100 milliós adatvédelmi bírságot kapott a DIGI

A DIGI-t egy etikus hacker figyelmeztette, hogy honlapján keresztül elérhetők az előfizetők és hírlevél feliratkozók személyes adatai. A DIGI a sérülékenységet javította, de az incidens miatt így is jelentős bírságot kell fizetnie.


Az alapügy

A Digi Távközlési és Szolgáltató Kft-nél (DIGI) adatvédelmi incidens történt, amelyet bejelentett a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) részére.

A NAIH megítélése szerint a bejelentésben közölt adatok nem voltak elegendőek annak megítéléséhez, hogy a DIGI maradéktalanul eleget tett-e a GDPR-ban foglalt kötelezettségeinek.

Az adatvédelmi incidens lényege az volt, hogy egy támadó a www.digi.hu honlapon keresztül elérhető sérülékenységet kihasználva hozzáfért több érintett személyes adataihoz, akik nagyobb részt a DIGI megrendelői és előfizetői, kisebb részt pedig hírlevére feliratkozók voltak. A megrendelői, előfizetői személyes adatok között megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyi igazolványszáma (esetenként személyi száma), e-mail címe, vezetékes és mobil telefonszáma.

A DIGI úgy szerzett tudomást a támadásról, hogy azt maga a támadó, egy etikus hacker jelezte neki. A támadó jelezte, hogy csak az érintett adatbázis egy sorát kérte le bizonyítékként, szándékai pedig segítő jellegűek, ezért a hiba technikai jellegét is ismertette a DIGI előtt. A DIGI ezek után a hibát kijavította.

Az incidenssel érintett adatok többsége egy tesztelési célból létrehozott adatbázisban volt megtalálható. A tesztadatbázis létrehozásának okát és célját a DIGI naplófájlok, rendszer riasztások és levelezések megvizsgálása útján kísérelte meg rekonstruálni. Azonban a feltételezett feltöltési időpontra vonatkozó naplófájlok és riasztások már nem álltak rendelkezésre így az események egyértelmű rekonstruálására nem volt lehetősége. Egy tesztelő kolléga e-mailjéből derült ki, hogy korábban jelentkezett egy hiba, amely során a webszerverek nem érték el az adatbázis szervereket. Ennek eredményeképpen az előfizetői adatok elérhetősége megszűnt.

A DIGI feltételezése szerint ezen hiba ideiglenes kiküszöbölése érdekében kerültek feltöltésre a tesztadatbázisba az adatok, az előfizetői adatok elérhetőségének biztosítására. A hiba kiküszöbölése kapcsán létrehozott fenti tesztadatbázisba betöltött adatok forrását a DIGI, mint adatkezelő ügyfelei által korábban megadott személyes adatok képezték. Az ügyfelek különböző igénybejelentéseik során adták meg személyes adataikat online vagy egyéb értékesítési csatornán keresztül.

A fenti hiba elhárítását, így az elérések helyreállítását követően a tesztadatbázisba feltöltött adatokat törölni kellett volna, ez azonban mulasztás következtében elmaradt. Ezen adatoknak a fenti sérülékenységen keresztüli elérhetőségéről a támadó bejelentéséig nem volt tudomása a DIGI-nek. Az adatokhoz való hozzáférést a támadó részéről a DIGI-nek nem sikerült detektálnia (pl. hálózatbiztonsági eszköz jelzése alapján), mielőtt arra maga a támadó felhívta volna a figyelmét.

A tesztadatbázison túl a felfedezett sérülékenységen keresztül a támadónak lehetősége volt hozzáférni a DIGI által fenntartott digi.hu honlap mögötti másik, adatbázishoz is, amely az oldalon hírlevélre feliratkozó érintettek személyes adatait tartalmazta. A vizsgálatok alapján ebben az adatbázishoz tárolt konkrét személyes adatokhoz azonban nem mutatható ki jogosulatlan hozzáférés a DIGI szerint. A sérülékenység miatt a hozzáférés veszélye azonban ezen adatok tekintetében is fennállt.

A jogosulatlan hozzáférést lehetővé tevő hiba oka, hogy a DIGI által használt tartalomkezelő rendszerben megtalálható volt egy biztonsági rés, amit kihasznált a támadó. A biztonsági rés egyébként már több mint 9 éve ismert volt és rendelkezésre állt hozzá javítás is, amit azonban a DIGI korábban nem telepített.

A DIGI tájékoztatta továbbá a NAIH-ot, hogy a hasonló adatvédelmi incidensek megelőzése érdekében rendszeresen ellenőrzi az általa kezelt adatbázisokat, hogy konkrét cél nélkül ne kerüljenek kezelésre/tárolásra személyes adatok. Az adatbázisokat továbbá időről-időre megtisztítja, ellenőrzi azok biztonságát, azonosítja a hozzájuk kötődő alkalmazásokat és adatgazdákat. Ezen felül további külső vizsgálat eredményeképpen megfontolja, hogy magasabb szintű tűzfalat szerezzen be és üzemeltessen.

A NAIH döntése

Az incidens értékelése

A GDPR 4. cikk 12. pontja alapján adatvédelmi incidensnek minősül a biztonság sérülése, amely a kezelt személyes adatokhoz való jogosulatlan hozzáférést eredményezi. A fogalom szempontjából így a biztonsági eseménnyel való kapcsolat kulcselemnek tekinthető. A DIGI incidensbejelentése és a tényállás tisztázása kapcsán megállapítható, hogy a személyes adatokat tartalmazó tesztelési és hibaelhárítási célból létrehozott tesztadatbázishoz a támadónak a DIGI által fenntartott digi.hu honlapon keresztül elérhető sérülékenység kihasználásával sikerült hozzáférnie. A személyes adatok jogosulatlan megismerésére tehát egy informatikai biztonsági hiányosság kihasználásával kerülhetett sor, amely így adatvédelmi incidenst eredményezett.

A GDPR 33. cikk (1) bekezdése szerint fő szabályként az adatvédelmi incidenst be kell jelenteni a felügyeleti hatóságnak. A GDPR ezen bekezdése és a (85) preambulum bekezdése is kimondja, hogy a bejelentéstől az adatkezelő csak abban az esetben tekinthet el, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Mivel a főszabály az incidens hatóságoknak való bejelentése, az ez alóli kivétel is szűken értendő.

A GDPR (75) preambulum bekezdésében foglaltak szerint, ha az adatkezelésből –így jelen ügyben a lakossági ügyfelek és rendszergazdák adatainak tárolásából –személyazonosság-lopás vagy személyazonossággal való visszaélés fakadhat, úgy az alapvetően kockázatosnak minősül. A DIGI által tesztelési és hibajavítási célból létrehozott adatbázisban tárolt adatok (érintett neve, születési neve, anyja neve, születési helye és ideje, lakcíme, személyi igazolvány száma, esetenként személyi száma, e-mail címe, vezetékes és mobil telefonszáma, fizetési és banki adatok, igényelt szolgáltatással kapcsolatos adatok) ismeretében pedig elkövethető személyazonosság-lopás,vagy személyazonossággal visszaélés.

Az adatkezelés biztonságával kapcsolatban a GDPR 32. cikk (1) bekezdése kimondja, hogy többek között a tudomány és technológia állása és a felmerülő kockázatok figyelembevételével az adatkezelő feladata, hogy az adatok biztonságát megfelelő technikai és szervezési intézkedésekkel garantálja. Ezen cikk (1) bekezdés a) pontja ideérti adott esetben a személyes adatok álnevesítését és titkosítását.

Az DIGI a sérülékenységet elmondása szerint nem javította ki az incidens bekövetkezéséig, mivel az arra szolgáló javítócsomag nem képezi részét a szoftver hivatalosan kiadott változatának. A nem hivatalos javításokat pedig nem követi, nem monitorozza, mivel – a szoftverhez készülő nem hivatalos javítások számossága miatt –arra elmondása miatt nincs lehetősége, kapacitása. A DIGI rendszeres sérülékenységvizsgálatot végez az általa kezelt rendszerekben, azonban ez az incidens bekövetkezéséig a digi.hu weboldalra nem terjedt ki.

A NAIH megállapította, hogy az incidenssel érintett ügyféladatok kezelése az adatkategóriák tartalma alapján kockázatosnak tekinthető. A kockázatokat jelentősen növelő tényező, hogy a DIGI által kezelt adatbázisban nagyszámú érintett személyes adatai voltak megtalálhatóak.

A NAIH informatikai szakértője által készített szakvéleményben foglaltak szerint a DIGI által használt webes sérülékenységeket vizsgáló applikáció ki tudta volna szűrni a azt a sérülékenységet, amely miatt az incidens bekövetkezett. A NAIH megjegyzi, hogy ezen szoftverek használata egyébként különösen „magas szintű informatikai tudást”, illetve kódfejtő képességét nem igényel, azok kezelését egy a téma iránt érdeklődő, informatikai biztonsági kérdésekben közepesen jártas személy némi gyakorlás, időráfordítás után el tudja sajátítani. Az érzékeny adatoknak az adatbázisban szabad szöveges („plain text”) formában történő tárolása magas szintű biztonsági probléma a NAIH szakértőjének véleménye szerint, amelyet megfelelő titkosítás használatával lehet kiküszöbölni.

A NAIH szerint az interneten nyilvánosan elérhető és (adott esetben nagyszámú) ügyfelek által is látogatható weboldalak kapcsán az esetleges sérülékenységekre való felkészültség fokozottan elvárható a fenntartók részéről. Ez a tudomány és technológia állása és a megvalósítás költségei szempontjából nem okozhatna az DIGI-nek sem jelen esetben különösebb gondot, figyelemmel a piacon elfoglalt pozíciójára is. A weboldal és minden más interneten elérhető rendszer rendszeres sérülékenységvizsgálatának előírásáról a DIGI is intézkedett az incidens után, elismerve ennek szükségességét.

A NAIH a fentiek alapján megállapította, hogy az incidensben érintett adatbázisok kezelésének biztonsági szintje nem felelt meg a GDPR 32. cikk (1)-(2) bekezdéseiben foglalt előírásoknak.

Az adatbázisokat a DIGI egy olyan szoftverrel hozta létre, amelyben lehetőség van az adatok titkosítására. Az alkalmazott technológia kapcsán a kezelt személyes adatokon a titkosítás használatára megvolt tehát a lehetőség, alkalmazása többletköltséget sem jelenthet. A DIGI ennek ellenére nem titkosította az általa kezelt adatbázisokban található személyes adatokat, így az incidenssel érintett adatbázisoknál sem alkalmazta ezt a lehetőséget. Ennek okaként azt jelölte meg, hogy a személyes adatok védelme a hozzáférések korlátozásával és megfelelő jogosultságkiosztással elvileg biztosított, továbbá az ilyen titkosítás alkalmazása az adatbázisok alkalmazhatóságában és működésében problémát okozhat.

A titkosítás használatának hiányában azonban az incidenssel érintett adatbázisokban tárolt személyes adatok túlnyomó része kiolvashatóvá, jogosulatlanul megismerhetővé vált. Ez pedig az érintettekre jelentett kockázatokat jelentősen megnövelte. A személyes adatok titkosítását a GDPR 32. cikk (1) bekezdés a) pontja is említi, mint megfelelő biztonsági intézkedést. Az Ügyfél ugyan nem részletezte, hogy az adatbázis titkosítását miért tartja ezzel a konkrét adatkezeléssel kapcsolatban problémásnak, azonban ennek hiányában is törekednie kell az érzékeny és nagy számban kezelt személyes adatok kiszivárgása elleni védelemre. A titkosítás elmaradásának pontos okait pedig a GDPR 5. cikk (2) bekezdése alapján igazolnia kell tudni.

Mivel a titkosítás elmaradása a bekövetkezett incidens, továbbá az alkalmazott biztonsági intézkedéseknek az érintettekre jelentett kockázatait jelentősen megnövelte, ezért a GDPR 32. cikk (1) bekezdés a) pontjának, továbbá ezzel kapcsolatos saját belső szabályzatának való megfelelés érdekében a NAIH felszólította a DIGI-t, hogy a kockázatok csökkentése céljából vizsgálja felül az általa kezelt valamennyi személyes adatot tartalmazó adatbázist abból a szempontból, hogy azokban indokolt-e titkosítás alkalmazása és ennek eredményeiről–az elszámoltathatóság elvéből is következően –tájékoztassa a NAIH-ot.

Tesztadatbázis készítése

A GDPR 5. cikk (1) bekezdés b) pontjában nevesített „célhoz kötöttség” elve megköveteli, hogy a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon.

A DIGI az incidenssel érintett tesztadatbázis létrehozásának célját abban jelölte meg, hogy jelentkezett egy hiba, amely miatt az előfizetői adatok elérhetősége megszűnt. Ezen hiba kijavítása céljából lett létrehozva az előfizetők különböző, az előfizetői szerződések megkötése során megadott adatait tartalmazó tesztadatbázis. Ezen adatbázis létrehozásának célja (hibajavítás) tehát elkülönül a személyes adatok eredeti kezelésének céljától (szerződés teljesítése). A hibajavítás, mint önálló adatkezelési cél legitim lehet, azonban ezen elkülönült adatkezelésnek is meg kell felelnie a GDPR előírásainak, így többek között a célhoz kötött adatkezelés alapelvének is.

A hibajavítási cél a tesztadatbázis létrehozása kapcsán addig áll fent, ameddig maga a hiba elhárításra nem került a DIGI által. Amint a hiba kijavítása megtörtént az elkülönült adatkezelési cél is megszűnik, így a GDPR 17. cikk (1) bekezdés a) pontjában foglaltakra is figyelemmel a személyes adatokat tartalmazó tesztadatbázist törölni kellett volna. Az adatbázis a hiba elhárítása utáni tárolása már nélkülözött bármilyen adatkezelési cél – állapította meg a NAIH.

A GDPR 5. cikke által előírt korlátozott tárolhatóság elve alapján az elavult, már semmilyen célból nem használható személyes adatok tárolásának tilalmát fogalmazza meg. Az alapelv azonban a tárolási idő behatárolását az érintettek azonosítására alkalmas módon való adattárolás szempontjából korlátozza. Az anonimizált adatok tárolására így továbbra is lehetősége van az adatkezelőnek, azonban annak olyan formában kell történnie, hogy biztosan ne lehessen belőlük az érintettre következtetést levonni, őket a továbbiakban azonosítani.

A NAIH a fenti jogsértések elkövetése miatt 100 millió forint adatvédelmi bírságot szabott ki a DIGI-re.

(naih.hu)



Kapcsolódó cikkek:


A külföldi vállalkozások magyarországi fióktelepei
2020. szeptember 17.

A külföldi vállalkozások magyarországi fióktelepei

Az 1997. évi CXXXII. törvény rögzíti azokat az általános feltételeket és szabályokat, melyek a külföldiek cégek magyarországi fióktelepei létesítésének, működtetésének és megszüntetésének folyamatait rendezik.

Elektronikus eszközök a munkaviszonyban
2020. szeptember 16.

Elektronikus eszközök a munkaviszonyban

Az otthoni munkavégzéshez szükséges elektronikus eszközökkel kapcsolatban fontos kérdés, ki köteles biztosítani ezeket, és az is például, hogy a munkavállaló mikor jogosult eme eszközöket a munkavégzéstől eltérő, azaz magáncélra használni.

A jogszavatosság szabályozása a Ptk.-ban
2020. szeptember 10.

A jogszavatosság szabályozása a Ptk.-ban

A Ptk. a jogszavatosságot az adásvételi szerződésből kiemelve, a hibás teljesítés általános előírásai között szabályozza. Ennek oka, hogy a jogszavatosság szabályai nemcsak a tulajdonjog, hanem bármely jogosultság átruházása esetén alkalmazandók.