Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) az Educational Development Informatikai Zrt. (2023. április 20. napját megelőzően: eKRÉTA Informatikai Zrt.) (a továbbiakban: Kötelezett) adatkezelésével kapcsolatban indult vizsgálata eredményeképp megállapította hogy a Kötelezett nem tett eleget az általános adatvédelmi rendelet 32. cikk (1) bekezdés b) pontjában, valamint a 32. cikk (2) bekezdésében foglalt kötelezettségének azzal, hogy az informatikai fejlesztői környezetének adatbiztonsági beállításai során nem vette kellőképpen figyelembe az adatkezelésből eredő olyan kockázatokat, amelyek a személyes adatok jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek, és emiatt a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét nem garantálta, továbbá megállapította hogy a Kötelezett nem tett eleget az általános adatvédelmi rendelet 33. cikk (2) bekezdésének azzal, hogy az adatvédelmi incidens nem került lejelentésre indokolatlan késedelem nélkül az adatkezelőknek. Ezen jogsértések következményeként, a Hatóság 110.000.000 forint adatvédelmi bírság megfizetésére kötelezte a Kötelezettet.
Tényállás
A Hatóság 2022. november 7. napján szerzett tudomást a Telex nevű internetes hírportálon megjelent cikk alapján az eKRÉTA Informatikai Zrt.-t ért informatikai támadásról és adatvédelmi incidensről, majd ezt követően a hírekben foglaltak miatt, és mivel ezek megjelenését megelőzően nem kapott az Ügyféltől adatvédelmi incidensbejelentést, hatósági ellenőrzést indított.
„Helló, eKRÉTA! Sajnálatos módon a »profi« rendszereiteket sikeresen feltörtük, rengeteg adatot megszereztünk, köztük: forráskódok, adatbázisok, és még sorolhatnám! […] Mellesleg köszönjük a nagyon fontos, informatív Slack-beszélgetéseket, az újságíróknak biztos tetszeni fog, hogy a rendőröknek hamisítotok, stb” ez az üzenet a KRÉTA közoktatási adminisztrációs rendszert fejlesztő cég, az eKRÉTA Zrt. egy belső kommunikációs felületén köszöntötte a dolgozókat, miután a céget adathalász támadás érte: egy átverős emailben az egyik projektvezető rákattintott egy fertőzött linkre, és a támadók hozzáférést szereztek a rendszereikhez, többek között a KRÉTA által kezelt adatokhoz, illetve a fejlesztői adatbázisokhoz és kódokhoz is.
Az Ügyfél 2022. november 7. napján, a támadónak az Ügyfél belső kommunikációra használt csatornáján közzétett bejegyzése által szerzett tudomást a támadásról, a támadó jelenlétéről. Az incidens kb. 1.300.000 darab személyes adatot érinthetett, melyek kb. 100.000-150.000 fő felhasználóhoz (akik lehetnek felhasználói jogosultsággal rendelkező alkalmazottak, diákok, szülők) tartoznak.
Döntés
A Hatóság az eljárás során kiemelten vizsgálta, hogy a Kötelezett mennyiben tett eleget az incidens bekövetkezésével közvetlenül összefüggő adatbiztonsági követelményeknek a saját fejlesztői környezete, rendszere, és a KRÉTA rendszer éles és teszt adatbázisainak onnan való elérése tekintetében. Kulcsfontosságú volt a Kötelezett által alkalmazott adatbiztonsági beállítások, és a Kötelezett incidenskezelési intézkedéseinek a Hatóság általi értékelése során, hogy a KRÉTA rendszer éles és teszt adatbázisai, melyekhez az érintett felhasználónak is volt hozzáférése, az összes tanuló, pedagógus, gondviselő személyes adatait tartalmazzák, ezek között ráadásul van számos olyan, melyek nyilvánosságra kerülése az érintettet különösen hátrányosan érintheti, pl. küzd-e a tanuló beilleszkedési, tanulási, magatartási, nevelési nehézséggel; sajátos nevelési igényű-e; államilag gondozott-e; részesül-e szociális támogatásban vagy rendszeres gyermekvédelmi kedvezményben. Bár nem kötelező elem, de akár a tanuló vallása is megjelenhet a KRÉTA rendszerben. A KRÉTA rendszerben ráadásul a személyes adatok nagyszámú érintettre kiterjedően és nagy mennyiségben kerülnek tárolásra: kb. 225 ezer alkalmazott, másfélmillió diák és 1.87 millió gondviselő személyes adata található meg a rendszerben. Ez a személyes adatok mennyiségét illetően összesen az alkalmazottak esetében ~6.5 millió, diákok esetében ~47 millió, gondviselők esetében pedig ~7.5 millió személyes adatot jelent.
Ahogy a Kötelezett megbizonyosodott a támadásról 2022 szeptemberében, azonnal lecserélte az érintett felhasználó gépét, és inaktiválta mind az eredeti felhasználói fiókját, mind pedig a különféle jogosultságait, majd részére új felhasználói fiókot hozott létre. Ugyanakkor az érintett felhasználó mind a régi, mind az új felhasználójához tartozó belépési adatokat (kevés kivétellel) a Google egyik szolgáltatásaként nyújtott jelszókezelőbe szinkronizálta. A Google jelszókezelő szolgáltatása úgy működik, hogy a használója a saját Google fiókjába mentheti a más weboldalakon elérhető alkalmazások, rendszerek eléréséhez szükséges felhasználói neveket és jelszavakat. Ha a jelszavait ilyen módon tároló felhasználó Google fiókjához illetéktelenek férnek hozzá, akkor az ott tárolt valamennyi felhasználói nevet és jelszót képesek megismerni. A jelszókezelő által biztosított szinkronizálás révén, ha valamely más weboldalhoz, rendszerhez a felhasználó a már mentetthez képest eltérő, új jelszót ad meg, akkor a Google jelszókezelője ezt képes eltárolni, vagyis a régi jelszót felülírni az újjal. A támadók az érintett felhasználó Google fiókját érhették el továbbra is, egy nyitva maradt munkamenet révén, és így szerezték meg a Kötelezett valamennyi olyan rendszeréhez tartozó jelszavakat, amelyeket ugyancsak a jelszókezelőben tárolt. A Google jelszókezelőjének alkalmazása ilyenformán a KRÉTA rendszerben tárolt adatok biztonságára nézve egy kezeletlen kockázatot jelentett. A támadók az érintett felhasználó Google fiókjába már azt megelőzően beléphettek, hogy a KRÉTA rendszerhez új felhasználói fiókot és jelszót kapott, és ott ezután is bent maradhattak, köszönhetően annak, hogy a Google szervere és a támadók számítógépe között folyamatosan nyitott volt a kapcsolat (munkamenet). Ebből következően önmagában a KRÉTA rendszerhez új felhasználói fiók létrehozása ez esetben nem lehetett elégséges lépés, mivel annak jelszavát az érintett felhasználó általi első sikeres belépést követően a Google jelszókezelője szinkronizálta. A Hatóság álláspontja szerint egy ilyen jellegű tevékenységet ellátó munkatárs esetén mind a jelszavak Google szinkronizációja, mind az a tény, hogy a session nem kerül automatikusan kiléptetésre, súlyos adatbiztonsági hibának minősül, ezek elfogadhatatlan mértékben növelték a rendszer kitettségét, hiszen léteznek olyan, csak az adott számítógépre telepített jelszókezelő szoftverek, amelyekben – mint egy széfben – biztonságosan tárolhatóak a felhasználók jelszavai.
A tény, hogy az ügy tárgyát képező incidens bekövetkezett, és annak súlyosságáról a Kötelezett nem is maga szerzett tudomást, hanem csak a támadó üzenete által, több, mint másfél hónappal a biztonság sérülését követően, lényeges bizonyítéka annak, hogy a Kötelezettnél az általános adatvédelmi rendelet adatbiztonsági előírásai nem teljesültek megfelelően. 2022 szeptemberben közepén észlelt adathalász támadás kivizsgálása során a Hatóság álláspontja szerint a Kötelezett nem folytatott az érintett munkavállalóhoz kapcsolódó információbiztonsági kockázatok teljeskörű felmérése érdekében kellő mélységű vizsgálatot, válaszintézkedései szinte kimerültek abban, hogy az adott felhasználói fiókot törölte, és az érintett felhasználó jogosultságait felfüggesztette.
A Hatóság határozottan nem osztja a Kötelezettnek azt az álláspontját, miszerint az incidens csupán egy munkatársának gondatlanságából fakadt, az incidens ezért nem vezethető visszakomoly adatbiztonsági problémára. Bár az incidens közvetlen kiváltó oka valóban munkavállalóihiba volt, megfelelő adatbiztonsági intézkedések mellett ez semmiképpen nem járt volna az ügyben ismertetett következményekkel. A Kötelezett saját álláspontjának is ellentmond azzal, hogy az incidensről való 2022 novemberi tudomásszerzést követően jelentős számú (közel húsz!), rendszerszintű változásokat is tartalmazó, alapvető fontosságú és a technológia állása szerint is elvárható intézkedést vezetett be, holott amennyiben valóban úgy gondolná, hogy egy munkavállói figyelmetlenség volt pusztán az incidens kiváltója, erre nem lett volna oka. Bár a felhasználói tudatosságnövelés valóban elvárható egy olyan szintű cégtől, mint amilyen a Kötelezett, hiszen egy vállalkozás sem építhet arra, hogy a munkavállalója ’úgysem fog hibázni’, ez csak a potenciális adatbiztonsági intézkedéseknek egy kicsi, bár fontos szeletét képezi, szükségesek emellett az egyéb adatbiztonsági intézkedések is, mint ahogyan ezt a Kötelezett által utólag megtett intézkedések is demonstrálják.
A fentiekre tekintettel a Hatóság megállapítja, hogy a Kötelezett nem tett eleget az általános adatvédelmi rendelet 32. cikk (1) bekezdés b) pontjában, valamint a 32. cikk (2) bekezdésében foglalt kötelezettségének azáltal, hogy az informatikai fejlesztői környezetének adatbiztonsági beállításai során nem vette kellőképpen figyelembe az adatkezelésből eredő olyan kockázatokat, amelyek a személyes adatok jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek, és emiatt a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét nem garantálta.
Az alkalmazott szankció és indoklása
Hatóság súlyosító körülményként vette figyelembe a következőket:
Az incidenssel érintett adatok kezelése az adatok mennyiségéből és jellegéből fakadóan kiemelkedően magas kockázattal jár, ezért a Kötelezettnek fokozott elővigyázatossággal kellett volna eljárnia a kockázat mértékének megfelelő szintű adatbiztonság garantálása érdekében. A Kötelezett ennek ellenére a nagyszámú érintettre kiterjedő, nagy mennyiségű személyes adat kezelésére használt rendszere folyamatos bizalmas jellegének biztosítása érdekében nem hozott az incidenst megelőzően megfelelő intézkedéseket.
A Hatóság a feltárt tényállás alapján megállapította, hogy a Kötelezett felróható, gondatlan magatartása vezetett a fenti jogsértésekhez, a Kötelezettnek az általa fejlesztett rendszer ismertsége és a benne tárolt személyes adatok mennyisége miatt is számítania kellett külső támadásokra, az általános adatvédelmi rendelet 32. cikkében említett technikai és szervezési intézkedések kötelezettsége pedig az informatikai támadások sikerességének elkerülés érdekében is került meghatározásra. Az a tény azonban, hogy intézkedéseket csak az incidens bekövetkezése után vezette be a Kötelezett, arra utal, hogy a Kötelezett könnyelműen bízott a támadások elmaradásában, és egy alapvetően magas kockázatú adatkezelés tekintetében a jogosulatlan hozzáférések kiküszöbölésére és kimutatására alkalmatlan, a kockázatokkal aránytalan adatbiztonsági intézkedéseket alkalmazott. Az személyes adatok kezelésére való biztonsági felkészültség a Kötelezettől, mint profit alapú vállalkozástól fokozottan elvárható.
Arra, hogy a támadó mit kezd a támadás során megszerzett személyes adatokkal, nincs további ráhatása a Kötelezettnek, ez a körülmény pedig a személyes adatok további sorsával kapcsolatban nagy mértékű bizonytalanságra ad okot.
A Hatóság az adatvédelmi incidensről nem a Kötelezett által, hanem a médiában megjelent hírek alapján szerzett tudomást.
A Hatóság enyhítő körülményként vette figyelembe, hogy a Kötelezettel szemben korábban nem állapított meg hasonló jogsértést a személyes adatok kezelésével kapcsolatban, illetve vele szemben korábban – ugyanebben a tárgyban – nem rendelte el az általános adatvédelmi rendelet 58. cikk (2) bekezdésében említett intézkedések valamelyikét.
dr. Miklós Péter adatvédelmi ügyvéd
Bódi Bálint jogi munkatárs
Amennyiben adatvédelmi ügyvéd, adatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu
