Megjelent az új készpénztörvény! Milyen kötelezettségekkel kell számolniuk a cégeknek?
Ismertetjük azokat a részletszabályokat, amelyeknek július elsejétől meg kell felelniük a vállalkozásoknak.
Lezárult a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vizsgálata a 2022-es, a minden iskolában használt közoktatási rendszer, a KRÉTA fejlesztőjét ért hekkertámadás ügyében. A döntésről szóló határozatot a Telexnek sikerült megszerezni, amely kimondja, hogy a NAIH szerint a cég (amelyet ma már Educational Development Informatikai Zrt.-nek hívnak, de 2023 áprilisáig eKRÉTA Informatikai Zrt. volt a neve) két szempontból is törvényt sértett:
- Egyrészt nem biztosított kellő védelmet a rá bízott személyes adatoknak,
- másrészt amikor ezek az adatok veszélybe kerültek, az incidenst nem jelentette be „indokolatlan késedelem nélkül” az adatkezelőknek, azaz az érintett iskoláknak.
A vizsgálat megállapította, hogy legalább 20 ezer ember személyes adatai kerültek illetéktelen kezekbe. A fejlesztőcég viszont nem tudta bizonyítani, hogy nem történt meg ugyanez a KRÉTA összes, több millió felhasználójával.
Adathalász támadás érte a KRÉTA fejlesztőjét, a diákok adatait is megszerezhették
Sem a cég, sem a Klebelsberg Központ nem volt hajlandó válaszolni az incidenssel kapcsolatos kérdésekre.
A lap a 110 milliós bírságot kontextusba téve arról ír, hogy a NAIH által kiszabott legnagyobb büntetés az a 250 millió forintos bírság volt, amelyet 2022 áprilisában kapott a Budapest Bank, amiért mesterséges intelligenciával elemezte az ügyfelei érzelmi állapotát a hangjuk alapján. Korábban szintén rekordnak számított, amikor 2020 júniusában a Digi 100 milliós bírságot kapott, mert nem vigyázott eléggé az ügyfelei adataira.
A Telex szerint a NAIH határozata egészen siralmas képet fest a cégnél az incidens idején uralkodó IT-biztonsági állapotokról, és a vizsgálat szerint az egész incidens megakadályozható lett volna, ha a cég belső rendszereihez, de legalább azokhoz, amelyekben személyes adatok is szerepelnek, már a támadás időpontjában is csak kétfaktoros hitelesítéssel lehetett volna hozzáférni. Ehhez képest ezt csak közvetlenül az incidens napvilágra kerülése után, november 10-én vezették be.
A NAIH eljárása ugyan lezárult, de az ügy akár még folytatódhat a bíróságon a cég keresete után. Mindenesetre az ügyben a rendőrség is nyomozást indított, amely a lap értesülései szerint még jelenleg is folyamatban van.
