62 adatvédelmi bejelentés érkezett a KRÉTA-ügy miatt a hatósághoz

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) összesen 62 bejelentést kapott a KRÉTA közoktatási rendszert érintő hekkertámadással kapcsolatban – derül ki abból a táblázatból, amelyet Hajnal Miklós közérdekű adatigénylésére válaszul küldött meg a NAIH, és amelyet a Momentum országgyűlési képviselője a Telexnek is továbbított.

November 7-én írta meg a Telex, hogy még szeptemberben meghekkelték a közoktatás minden intézményében kötelezően használt állami adminisztrációs rendszer, a KRÉTA fejlesztőjét. November 9-i cikkünkből kiderült az is, hogy a történteket a cég megpróbálta elhallgatni. Bár Gulyás Gergely Miniszterelnökséget vezető miniszter az aznapi kormányinfón a Telex kérdésére elismerte, hogy a kormány már szeptemberben, „a történtek után néhány nappal” értesült a sikeres támadásról, a nyilvánosság és a NAIH is csak novemberben szerzett róla tudomást.

Ez magyarázza, hogy a hatóság összesítésében szereplő adatvédelmi bejelentések közel fele november 9-én érkezett, de egy kivételével mind három napon belül futott be (a kivétel sem sokkal később, 15-én), azaz az adatkezelők csak a Telex (második, nagyobb figyelmet kapott) cikke után fordultak a hatósághoz a szeptemberben történt incidens miatt.

Az összesítésben a bejelentők nincsenek nevesítve, annyi derül ki róluk, hogy 61-en adatkezelők, a maradék egy pedig adatfeldolgozó.

Azt, hogy ez pontosan mit jelent, nem is olyan egyszerű meghatározni. A KRÉTA adatkezelési tájékoztatója szerint az adatkezelő „minden esetben az intézmény” (bár ugyanitt később azt írják, „jellemzően az oktatási, nevelési feladatot ellátó intézmény”), ez alapján maguk az iskolák lehetnek az adatkezelők. Az Oktatási Hivatal összesítése szerint a 2021/2022-es tanévben 5812 köznevelési intézményt tartottak számon, ebből közel 4400 állami vagy önkormányzati fenntartású – ehhez mérten a 61 adatkezelői bejelentés elenyésző szám lenne.

Az ügy utórezgéseit bemutató november 11-i cikkünkben azonban idéztünk egy hozzánk eljutott levélből, amelyben a Belső-Pesti Tankerületi Központ a hozzá tartozó iskolák igazgatóinak küldött arról, hogy „a Tankerületi Központ potenciális adatvédelmi incidensként kezeli a KRÉTA rendszer elleni lehetséges támadást, melyet […] az adatkezelő jelent a Hatóságnak”, ami alapján az iskolákat fenntartó tankerületi központok lehetnek az adatkezelők. Az ezeket összefogó Klebelsberg Központ (KK) honlapja szerint 60 tankerületi központ van, ez a szám már nagyjából egybe is vágna az adatkezelői bejelentésekével, a szakiskolákat fenntartó Nemzeti Szakképzési és Felnőttképzési Hivatal (NSZFH) honlapja szerint azonban ehhez még hozzájön 41 szakképzési centrum is.

Adná magát, hogy az egy szem adatfeldolgozói bejelentést maga az eKRÉTA Informatikai Zrt. jegyzi, és ez valószínűleg így is lehet, de a KRÉTA adatkezelési tájékoztatója annyiban ezt is bonyolítja, hogy adatfeldolgozóként a KK-t és az NSZFH-t jelöli meg, majd egy későbbi ponton jelzi, hogy az ő megbízásukból a rendszer karbantartási, rendszerfelügyeleti és támogatási feladatait végző eKRÉTA Zrt. is adatfeldolgozó.

Úgy tudjuk, hogy az eKRÉTA Zrt.-nél szeptemberben, miután tudomást szereztek magáról a hekkerek bejutásáról, még arra a megállapításra juthattak, hogy adatszivárgás nem történt (azt pedig pláne nem tudták, hogy a hekkerek még több mint egy hónappal később is a rendszereikben voltak). Az adatok kikerülésének nyomait csak az első cikkünk után találták meg, de ők úgy látták, hogy a támadók hozzáférése korlátozottabb volt. Mindezt hivatalos forrásból sajnos továbbra sem tudjuk megerősíttetni, mert a cég még egyetlen megkeresésünkre sem reagált semmilyen csatornán, amikor cikkeink megjelenése előtt a történtek tisztázására kértük.

Egyébként a novemberben nyilvánosságra került ügyben érintett hekkerek később közzétették a KRÉTA forráskódját is, akkor szakértőkkel vettük végig, mi olvasható ki belőle, és mi nem, mekkora kockázattal járhatna a nyilvánosságra kerülése. December közepén aztán a rendőrség közölte, hogy már megtalálták a tetteseket, a tettesek azonban ezzel nem értettek egyet. Az ügyben az első cikkünk megjelenése nyomán indított adatvédelmi eljárás még folyamatban van.