Több mint 20 ezer ember adatai szivárogtak ki a KRÉTA-programból.
A közoktatásban használt Köznevelési Regisztrációs és Tanulmányi Alaprendszer (KRÉTA) fejlesztője 110 millió forintos bírságot kapott, miután több tízezer ember személyes adatai szivárogtak ki.
Amint arról beszámoltunk, 2022 szeptemberében hekkertámadás érte a minden iskolában használt közoktatási rendszert. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) két hónappal később indított vizsgálatot az ügyben.
Az incidenssel kapcsolatban egészen váratlan bejelentést tett Pintér Sándor belügyminiszter 2022 decemberében.
Elárulta, hogy gyerekek álltak a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt-t érő adathalász-támadás mögött.
A NAIH a vizsgálat során megállapította, hogy a cég – amelyet ma Educational Development Informatikai Zrt-nek hívnak, de 2023 áprilisáig eKRÉTA Informatikai Zrt. volt a neve – két szempontból is törvényt sértett. Egyrészt
nem biztosított kellő védelmet a rá bízott személyes adatoknak.
Másrészt amikor ezek az adatok veszélybe kerültek, az incidenst nem jelentette be „indokolatlan késedelem nélkül” az adatkezelőknek, azaz az érintett iskoláknak.
Súlyos hiányosságokat tártak fel a KRÉTA rendszerében
A NAIH vizsgálatából kiderült, hogy több mint húszezer ember személyes adatai egészen biztosan illetéktelen kezekbe kerültek. A fejlesztőcég azonban nem tudta bizonyítani, hogy nem történt meg ugyanez a KRÉTA összes, több millió felhasználójával.
A hatóság szerint a cégnek „az általa fejlesztett rendszer ismertsége és a benne tárolt személyes adatok mennyisége miatt is számítania kellett külső támadásokra”. Az, hogy csak az incidens után vezette be az elvárható biztonsági intézkedéseket, arra utal, hogy
„könnyelműen bízott a támadások elmaradásában, és (…) a jogosulatlan hozzáférések kiküszöbölésére és kimutatására alkalmatlan,
a kockázatokkal aránytalan adatbiztonsági intézkedéseket alkalmazott”.
(telex.hu nyomán)
