„Köszönjük
Reggeli gyors

Ellopták a diákok adatait: nem kell mindig elbújni a felelősség elől

8/11/2022 12:40

| Szerző: Klubrádió/Bohus Péter

Feltörték a KRÉTA rendszert, amelyben adminisztrálják a közoktatást, és nem csak a diákok jegyei láthatók, de az olyan érzékeny adatok is, hogy egy tanuló milyen egészségügyi problémákkal küzd. Rab Árpád szakértő szerint nem profi támadás történt, hanem csak véletlenül akadt a horogra egy ekkora adatbázis. A Nemzeti Adatvédelmi és Információszabadság Hatóság hivatalból eljárást indított. Az adatbázisok ma rengeteget érnek a kreatív kezekben, de sokan úgy vannak a kiberbiztonsággal, hogy talán nem is olyan fontos, ezért nem fordítanak rá figyelmet. Pedig fontos lenne.

2022. november 08. Reggeli gyors - részlet 2022.11.08. Rab Árpád
11:32
00:00

A KRÉTA a magyar közoktatást támogató online rendszer, ami Rab Árpád, a Nemzeti Közszolgálati Egyetem Információs Társadalom Kutatóintézetének tudományos főmunkatársa szerint alapvetően egy jó rendszer. Ez az, amiben a diákok jegyeit is rögzítik, de mint minden rendszer "platformosodásra törekszik", tehát egyre több funkciót tesznek bele, így ma már az iskolák működése, a diákok egyéni jellemzői és sok más adat megtalálható benne, mondta a szakértő.

Koronavírus - Digitális tanrend
 
Koronavírus - Digitális tanrend /
Letenye, 2020. március 19. A Köznevelési Regisztrációs és Tanulmányi Alaprendszer (KRÉTA) bejelentkezési oldala egy táblagépen a Letenyei Andrássy Gyula Általános Iskolában. MTI/Varga György
 


A KRÉTA rendszert valamikor szeptemberben törhették fel, de a konkrét esetről a nyilvánosságban csak pletykák vannak, ami Rab szerint annyiban érthető is, hogy a cégek általában nem szeretnek a hibáikról beszélni, ő ezzel szemben úgy véli, rossz, hogy nincs nyilvános vita róla, mert annak hiánya növeli a társadalmi bizalmatlanságot. "Akkor tudunk tanulni, ha megtörtént, belefutottunk, és onnantól konkrétan arra fogunk figyelni a jövőben. ... Ez sokkal többet segíti, mint a hallgatás. Nem kell állandóan elbújni a felelősség alól, mert erről nem tehet".

Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke a Telexnek azt írta, a hatóság hivatalból eljárást indított az ügyben.

Rab Árpád elmondta, hogy az adatlopásra szakosodott ipar nagy, a szereplőivel pedig az ellenük védekezők hatalmas a harcot vívnak, amiben "nem szégyen egy csatát elveszíteni". Sokszor nehéz is felderíteni, hogy mi történt, és ha fény derül a fertőzésre vagy a behatolásra, kérdés, a támadó mennyi adatot töltött le, milyen formátumra, mire használja, kikerül-e a dark webre.

A kutató szerint jó, hogy halad a digitalizáció, de el kell felejteni, hogy vannak adatok, amelyek tulajdonképpen nem számítanak érzékenynek, ugyanis minden adat nagyon fontos.

Sokan úgy vannak vele Rab szerint, hogy á, ezek csak iskolai jegyek, és miért is érdekelne bárkit. Vagy sokan mondják, kit érdekelne, hogy merre vezetnek, otthon vannak-e, pedig a szakértő szerint egy kis kreativitással ezekből a tényekből nagyon sok információt lehet leszűrni. Az adatok értékét az adja, hogy mennyire lehet őket kontextusba helyezni.

A legtöbb esetben szerinte a "kiberbiztonsági piac jó része vakon lövöldözés": szétküldik a szpemeket, próbálkoznak. Ennél jóval csekélyebb része a célzott, profi támadás, ahol feltérképezik a rendszert, a humán gyenge pontot, és a behatolást talán észre sem veszik. Ha egy profi jut be a rendszerbe, akkor nagy figyelmet fordít arra, hogy ne vegyék észre, és így évekig bent lehet a rendszerben, úgy, hogy nem tudnak róla. 

Ez a KRÉTA-s eset azonban feltehetően az előbbi, amikor az adatlopó özönben egyszer csak horogra akadt "valami jó". Egy ilyen adatbázist például el lehet adni egy oktatási szoftverfejlesztőnek, akinek nincsenek primer adatai, tette hozzá.

Hatalmas csapdának nevezte, hogy miközben ezeket az adatokat rögzíteni kell – mert az iskolai rendszerben meg kell legyen, ki gluténérzékeny, ki igényel különleges figyelmet, kinek van figyelemzavara, és ezeket jó szándékkal és iszonyú jó elképzelések fejlesztése érdekében tárolják –, de nem szabad elfelejteni, hogy többszörös biztonsági védelem kell, aminek megvannak a trükkjei. 

Sokszor azonban a szoftverek, informatikai rendszerek megrendelői nem költenek a biztonságra, mert nehéz kimutatni, hogy megtérül, hiszen ha jól csinálják, akkor nem történik semmi. Ezért egy idő után azt mondják, hát itt nem történik semmi, ezért inkább más fejlesztésre fordítják a pénzt. Az informatikában dolgozók persze mindig nagyon túlterheltek, és a biztonságra jut a legkevesebb idő, és inkább a fejlesztésre, az üzemeltetésre fordítanak energiát, de Rab szerint sajnos a támadók, adathalászok elleni védekezést nem lehet elhanyagolni.

A beszélgetést a fenti lejátszóra kattintva hallgathatja meg!

Reggeli gyors/Interjú Rab Árpáddal
2022. november 08., kedd 08.45
riporter: Dési János