Az adatvédelmi hatóság befejezte a 2022 őszén történt hekkertámadással kapcsolatos vizsgálatát.
A KRÉTA több millió felhasználójának adataihoz férhettek hozzá. Forrás: Pixabay
A támadás a közoktatás résztvevői által használt a KRÉTA rendszert érte. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 110 millió forint adatvédelmi bírság megfizetésére kötelezte a fejlesztőcéget – írta meg a Telex.
A portál megszerezte a NAIH-1245-29/2023 számú határozatát, amiben az áll, hogy a NAIH szerint a cég (amelyet ma már Educational Development Informatikai Zrt.-nek hívnak, de 2023 áprilisáig eKRÉTA Informatikai Zrt. volt a neve) két szempontból is törvényt sértett:
a rendszer
- nem biztosított kellő védelmet a rá bízott személyes adatoknak,
- az adatvédelmi incidenst nem jelentette be „indokolatlan késedelem nélkül” az adatkezelőknek, azaz az érintett iskoláknak.
A vizsgálat megállapította, hogy több mint húszezer ember személyes adatai egészen biztosan illetéktelen kezekbe kerültek, de a fejlesztőcég nem tudta bizonyítani, hogy nem történt meg ugyanez a KRÉTA összes, több millió felhasználójával.
A határozat szerint a cég eleve nem alkalmazott alapvető és elvárható technológiai megoldásokat, majd az incidenst sem kielégítő módon kezelték. A sorozatos mulasztások pedig az ügy eszkalálódásához vezettek.
Az ügy súlyának megítélésében kulcskérdés, hogy hány és milyen adat szivároghatott ki. A cég azzal védekezett, hogy mivel csak egy alkalmazottját hekkelték meg, a támadók magához a KRÉTA-hoz nem férhettek hozzá. A NAIH szerint ezt a cég semmivel nem tudta bizonyítani, így nem is zárható ki.
A elmúlt években a rekord az a 250 millió forintos bírság volt, amit 2022 áprilisában kapott a Budapest Bank, amiért mesterséges intelligenciával elemezte az ügyfelei érzelmi állapotát a hangjuk alapján. A NAIH határozatát az érintett cég megtámadhatja a bíróságon.
Az ügyben indult rendőrségi nyomozás a Telex értesülése szerint még tart. (Propeller)
