Több hazai szakképző intézmény esetében az iskolai KRÉTA-rendszert használók felhasználónevei és a hozzájuk kapcsolódó jelszavak válhattak elérhetővé az internet illegális részén, a dark web felületein, ennek tényét a Nemzeti Kibervédelmi Intézet vizsgálata is megerősítette - közölte a Pedagógusok Demokratikus Szakszervezetével (PDSZ) Pölöskei Gáborné szakképzésért felelős helyettes államtitkár.
Az érdekképviselet azt követően fordult a szakképzésért is felelős Kulturális és Innovációs Minisztériumhoz (KIM), miután a PDSZ Facebook-oldalán egy üzenetben arról értesültek, hogy egy osztályfőnök március 29-én értesítette a diákjait az adatok kiszivárgásáról. Más tanároktól pedig olyan visszajelzéseket kaptak, hogy még a tavaszi szünet előtt több intézményben azt a rendszergazdai üzenetet kapták,
hogy változtassanak jelszót és állítsanak be kétfaktoros azonosítást, de hogy konkrét adatvédelmi incidens történt volna, arról nem kaptak hivatalos úton értesítést.
A szakképzésért felelős helyettes államtitkár levelében, amit a PDSZ közzé is tett, azt írja, a kikerült adatok alkalmazottakat, gondviselőket és tanulókat érintenek, ugyanakkor a vizsgálat alapján nem külső támadás érte a KRÉTA rendszert, a biztonsági kódok feltörésére tudomásuk szerint nem került sor. Pölöskei Gáborné azt is közölte, hogy a Nemzeti Szakképzési és Felnőttképzési Hivatal tájékoztatta a szakképzési centrumokat az esetről, valamint a KRÉTA-t üzemeltető EduDev Zrt.-vel együttműködve a felhasználóknak is tájékoztatást küldtek az adatvédelem és adatbiztonság érvényesítése, a kockázatok elkerülése érdekében.
Az viszont nem derült ki a levélből, hogy pontosan hogyan szivároghattak ki az adatok.
Lapunk is érdeklődött a KIM-nél, az EduDev Zrt.-nél is, valamint a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH), tudnak-e az esetről és indítottak-e vizsgálatot. Kerestük a köznevelésért felelős Belügyminisztériumot is, tudnak-e arról, hogy az adatszivárgás köznevelési intézményeket is érintett-e.
Megkeresésünkre eddig Péterfalvi Attila NAIH-elnök válaszolt, aki azt írta, a hatóság számos szakképzési centrumtól kapott szinte azonos tartalommal adatvédelmi incidensbejelentést, ezek alapján a NAIH hatósági ellenőrzést indított KRÉTA-t üzemeltető az EduDev Zrt.-vel szemben.
- Az eljárás jelenleg folyamatban van, további tájékoztatással annak lezárultát követően tudunk szolgálni
- közölte Péterfalvi Attila. A BM-től azt a választ kaptuk, köznevelési intézményeket érintő adatszivárgásra vonatkozó bejelentés a tárcához nem érkezett.
A PDSZ ügyvivője, Nagy Erzsébet lapunknak azt mondta, a felhasználónevek, jelszavak kiszivárgásával érzékeny adatok is veszélybe kerülhettek, hiszen a KRÉTA-ban tárolják egyebek mellett a diákok lakcímeit, TAJ-számát és az ösztöndíjak miatt bankszámlaszámokat is. Szerinte azzal, hogy Pölöskeiné azt állítja, nem kívülről támadták a KRÉTA-rendszert, a helyettes államtitkár levele alapján az intézményekben dolgozókra vetül gyanú. Hangsúlyozta:
súlyos mulasztást követtek el, akik tudomást szereztek az adatszivárgásról, de hivatalos tájékoztatást nem adtak erről az érintetteknek.
Nem ez az első hasonló eset: tavaly és tavaly előtt is több alkalommal feltörték a KRÉTA-t; volt, hogy ez diákoknak is sikerült. A Telex pedig idén februárban számolt be arról, hogy az EduDev Zrt.-re 110 millió forintos bírságot szabott ki a NAIH adatvédelmi hiányosságok miatt, valamint azért, mert egy 2022-es hekkertámadást nem jelentett be “indokolatlan késedelem nélkül” az adatkezelőknek, a KRÉTA-t használó iskoláknak.
