A GDPR-korszak kezdete óta eddig egyetlen cégre vagy szervezetre sem szabott ki akkora bírságot a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), mint most a DIGI-re: A cégnél a nem megfelelő adatvédelmi háttérintézkedések miatt két, ügyféladatok széles körét tartalmazó adatbázis is megszerezhetővé vált, és bár a DIGI az incidenst azonnal jelentette, amint tudomást szerzett róla, illetve végig együttműködött a hatósággal, az ügy végül a NAIH fennállásának eddigi legnagyobb kiszabott bírságával, százmillió forintos büntetéssel zárult.

SZUNNYADÓ TESZTADATBÁZIS

A NAIH honlapjára felkerült, május 18-i keltezésű, de csak most nyilvánosságra került határozat indoklása szerint a DIGI tavaly szeptemberben egy etikus hackertől szerzett tudomást arról, hogy egy a www.digi.hu címen elérhető honlapot kezelő nyílt forráskódú tartalomkezelő szoftver sérülékenységét kihasználva egy előfizetői adatokat tartalmazó tesztadatbázis, illetve egy nevet és e-mail címeket tartalmazó hírlevéladatbázis is hozzáférhető.

 

 

A tesztadatbázisban megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyi igazolványszáma (esetenként személyi száma), e-mail címe, vezetékes és mobil telefonszáma. A DIGI az adatvédelmi incidenst követően annak tényét a törvényben meghatározott keretek között ismertette a NAIH-hal, mely 2019. októberében hatósági ellenőrzést indított, mivel a bejelentésben közölt adatok nem voltak elegendőek annak megítéléséhez, hogy a DIGI maradéktalanul eleget tett-e az általános adatvédelmi rendeletben foglalt kötelezettségeinek.

Az ellenőrzés során a hatóság feltárta, hogy az incidens létrejöttéhez a DIGI többszörös mulasztása vezethetett. Így többek közt a szolgáltató nem tudta egyértelműen beazonosítani, rekonstruálni, hogy pontosan milyen okból és célból hozta létre a tesztadatbázist, melyet egyébként törölnie kellett volna a cégnek, miután a hibaelhárítási folyamatot lezárta - ez a tényállás már önmagában jogsértőnek tekinthető. 

A támadáshoz használt biztonsági rés továbbá már 9 éve ismert volt, és rendelkezésre is állt hozzá a javítás, ám a DIGI ezt nem telepítette, mivel az

nem képezte részét a szoftverhez kiadott hivatalos javítás-csomagoknak.

A határozatból nem derült ki, hogy a DIGI weboldalát pontosan milyen tartalomkezelő-szoftverrel üzemeltetik (a weboldal forrását átnézve azonban könnyen kideríthető, hogy Drupal-alapú a site), illetve annak mely modulja tartalmazta azt a biztonsági rést, melyet kihasználva a támadó hozzáférést szerzett az incidensben érintett adatbázisokhoz. A vizsgálat emellett kiderítette azt is, hogy az érintett adatbázisok közül egyik sem volt titkosítva, noha az adatbázis-motor (mely szintén nem részletezett beszállítótól származik) erre alapvetően lehetőséget biztosít. A DIGI szerint ugyanakkor nem volt szükség a titkosításra, mivel 

a személyes adatok védelme a hozzáférések korlátozásával és megfelelő jogosultságkiosztással elvileg biztosított, továbbá az ilyen titkosítás alkalmazása az adatbázisok alkalmazhatóságában és működésében problémát okozhat.

A lehetséges problémákat a DIGI nem részletezte.

A bírság kiszabásakor a NAIH súlyosbító körülménykét értékelte többek közt, hogy a DIGI rendszerei egy régóta fennálló és könnyen detektálható biztonsági sebezhetőségen keresztül voltak támadhatók, figyelembe vette továbbá az érintett ügyfélbázis méretét és a szolgáltató piaci pozícióját, a titkosítás hiányát. Enyhítő körülménynek számított, hogy a szolgáltatóval szemben korábban nem szabtak ki adatvédelmi bírságot, illetve hogy a cég elismerte, hogy a tesztadatbázist korábban törölnie kellett volna.

Bár a DIGI az incidens tudomására jutásától számított 72 órán belül törölte az érintett tesztadatbázist és telepítette a biztonsági rést befoltozó szoftverfrissítést, illetve a törvényi keretek közt értesítette a hatóságot, mellyel mindenben együttműködött az eljárás során, a NAIH mindezt nem találta enyhítő körülménynek, mivel a hatóság szerint a társaság mindezzel a jogszabályi kötelezettségek betartásán nem ment túl.

 

Forrás: hwsw.hu
 

Miért releváns ez a hír egy gépjármű flottamenedzsment fókuszú weboldalon?

A válasz egyszerű. A flottamenedzsment tevékenység során munkatársak, partnerek, ügyfelek szenzitív adatait is tárolni kell, azaz a GDPR megfelelőség ezen a területen is elengedhetetlen. Különösen fontos mindez, ha a tevékenységet támogató szoftver web alapú, pláne, ha felhőben működik.
A Seafleet, mint szoftver GDPR konform:

• abból a szempontból, hogy képes a kezelt személyes adatok GDPR előírások szerinti exportálására, anonimizálására.
• másrészt rendszerünk IT és adatbiztonsági szempontból bevizsgált.
• harmadrészt az adatokat professzionális adatbázis kezelőben (pl. Oracle) tároljuk, ahol - amennyiben ez igény - az adatbázis szintű titkosítás is megoldott, azaz egy esetleges rendszer feltörés esetén is csak elkódolt, nem értelmezhető adatokhoz juthat a támadó.

Mindezeknek a feltételeknek úgy felel meg a megoldásunk, hogy a végfelhasználók gépére, legyen az notebook, tablet, vagy okostelefon, nem kell semmit telepíteni, a munka távolról, a népszerűbb böngészők bármelyikével használható.
 

Éljen a kockázatmentes távmunka lehetőségével!

De főleg: Ne kockáztasson!