dette videre til nasjonal sikkerhetsmyndighet i Norge (NSM).
Basert på henvendelsen ble det avdekket at det var skjedd en feil i konfigureringen av en tjeneste i forbindelse med test av løsninger i forbindelse med flytting av database fra et fysisk servermiljø og opp i skyen. Feilen bestod i at en hadde konfigurert løsningen til å etablere en offentlige IP-adresse.
Feilen ble rettet uten ugrunnet opphold etter at vi mottok varselet og feilen ble meldt datatilsynet i henhold til gjeldende krav for melding av avvik.
Dataene som ble eksponert var et uttrekk fra Idrettens sentrale database og var eksponert via en IP-adresse. Dataene var ikke tilgjengelig via ordinært google søk og krever datakunnskaper eller kjennskap til IP-adressen og hvilken port den er tilgjengelig fra for å få tilgang. Dette betyr at den ikke er tilgjengelig via standard http- og https: -søk, for eksempel på Google. Løsningen som ble brukt ga ikke muligheter for nedlasting/kopiering av alle data, men ga muligheter for søk via et grensesnitt i den aktuelle skytjenesten.
Dataene som ble eksponert inneholdt 3,2 millioner oppføringer og inneholdt navn, alder, klubbtilhørighet og kontaktopplysninger i form av adresse, epost-adresser og mobiltelefonnummer. Dataene inneholdt ikke brukernavn og passord. Uttrekket er ikke eksponert for personer som i henhold til Folkeregisteret er markert med koder for beskyttelse av adresser og eller navn.
NIF beklager på det sterkeste feilen som oppsto, og vil gjøre hva vi kan for å hindre at tilsvarende skjer i fremtiden. Vi vurderer det som mindre sannsynlig at uvedkommende har fått tilgang til persondataene idet analyser i etterkant tyder på at det kun er søkene fra sikkerhetsmyndighetene for å bekrefte at dataene var legitime som har blitt foretatt.
NIF har i etterkant av hendelsen utbedret interne rutiner knyttet til flytting av data til skytjenester og har også aktivert ytterligere tekniske sikkerhetsløsninger mot skytjenester for å hindre uautorisert tilgang. Dette reduserer risikoen for tilsvarende hendelser i fremtiden.
Vi vil presisere at hendelsen ikke knytter seg til sårbarheter i NIFs digitale plattform og at vi mener at personopplysninger håndteres på en forsvarlig måte i Idrettens digitale tjenester.
Norges idrettsforbund og olympiske og paralympiske komité
Besøksadresse: Sognsveien 73, 0854 Oslo
Postadresse: Postboks 5000, 0840 Oslo
Telefon: +47 21029000
E-post: nif-post@idrettsforbundet.no
Org.nummer: 947 975 072
Fakturaadresse: 947975072@autoinvoice.no
