A NAIH az eddigi legmagasabb összegű, GDPR-rel kapcsolatos büntetését szabta ki a távközlési cégre, amely a határozat szerint több mulasztást is vétett a felhasználói adatok kezelésénél.

Nagyjából két évvel ezelőtt élesedett az EU-ban az egységes adatvédelmi rendelet. A személyes adatok kezelését egységesen szabályozó GDPR rendelkezéseinek megsértésére itthon ez alatt az idő alatt nem volt súlyos példa. Ez valószínűleg annak is betutható, hogy Magyarországon már az uniós rendelet hatályba lépése előtt is érvényben volt egy szigorúnak minősíthető infotörvény.

Kilenc számjegyű ügy

A GDPR passzusainak betartását felügyelő Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) azonban nemrégiben meghozta első, 100 millió forintra rúgó elmarasztalását. A DIGI Távközlési Kft. mulasztásait megállapító határozat [PDF] májusi keltezésű, de azt csak most tette közzé honlapján a NAIH - szúrta ki a HWSW.

A határozat szövege alapján a DIGI-nél nem tettek meg olyan elvárható adatvédelmi intézkedéseket, amelyek megakadályozták volna több adatbázis illetéktelenek általi hozzáférhetőségét. A hiányosságokra azt követően derült fény, hogy egy etikus hekker felhívta a vállalat figyelmét a rendszerben meglévő lyukakra. Utóbbiak miatt egy előfizetői adatokat tartalmazó tesztadatbázis, továbbá egy szintén szenzitív információkat tartalmazó hírlevél-adatbázis is könnyen házon kívülre tudott kerülni.

A nevek mellett születési adatokat, emailcímeket és telefonszámokat is tartalmazó adatcsomagokhoz a www.digi.hu-t kezelő Drupal tartalomkezelő sérülékenységét kihasználva fért hozzá a jószándékú "betörő". A nyílt forráskódú szoftverben meglévő biztonsági rés viszont már 9 éve ismert és a fejlesztő ki is adta a javítást hozzá, ám azt külön kellett volna telepíteni, amit a DIGI-nél nem tettek meg.

A bírság kiszabásánál súlyosbító körülményként vették figyelembe, hogy egy régóta létező biztonsági hibán keresztül voltak elérhetők a szenzitív adatok. Az összeget befolyásolta az érintett ügyfélbázis mérete és a szolgáltató piaci pozíciója, valamint a titkosítás hiánya. A DIGI mellett szól viszont az, hogy a tudomásukra jutott védelmi hibáról azonnal értesítették a hatóságokat, akikkel végig együttműködtek.

Jártak már rosszabbul is

Az egységes adatvédelmi rendelet anno leginkább elrettentő büntetési tételeivel hívta fel magára a figyelmet. A GDPR megsértése miatt kiszabható maximális bírság egyik plafonja a cégek árbevételéhez van kötve. Így ez óriásvállalatok esetében elméletileg akár a milliárd dolláros szintet is elérheti. Ilyen összegek ugyan még nem repkednek, ám a hazai rekordbüntetéshez képest lényegesen nagyobb tételek igen.

A Google esetében például alig kellett néhány hónapot várni arra, hogy megérkezzen az első elmarasztalás. A keresőóriást a francia hatóság büntette 50 millió euróra, mivel annak üzleti gyakorlata több ponton sem felelt meg a GDPR rendelkezéseinek. A Google ugyanakkor még olcsón megúszta, hiszen a szomszédos Nagy-Britanniában több mint 180 millió fontos bírságot kapott a British Airways egy még 2018-ban történt adatlopási incidens miatt.

Biztonság

TeslaMate-fiókok szivárogtatnak érzékeny információkat a Teslákról

Ez most kivételesen nem amiatt van, mert Elon Muskot nagyon leköti az X felemeléséért és a Mars meghódításáért vívott küzdelme.
 
A világ a "cloud first" stratégiát követi. Nem kérdés, hogy a IT-biztonságnak is azzal kell tartania a tempót, de nem felejtheti, hogy honnan startolt.

a melléklet támogatója a Clico Hungary

Hirdetés

Jön a Clico formabontó cloud meetupja, ahol eloszlatják a viharfelhőket

Merre mennek a bitek a felhőben, ledobja-e szemellenzőjét az IT-biztonságért felelős kolléga, ha felhőt lát, lesz-e két év múlva fejlesztés cloud nélkül? A Clico novemberben fesztelen szakmázásra hívja a szoftverfejlesztőket a müncheni sörkertek vibrálását idéző KEG sörművházba.

Minden vállalatnak számolnia kell az életciklusuk végéhez érő technológiák licencelési keresztkockázataival. Rogányi Dániel és Vincze-Berecz Tibor (IPR-Insights) írása.

Miért ne becsüljük le a kisbetűs jelszavakat? 1. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 2. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 3. rész

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2023 Bitport.hu Média Kft. Minden jog fenntartva.