A NAIH az eddigi legmagasabb összegű, GDPR-rel kapcsolatos büntetését szabta ki a távközlési cégre, amely a határozat szerint több mulasztást is vétett a felhasználói adatok kezelésénél.

Nagyjából két évvel ezelőtt élesedett az EU-ban az egységes adatvédelmi rendelet. A személyes adatok kezelését egységesen szabályozó GDPR rendelkezéseinek megsértésére itthon ez alatt az idő alatt nem volt súlyos példa. Ez valószínűleg annak is betutható, hogy Magyarországon már az uniós rendelet hatályba lépése előtt is érvényben volt egy szigorúnak minősíthető infotörvény.

Kilenc számjegyű ügy

A GDPR passzusainak betartását felügyelő Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) azonban nemrégiben meghozta első, 100 millió forintra rúgó elmarasztalását. A DIGI Távközlési Kft. mulasztásait megállapító határozat [PDF] májusi keltezésű, de azt csak most tette közzé honlapján a NAIH - szúrta ki a HWSW.

A határozat szövege alapján a DIGI-nél nem tettek meg olyan elvárható adatvédelmi intézkedéseket, amelyek megakadályozták volna több adatbázis illetéktelenek általi hozzáférhetőségét. A hiányosságokra azt követően derült fény, hogy egy etikus hekker felhívta a vállalat figyelmét a rendszerben meglévő lyukakra. Utóbbiak miatt egy előfizetői adatokat tartalmazó tesztadatbázis, továbbá egy szintén szenzitív információkat tartalmazó hírlevél-adatbázis is könnyen házon kívülre tudott kerülni.

A nevek mellett születési adatokat, emailcímeket és telefonszámokat is tartalmazó adatcsomagokhoz a www.digi.hu-t kezelő Drupal tartalomkezelő sérülékenységét kihasználva fért hozzá a jószándékú "betörő". A nyílt forráskódú szoftverben meglévő biztonsági rés viszont már 9 éve ismert és a fejlesztő ki is adta a javítást hozzá, ám azt külön kellett volna telepíteni, amit a DIGI-nél nem tettek meg.

A bírság kiszabásánál súlyosbító körülményként vették figyelembe, hogy egy régóta létező biztonsági hibán keresztül voltak elérhetők a szenzitív adatok. Az összeget befolyásolta az érintett ügyfélbázis mérete és a szolgáltató piaci pozíciója, valamint a titkosítás hiánya. A DIGI mellett szól viszont az, hogy a tudomásukra jutott védelmi hibáról azonnal értesítették a hatóságokat, akikkel végig együttműködtek.

Jártak már rosszabbul is

Az egységes adatvédelmi rendelet anno leginkább elrettentő büntetési tételeivel hívta fel magára a figyelmet. A GDPR megsértése miatt kiszabható maximális bírság egyik plafonja a cégek árbevételéhez van kötve. Így ez óriásvállalatok esetében elméletileg akár a milliárd dolláros szintet is elérheti. Ilyen összegek ugyan még nem repkednek, ám a hazai rekordbüntetéshez képest lényegesen nagyobb tételek igen.

A Google esetében például alig kellett néhány hónapot várni arra, hogy megérkezzen az első elmarasztalás. A keresőóriást a francia hatóság büntette 50 millió euróra, mivel annak üzleti gyakorlata több ponton sem felelt meg a GDPR rendelkezéseinek. A Google ugyanakkor még olcsón megúszta, hiszen a szomszédos Nagy-Britanniában több mint 180 millió fontos bírságot kapott a British Airways egy még 2018-ban történt adatlopási incidens miatt.

Biztonság

Semmi sem szent: már curlingben is jobb a mesterséges intelligencia

Egy koreai fejlesztésű MI-rendszer és az általa irányított robotok a téli sportban is hozzák a legmagasabb szintű teljesítményt.
 
Hirdetés

A hatásos védelemhez egy webalkalmazás-tűzfal ma már nem elég

A Proxedo API Security túllép a hagyományos webalkalmazás-tűzfalakon: hatásosan védi az API-végpontokat.

Bár a PSD2 kapcsán váltak széles körben ismertté az API-kban rejlő kockázatok, nem kell külső, harmadik fél ahhoz, hogy ezek a kockázatok testet öltsenek.

a melléklet támogatója a BalaSys

Nem általában a távmunkáé, hanem a mostani tipikus távmunka-helyzeteké. A szervezetek arra nem voltak felkészülve, hogy mindenki otthonról dolgozik.

Alapjaiban kell megújítani a biztonságról kialakított felfogásunkat

Tavaly január végétől megszűnt a Java SE 8 ingyenes frissítése, és a Java SE 11 sem használható ingyenesen üzleti célra. Tanácsok azoknak, akik még nem találtak megoldást. Hegedüs Tamás (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.