110 millió forintos bírságot kapott a KRÉTA fejlesztője
Az adatvédelmi hatóság szerint a KRÉTA rendszert fejlesztő cég két szempontból is törvényt sértett, így éves árbevételének 1,3 százalékát kapja büntetésül.
2022. novemberben jutott a Telex tudomására, hogy szeptemberben adathalász-támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t, melynek során a támadó jogosulatlanul fért hozzá a közoktatás minden intézményében kötelezően használt adminisztrációs rendszer adataihoz. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által indított vizsgálat tavaly decemberben zárult le, de eddig nem volt ismert az eredménye. A KRÉTA-ügyben a rendőrség is indított nyomozást, ami még folyamatban van.
A Telex birtokába jutott, döntésről szóló határozat (NAIH-1245-29/2023) egyelőre még nem található meg a hatóság honlapján a közzétett döntések közt. A dokumentumból kiderül, hogy a korábban eKRÉTA Informatikai Zrt.-ként ismert, mára Educational Development Informatikai Zrt.-nek hívott fejlesztőcégre kiszabott adatvédelmi bírság mértéke végül 110 millió forint lett.
A cég két szempontból is törvényt sértett: egyrészt nem biztosított kellő védelmet az általa kezelt személyes adatoknak, másrészt az incidenst nem jelentette be „indokolatlan késedelem nélkül” az adatkezelőknek, azaz az érintett iskoláknak. A hatóság megállapítása szerint „több mint húszezer ember személyes adatai egészen biztosan illetéktelen kezekbe kerültek, de a fejlesztőcég nem tudta bizonyítani, hogy nem történt meg ugyanez a KRÉTA összes, több millió felhasználójával.”
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A hatóság az általános adatvédelmi rendelet (GDPR) alapján az éves árbevétel legfeljebb 2 százaléka (vagy tízmillió euró) bírságplafont meghatározó kategóriába sorolta a fejlesztőcéget a megsértett rendelkezések alapján. A cég árbevétele 2022-ben 8,43 milliárd forint volt, a 110 milliós bírság ennek kerekítve 1,3 százaléka. Az eddigi rekordbírság 250 millió forint, amit 2022 áprilisában kapott a Budapest Bank, amiért mesterséges intelligenciával elemezte az ügyfelei érzelmi állapotát a hangjuk alapján, előtte 2020-ban a Diginek repült a 100 millió forint, mert nem vigyázott kellően ügyfelei adataira.
A hatóság kérdéseire adott válaszában a cég részletezte a biztosan érintett személyes adatokat:
12 szakképzési centrumhoz kapcsolódóan összesen 8574 tanuló 290 ezer adatáról, 11 082 gondviselő 44 ezer adatáról és 1205 alkalmazott 35 ezer adatáról van szó. Emellett a fejlesztőcég alkalmazottainak bizonyos adatai és a belső kommunikációjuk egy része is a támadókhoz kerülhetett. Összesen tehát több mint húszezer ember több mint 370 ezer adata egészen biztosan illetéktelen kezekbe került – írja a Telex.
Emellett a KRÉTA forráskódjának egy részlete is kiszivárgott, három modulnak került ki a kódja, ami a teljes forráskód 20 százalékát jelenti. A hatóság szerint már az is súlyos adatbiztonsági hiba, hogy egy alkalmazott, aki a KRÉTA összes adatához hozzáférhet, a céges jelszavait a Google-nél tárolhatta, ráadásul a meghekkelése után sem léptették ki az összes Google-munkamenetből, azaz a támadóknál is megnyitva maradhatott a feltört fiókja. A NAIH szerint a cég válaszintézkedései szinte kimerültek abban, hogy az adott felhasználói fiókot törölte, és az érintett felhasználó jogosultságait felfüggesztette.
A NAIH szerint megakadályozható lett volna az egész incidens, ha a cég belső rendszereihez, de legalább azokhoz, amelyekben személyes adatok is szerepelnek, „már a támadás időpontjában is csak kétfaktoros hitelesítést követően lehetett volna hozzáférni”. A többfaktoros hitelesítést azonban csak jóval az incidens után, november 10-én vezették be.
A rendszer feltörésekor a felek sok hibát halmoztak fel mind kommunikációban, mind a helyzet technikai kezelése közben, amit korábban vendégszerzőnk, Módly Márk, a Hardcore IT Solutions szakértője járt körbe alaposabban ebben a cikkben. A KRÉTA esete remélhetőleg rávilágít a teljes szoftverfejlesztési folyamat és számítógépes világ egyik égető problémájára. A jó hír, hogy az összes hibára van megoldás, és ezek beépíthetőek a különböző folyamatokba, a cégek életébe, a fejlesztők tudásába.