A NAIH az eddigi legmagasabb összegű, GDPR-rel kapcsolatos büntetését szabta ki a távközlési cégre, amely a határozat szerint több mulasztást is vétett a felhasználói adatok kezelésénél.

Nagyjából két évvel ezelőtt élesedett az EU-ban az egységes adatvédelmi rendelet. A személyes adatok kezelését egységesen szabályozó GDPR rendelkezéseinek megsértésére itthon ez alatt az idő alatt nem volt súlyos példa. Ez valószínűleg annak is betutható, hogy Magyarországon már az uniós rendelet hatályba lépése előtt is érvényben volt egy szigorúnak minősíthető infotörvény.

Kilenc számjegyű ügy

A GDPR passzusainak betartását felügyelő Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) azonban nemrégiben meghozta első, 100 millió forintra rúgó elmarasztalását. A DIGI Távközlési Kft. mulasztásait megállapító határozat [PDF] májusi keltezésű, de azt csak most tette közzé honlapján a NAIH - szúrta ki a HWSW.

A határozat szövege alapján a DIGI-nél nem tettek meg olyan elvárható adatvédelmi intézkedéseket, amelyek megakadályozták volna több adatbázis illetéktelenek általi hozzáférhetőségét. A hiányosságokra azt követően derült fény, hogy egy etikus hekker felhívta a vállalat figyelmét a rendszerben meglévő lyukakra. Utóbbiak miatt egy előfizetői adatokat tartalmazó tesztadatbázis, továbbá egy szintén szenzitív információkat tartalmazó hírlevél-adatbázis is könnyen házon kívülre tudott kerülni.

A nevek mellett születési adatokat, emailcímeket és telefonszámokat is tartalmazó adatcsomagokhoz a www.digi.hu-t kezelő Drupal tartalomkezelő sérülékenységét kihasználva fért hozzá a jószándékú "betörő". A nyílt forráskódú szoftverben meglévő biztonsági rés viszont már 9 éve ismert és a fejlesztő ki is adta a javítást hozzá, ám azt külön kellett volna telepíteni, amit a DIGI-nél nem tettek meg.

A bírság kiszabásánál súlyosbító körülményként vették figyelembe, hogy egy régóta létező biztonsági hibán keresztül voltak elérhetők a szenzitív adatok. Az összeget befolyásolta az érintett ügyfélbázis mérete és a szolgáltató piaci pozíciója, valamint a titkosítás hiánya. A DIGI mellett szól viszont az, hogy a tudomásukra jutott védelmi hibáról azonnal értesítették a hatóságokat, akikkel végig együttműködtek.

Jártak már rosszabbul is

Az egységes adatvédelmi rendelet anno leginkább elrettentő büntetési tételeivel hívta fel magára a figyelmet. A GDPR megsértése miatt kiszabható maximális bírság egyik plafonja a cégek árbevételéhez van kötve. Így ez óriásvállalatok esetében elméletileg akár a milliárd dolláros szintet is elérheti. Ilyen összegek ugyan még nem repkednek, ám a hazai rekordbüntetéshez képest lényegesen nagyobb tételek igen.

A Google esetében például alig kellett néhány hónapot várni arra, hogy megérkezzen az első elmarasztalás. A keresőóriást a francia hatóság büntette 50 millió euróra, mivel annak üzleti gyakorlata több ponton sem felelt meg a GDPR rendelkezéseinek. A Google ugyanakkor még olcsón megúszta, hiszen a szomszédos Nagy-Britanniában több mint 180 millió fontos bírságot kapott a British Airways egy még 2018-ban történt adatlopási incidens miatt.

Biztonság

Fél Ausztráliát letölthették egy hekkertámadásban

A kontinensnyi ország második legnagyobb telkójánál történt súlyos incidens. A vizsgálatok még tartanak, de akár 10 millió ügyfél személyes adata is illetéktelen kezekbe kerülhetett.
 
Hirdetés

Budapestre jön és munkatársakat keres az Innovecs

A cégek digitális transzformációját segítő, szédítő tempóban növekvő vállalatnál kiemelt figyelmet fordítanak a csapattagok igényeire és jólétére.

Hirdetés

A munkaerő képzése a vállalat sikerének egyik záloga

A piaci versenyben az a cég tud élen maradni, amely lépést tart a fejlődő technológiával. Ez azonban csak megfelelően képzett alkalmazottakkal lehetséges.

Ahogy megindult az IT-szakemberekért a harc a munkaerőpiacon, úgy váltak egyre szofisztikáltabbá a képzést végző intézmények szolgáltatásai.

a melléklet támogatója a Green Fox Academy

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2022 Bitport.hu Média Kft. Minden jog fenntartva.