:

Szerző: Dömös Zsuzsanna

2024. február 21. 11:40

110 millió forintos bírságot kapott a KRÉTA fejlesztője

Az adatvédelmi hatóság szerint a KRÉTA rendszert fejlesztő cég két szempontból is törvényt sértett, így éves árbevételének 1,3 százalékát kapja büntetésül.

2022. novemberben jutott a Telex tudomására, hogy szeptemberben adathalász-támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t, melynek során a támadó jogosulatlanul fért hozzá a közoktatás minden intézményében kötelezően használt adminisztrációs rendszer adataihoz. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által indított vizsgálat tavaly decemberben zárult le, de eddig nem volt ismert az eredménye. A KRÉTA-ügyben a rendőrség is indított nyomozást, ami még folyamatban van.

A Telex birtokába jutott, döntésről szóló határozat (NAIH-1245-29/2023) egyelőre még nem található meg a hatóság honlapján a közzétett döntések közt. A dokumentumból kiderül, hogy a korábban eKRÉTA Informatikai Zrt.-ként ismert, mára Educational Development Informatikai Zrt.-nek hívott fejlesztőcégre kiszabott adatvédelmi bírság mértéke végül 110 millió forint lett.

A cég két szempontból is törvényt sértett: egyrészt nem biztosított kellő védelmet az általa kezelt személyes adatoknak, másrészt az incidenst nem jelentette be „indokolatlan késedelem nélkül” az adatkezelőknek, azaz az érintett iskoláknak. A hatóság megállapítása szerint  „több mint húszezer ember személyes adatai egészen biztosan illetéktelen kezekbe kerültek, de a fejlesztőcég nem tudta bizonyítani, hogy nem történt meg ugyanez a KRÉTA összes, több millió felhasználójával.”

binary-number-system-free-photo

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A hatóság az általános adatvédelmi rendelet (GDPR) alapján az éves árbevétel legfeljebb 2 százaléka (vagy tízmillió euró) bírságplafont meghatározó kategóriába sorolta a fejlesztőcéget a megsértett rendelkezések alapján. A cég árbevétele 2022-ben 8,43 milliárd forint volt, a 110 milliós bírság ennek kerekítve 1,3 százaléka. Az eddigi rekordbírság 250 millió forint, amit 2022 áprilisában kapott a Budapest Bank, amiért mesterséges intelligenciával elemezte az ügyfelei érzelmi állapotát a hangjuk alapján, előtte 2020-ban a Diginek repült a 100 millió forint, mert nem vigyázott kellően ügyfelei adataira.

A hatóság kérdéseire adott válaszában a cég részletezte a biztosan érintett személyes adatokat:

12 szakképzési centrumhoz kapcsolódóan összesen 8574 tanuló 290 ezer adatáról, 11 082 gondviselő 44 ezer adatáról és 1205 alkalmazott 35 ezer adatáról van szó. Emellett a fejlesztőcég alkalmazottainak bizonyos adatai és a belső kommunikációjuk egy része is a támadókhoz kerülhetett. Összesen tehát több mint húszezer ember több mint 370 ezer adata egészen biztosan illetéktelen kezekbe került – írja a Telex.

Emellett a KRÉTA forráskódjának egy részlete is kiszivárgott, három modulnak került ki a kódja, ami a teljes forráskód 20 százalékát jelenti. A hatóság szerint már az is súlyos adatbiztonsági hiba, hogy egy alkalmazott, aki a KRÉTA összes adatához hozzáférhet, a céges jelszavait a Google-nél tárolhatta, ráadásul a meghekkelése után sem léptették ki az összes Google-munkamenetből, azaz a támadóknál is megnyitva maradhatott a feltört fiókja. A NAIH szerint a cég válaszintézkedései szinte kimerültek abban, hogy az adott felhasználói fiókot törölte, és az érintett felhasználó jogosultságait felfüggesztette.

A NAIH szerint megakadályozható lett volna az egész incidens, ha a cég belső rendszereihez, de legalább azokhoz, amelyekben személyes adatok is szerepelnek, „már a támadás időpontjában is csak kétfaktoros hitelesítést követően lehetett volna hozzáférni”. A többfaktoros hitelesítést azonban csak jóval az incidens után, november 10-én vezették be.

A rendszer feltörésekor a felek sok hibát halmoztak fel mind kommunikációban, mind a helyzet technikai kezelése közben, amit korábban vendégszerzőnk, Módly Márk, a Hardcore IT Solutions szakértője járt körbe alaposabban ebben a cikkben. A KRÉTA esete remélhetőleg rávilágít a teljes szoftverfejlesztési folyamat és számítógépes világ egyik égető problémájára. A jó hír, hogy az összes hibára van megoldás, és ezek beépíthetőek a különböző folyamatokba, a cégek életébe, a fejlesztők tudásába.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról