Lezárult az adatvédelmi hatóság vizsgálata a 2022 szeptemberében történt hekkertámadás ügyében, amikor is a közoktatásban használt a KRÉTA-t érte támadás: a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 110 millió forint adatvédelmi bírság megfizetésére kötelezte a fejlesztőcéget – írja szerdai cikkében a Telex.
Bár a hatóság honlapján a közzétett döntések között még nem szerepel a NAIH-1245-29/2023 számú határozat, ám a portál már megszerezte azt. Ebben a dokumentumban az áll, hogy a NAIH szerint a cég (amelyet ma már Educational Development Informatikai Zrt.-nek hívnak, de 2023 áprilisáig eKRÉTA Informatikai Zrt. volt a neve) két szempontból is törvényt sértett.
- Egyfelől nem biztosított kellő védelmet a rá bízott személyes adatoknak,
- másrészt, amikor ezek az adatok veszélybe kerültek, az incidenst nem jelentette be „indokolatlan késedelem nélkül” az adatkezelőknek, azaz az érintett iskoláknak.
A vizsgálat megállapította, hogy több mint húszezer ember személyes adatai egészen biztosan illetéktelen kezekbe kerültek, de a fejlesztőcég nem tudta bizonyítani, hogy nem történt meg ugyanez a KRÉTA összes, több millió felhasználójával. A Telex szerint a hatóság határozata lesújtó képet fest a fejlesztőcég biztonsági gyakorlatáról: így például megállapítják, hogy a cégnél eleve nem alkalmaztak alapvető és elvárható technológiai megoldásokat, majd az incidens megtörténte után nem kielégítő módon kezelték azt, és a sorozatos mulasztások vezettek az ügy eszkalálódásához.
Mint írják, kulcskérdés az ügy súlyának megítélésében, hogy mennyi és milyen adat szivároghatott ki. Az eljárás során a cég azzal védekezett, hogy mivel csak egy alkalmazottját hekkelték meg, a támadók magához a KRÉTA-hoz nem férhettek hozzá. A NAIH szerint azonban ezt a cég semmivel nem tudta bizonyítani, így nem is zárható ki.
A bírság nagyságrendjének érzékeltetésére a portál megemlíti, hogy az elmúlt években a rekord az a 250 millió forintos bírság volt, amelyet 2022 áprilisában kapott a Budapest Bank, amiért mesterséges intelligenciával elemezte az ügyfelei érzelmi állapotát a hangjuk alapján.
Bár a NAIH eljárása lezárult, a határozatot az érintett cég megtámadhatja a bíróságon.
Az ügyben a rendőrség is nyomozást indított, ami a Telex értesülései szerint még jelenleg is folyamatban van.
