oktatás;vizsgálat;NAIH;adatszivárgás;Kulturális és Innovációs Minisztérium;KRÉTA-rendszer;

2024-04-24 12:33:00

Diákok, tanárok KRÉTA-adatai kerülhettek fel a dark webre, a NAIH vizsgálatot indított

A Nemzeti Adatvédelmi és Információszabadság Hatóság vizsgálatot indított az iskolai rendszert üzemeltető cég ellen - értesült a Népszava.

Több hazai szakképző intézmény esetében az iskolai KRÉTA-rendszert használók felhasználónevei és a hozzájuk kapcsolódó jelszavak válhattak elérhetővé az internet illegális részén, a dark web felületein, ennek tényét a Nemzeti Kibervédelmi Intézet vizsgálata is megerősítette - közölte a Pedagógusok Demokratikus Szakszervezetével (PDSZ) Pölöskei Gáborné szakképzésért felelős helyettes államtitkár.

Az érdekképviselet azt követően fordult a szakképzésért is felelős Kulturális és Innovációs Minisztériumhoz (KIM), miután a PDSZ Facebook-oldalán egy üzenetben arról értesültek, hogy egy osztályfőnök március 29-én értesítette a diákjait az adatok kiszivárgásáról. Más tanároktól pedig olyan visszajelzéseket kaptak, hogy még a tavaszi szünet előtt több intézményben azt a rendszergazdai üzenetet kapták,

A szakképzésért felelős helyettes államtitkár levelében, amit a PDSZ közzé is tett, azt írja, a kikerült adatok alkalmazottakat, gondviselőket és tanulókat érintenek, ugyanakkor a vizsgálat alapján nem külső támadás érte a KRÉTA rendszert, a biztonsági kódok feltörésére tudomásuk szerint nem került sor. Pölöskei Gáborné azt is közölte, hogy a Nemzeti Szakképzési és Felnőttképzési Hivatal tájékoztatta a szakképzési centrumokat az esetről, valamint a KRÉTA-t üzemeltető EduDev Zrt.-vel együttműködve a felhasználóknak is tájékoztatást küldtek az adatvédelem és adatbiztonság érvényesítése, a kockázatok elkerülése érdekében.

Lapunk is érdeklődött a KIM-nél, az EduDev Zrt.-nél is, valamint a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH), tudnak-e az esetről és indítottak-e vizsgálatot. Kerestük a köznevelésért felelős Belügyminisztériumot is, tudnak-e arról, hogy az adatszivárgás köznevelési intézményeket is érintett-e.

Megkeresésünkre eddig Péterfalvi Attila NAIH-elnök válaszolt, aki azt írta, a hatóság számos szakképzési centrumtól kapott szinte azonos tartalommal adatvédelmi incidensbejelentést, ezek alapján a NAIH hatósági ellenőrzést indított KRÉTA-t üzemeltető az EduDev Zrt.-vel szemben.

- közölte Péterfalvi Attila. A BM-től azt a választ kaptuk, köznevelési intézményeket érintő adatszivárgásra vonatkozó bejelentés a tárcához nem érkezett.

A PDSZ ügyvivője, Nagy Erzsébet lapunknak azt mondta, a felhasználónevek, jelszavak kiszivárgásával érzékeny adatok is veszélybe kerülhettek, hiszen a KRÉTA-ban tárolják egyebek mellett a diákok lakcímeit, TAJ-számát és az ösztöndíjak miatt bankszámlaszámokat is. Szerinte azzal, hogy Pölöskeiné azt állítja, nem kívülről támadták a KRÉTA-rendszert, a helyettes államtitkár levele alapján az intézményekben dolgozókra vetül gyanú. Hangsúlyozta:

Nem ez az első hasonló eset: tavaly és tavaly előtt is több alkalommal feltörték a KRÉTA-t; volt, hogy ez diákoknak is sikerült. A Telex pedig idén februárban számolt be arról, hogy az EduDev Zrt.-re 110 millió forintos bírságot szabott ki a NAIH adatvédelmi hiányosságok miatt, valamint azért, mert egy 2022-es hekkertámadást nem jelentett be “indokolatlan késedelem nélkül” az adatkezelőknek, a KRÉTA-t használó iskoláknak.