En av årets mest omtalade dataläckor skedde egentligen redan 2017 – då kreditupplysningsföretaget Equifax råkade ut för ett gigantiskt dataintrång, där hackare lyckades komma över användardata från hela 148 miljoner kunder.

Nu i december kom USAs motsvarighet till Riksrevisionen, The US House Committee on Oversight and Government Reform, med sin haveriutredning om intrånget – som visar på stora brister i it- och datasäkerheten. Denna visar att det saknades tydliga linjer för ansvar och bemyndigande inom Equifax it-ledarskap, vilket resulterade i att arbetet med säkerhetspolicy hamnade mellan stolarna.

Den andra svagheten gällde ”Equifax aggressiva tillväxt och datainsamling som tillsammans resulterade i en komplex it-miljö. Equifax körde ett antal av sina mest kritiska applikationer på skräddarsydda äldre system. Både komplexiteten och åldern på Equifax it-system medförde stora utmaningar för it-säkerheten”.

Sådana har brister kan bli kostsamma. Till exempel dömde brittiska dataskyddsmyndigheter ut det maximala bötesbeloppet (innan GDPR) på 650 000 dollar.

Samma summa dömdes för övrigt Facebook att betala för den omstridda Cambridge Analytica-skandalen.


Premiär! Missa inte Branschkollen – nyhetsbrevet för den svenska it-branschen.
Teckna en gratis prenumeration här.


Equifax och Facebook kan dock söka viss tröst i att de dömdes innan GDPR trädde i kraft under 2018 – med den lagstiftningen går det att utdöma betydligt högre böter.

Men det här är inte de enda – eller ens det högsta böterna – som drabbat företag för att de slarvat med it- säkerheten under året.

Här är fem andra rejäla böteslappar som utdömdes 2018:

Uber: 148 miljoner dollar.

För två år hade taxiappen Uber ett intrång som innebar att användarkonton för 600 000 förare och 57 miljoner kunder, främst amerikanska, läckte ut. I stället för att rapportera incidenten betalade Uber 100 000 dollar till förövaren och mörkade händelsen. Men det här skulle stå företaget dyrt när det väl avslöjades i slutet av 2017. I september i år stod det klart att Uber tvingas betala 148 miljoner dollar i böter, ungefär 1,34 miljarder kronor.

Yahoo: 85 miljoner dollar.

Det här fallet går tillbaka till 2013 då Yahoo hade ett omfattande intrång som drabbade hela databasen bestående av tre miljarder konton. Dock rullades inte incidenten upp förrän tre år senare.

I april gav amerikanska finansinspektionen US Securities & Exchange Commission Yahoo böter på 35 miljoner dollar för att inte ha offentliggjort information om incidenten. Senare meddelade den nya ägaren Altaba att de därtill efter en grupptalan hade nått en förlikning om att betala 50 miljoner dollar. Det här innebär att den totala kostnaden för incidenten landade på 85 miljoner dollar, ungefär 765 miljoner kronor.

Tesco Bank. 21 miljoner dollar.

Den brittiska banken Tesco Bank fick en bot på 21 miljoner dollar av brittiska finansmyndigheter, efter att runt tre miljoner pund hade stulits från 9 000 kunders konton två år tidigare. Det beloppet motsvarar ungefär 190 miljoner kronor.

Anthem. 16 miljoner dollar.

Amerikanska försäkringsbolaget Anthem drabbades av ett intrång 2015 som påverkade 79 miljoner människor. Data som läckte ut innehöll namn, födelsedatum, försäkringsuppgifter och medicinska ID. Anthem dömdes 2018 till en bot på 16 miljoner dollar av amerikanska hälso- och socialdepartementet för att ha brutit mot lagen med det krångliga namnet Health Insurance Portability & Accountability Act (HIPAA), som innehåller regler om skydd av patient­journaler och andra person­data. Dessförinnan hade de tvingats betala 115 miljoner dollar efter en grupptalan mot bolaget. Allt som allt motsvarar det cirka 1,18 miljarder kronor.

Texas University MD Anderson Cancer Center. 4,3 miljoner dollar.

Ett cancerbehandlingscenter vid Texas University drabbades av tre dataintrång under 2012 och 2013. Vid ett tillfälle hade en okrypterad laptop stulits från en anställd och två okrypterade USB-minnen hade försvunnit. Data om över 33 000 individer kom i orätta händer. Centret fick böta 4,3 miljoner dollar, ungefär 39 miljoner kronor, för att ha brutit mot regler om skydd av patient­journaler och andra person­data.

Läs mer: 
Utredning: så gick det till när Equifax läckte 148 miljoner kunders data
Uber betalade hackare för att mörka dataintrång mot 57 miljoner kunder