Üzlet

Érdekes részletek derültek ki a BKK adatlopási botrányáról

Portfolio
Megérkezett a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) hivatalos határozata, amely szerint a BKK-t 10 millió forintos bírsággal sújtják a tavaly nyári online jegyértékesítési rendszer meghackelése, jogellenes adatkezelés miatt. Érdekes részletek derültek ki a NAIH határozatából.
Péterfalvi Attila NAIH elnök és Balogh Gyöngyi illetve Árvay Viktor főosztályvezetők is részt vesznek február 27-ei GDPR konferenciánkon, ahol a május 25-én élesedő uniós adatvédelmi rendelet okozta legfontosabb változásokról, a helyes felkészülésről lesz szó. Jegyek már csak korlátozott számban kaphatók!



Tavaly a vizes VB-re indította el a BKK az online jegyértékesítési rendszerét, amelyet a T-Systems szállított nekik. Mint később kiderült, a jegyrendszert könnyen feltörte egy fiatal hacker, aki aztán a biztonsági résre gyorsan fel is hívta a BKK figyelmét. A rendszer fejlesztője azonban feljelentést tett a hackerrel szemben, amiből nagy botrány kerekedett. Végül az eljárást megszüntették, a T-Systemsnél pedig két vezetőt is felelősségre vontak és elbocsátottak. A jegyrendszer története azonban a fiatal hackernél nem állt meg.

Július végén a 24.hu birtokába került egy 3 ezer fő adatait tartalmazó lista nevekkel, e-mail címekkel, szémélyi igazolvány számokkal, amelyet a forrás szerint a BKK jegyrendszeréből szereztek meg. A listát elküldték a NAIH-nak, amely július 31-én hivatalból vizsgálati eljárást indított az ügyben, majd augusztus elején végzésben nyilatkozatra hívta fel a BKK-t és az online jegyértékesítési rendszert fejlesztő T-Systems Magyarországot.

Az eljárás során első körben a BKK tagadta, hogy incidens történt volna, és hogy több ezer személyes adat szivárgott volna ki tőlük. Ezután iratbetekintést kértek, majd nem sokkal később megállapították, hogy a NAIH-nál bizonyítékként meglévő adatbázis megegyezik a náluk lévő adatbázissal, mely után már elismerték, hogy incidens történt.

A BKK és a T-Systems belső vizsgálata azonban még október végén sem derítette ki, hogy pontosan mikor történt az adatlopás, hogyan történt, mennyi személyes adatot érintett, így azt sem tudták megmondani, hogy milyen intézkedésekre volna szükség.

Sor került a tűzfal naplóállomány vizsgálatára, elsősorban az infrastruktúrát ért támadások alatt és azt követően, melynek célja elsősorban a támadások forrásainak beazonosítása, illetve az ahhoz tartozó tűzfalszabályok létrehozása és így további támadások megakadályozása volt. A folyamat közben is vizsgálták az esetleges adatszivárgások lehetőségét, de ilyet a logokból nem tudtak megállapítani. Ezt egyébként később át is adták a hivatalnak.

Az indoklás részben több elmarasztaló körülményt is kiemelt az adatvédelmi hatóság:
  • A vizsgálati eljárás során, és azt követően sem nevezett meg a BKK egyetlen olyan intézkedést, amellyel az adatkezelést az Infotörvénynek megfelelően történjen. Sőt, a BKK arra utalt, hogy erre csak a megbízott adatfeldolgozónak, vagyis a T-Systemsnek lenne lehetősége.
  • Nem közérthető, nem egyértelmű, illetve nem könnyen áttekinthető a BKK adatkezelési tájékoztatója.
  • A BKK nem tudta igazolni, hogy az online értékesítési rendszer átvétele előtt megfelelő módon meggyőződött volna arról, hogy az átvett rendszer megfelel az Infotörvényben foglalt kritériumoknak. Már a tervezési szakaszban észlelni és orvosolni kellett volna a rendszer hibáit.
  • A BKK a konkrét adatvédelmi incidens kapcsán sem járt el kellő körültekintéssel: csak az iratbetekintést követően (2017. szeptember 12.) volt képes annak megállapítására, hogy adatvédelmi incidensre sor került. Az incidens valószínűsített időpontját (2017. július 24.) követően tehát másfél hónap telt el annak azonosításáig.
  • A BKK a kockázatokat olyan módon csökkentette, hogy az online rendszert leállította, azonban az adatvédelmi incidensről, és annak lehetséges következményeiről nem értesítette az érintetteket, akiknek így sérült az információs önrendelkezési joga.

Mindezek ismeretében a NAIH a maximális bírság felét, 10 millió forintos bírságot szabott ki a BKK-ra.

A bírságról és összegéről tegnap értesült az index.hu, lapszemlénket itt olvashatja el:Az EU általános adatvédelmi rendelete, a GDPR a korábbiaknál nagyságrendileg 300-szor nagyobb elméleti bírságtételeket hozhat, ráadásul az egyes adatvesztéseknél/jogosulatlan adatkezeléseknél minden EU-s országban azonos elvek mentén fognak bírságolni. A bírságtételek felső határa 10 illetve 20 millió euró, vagy az árbevétel 2-4 százaléka lesz.

A GDPR témakörben Péterfalvi Attilával készített interjúnkat itt olvashatja el:
Péterfalvi Attila NAIH elnök és Balogh Gyöngyi illetve Árvay Viktor főosztályvezetők is részt vesznek február 27-ei GDPR konferenciánkon, ahol a május 25-áén élesedő új uniós adatvédelmi rendelet okozta legfontosabb változásokról, a helyes felkészülésről lesz szó. Jegyek már csak korlátozott számban kaphatók!
RSM Blog

A HR hatása az M&A ügyletekre

Az emberi erőforrásokkal összefüggő kérdések és kockázatok megértése egy tranzakciós folyamat során általában a második legfontosabb lépés egy tranzakciós célpont értékelésekor. A H

Holdblog

Ilyen jól úsznak a kenguruk?

Új-Zéland az élen jár a lakosságarányos olimpiai érmek számában. Ausztrália pedig 27 milliós lélekszáma ellenére sem tud kiesni az éremtáblák első 10 helyéről. De miért... The post Ily

FRISS HÍREK
NÉPSZERŰ
Összes friss hír
Mérgező víz folyik a csapból? Itt a térkép, több százezer magyart érinthet

Vezető modellező/ pénzügyi modellező

Vezető modellező/ pénzügyi modellező
Díjmentes előadás

Kisokos a befektetés alapjairól, tippek, trükkök a tőzsdézéshez

Előadásunkat friss tőzsdézőknek ajánljuk, összeszedünk, minden fontos információt arról, hogy hogyan működik a tőzsde, mik a tőzsde alapjai, hogyan válaszd ki a számodra legjobb befektetési formát.

Díjmentes előadás

Hogyan vágj bele a tőzsdei befektetésbe?

Mire kell figyelned? Melyek az első lépések? Mely tőzsdei termékeket célszerű mindenképpen ismerned?

Portfolio hírlevél

Ne maradjon le a friss hírekről!

Iratkozzon fel mobilbarát hírleveleinkre és járjon mindenki előtt.

Ügyvédek

A legjobb ügyvédek egy helyen

Agrárszektor Konferencia 2024
2024. december 4.
Graphisoft - Portfolio Construction Technology & Innovation 2024
2024. november 27.
Mibe fektessünk 2025-ben?
2024. december 10.
Property Awards 2024
2024. november 28.
Hírek, eseményajánlók első kézből: iratkozzon fel exkluzív rendezvényértesítőnkre!
Ez is érdekelhet
trader