A húsvéti szünet után üzenet érkezett a PDSZ Facebook-oldalára az alábbi szöveggel: „Tudnak arról, hogy több intézményben az osztályfőnök tájékoztatása szerint a Kréta-adatok kikerültek a Dark Webre?
Mi ezt kaptuk az osztályfőnöktől 2024. március 29-én a messegner csoportban, tehát nem is hivatalos úton kaptunk értesítést az intézménytől!!!!! Azért is bosszantó, mert ez a sokadik Kréta-probléma és a gyerek – techikumi tanuló lévén – bankkártyaadatai is fent vannak a Krétában. Az pedig nem nyugtat meg, hogy még azt sem képesek bevallani melyik intézményeket érinti valóban a probléma. …és ezt a rendszert akarják összekötni az egészségügyi rendszerrel az igazolások miatt. Akkor a TAJ-szám és minden egyéb adat is kikerülne?!?! Szép…” – Ennek a hírnek mentünk utána.
Az előzmények
Azt hírekből és a kollégák jelzései alapján már jó ideje tudtuk, hogy a Kréta rendszer enyhén szólva sérülékeny. Olyannyira az, hogy diákoknak is sikerült feltörni. Arról is tudhatunk, hogy a jelzésekre nem reagáltak az illetékesek, sőt, igyekeztek eltussolni, hogy érzékeny adatok kerülhettek ki a Kréta-rendszerből, amelynek használatát nemcsak a közoktatásban, hanem a szakképzésben is, és újabban már a közoktatáson belül az óvodákban is előírják.
A Kréta sérülékenysége olyannnyira botrányossá vált, hogy 110 milliós bírságot kapott az a cég, amelyik a Kréta adataiért felel. Ilyen előzmények után egyáltalán nem tartottuk lehetetlennek azt, hogy megtörténhetett, amit üzenetben kaptunk.
Jelszóváltoztatás, kétfaktoros belépés
A kollégáktól olyan visszajelzéseket kaptunk, hogy a tavaszi szünet előtt több intézményben – elsősorban szakképző intézményekben – azt a rendszergazdai üzenetet kapták, hogy változtassanak jelszót és állítsanak be kétfaktoros azonosítást, de hogy konkrét adatvédelmi incidens történt volna, arról nem kaptak értesítést.
Megkérdeztük Maruzsa Zoltán államtitkárt is, aki először arról írt, hogy mivel az üzenetben szakképzésről van szó, ő abban nem illetékes, majd amikor jeleztük, hogy tudomásunk szerint alapvetően egy Kréta-rendszer van ugyanazzal az üzemeltetővel, azt válaszolta, hogy a jelzett üzenetek háttere szerinte az, hogy a Kréta folyamatosan szkenneli a belépések jellemzőit, és ha bármilyen jel egy felhasználónál biztonsági kockázatra utal, a rendszer megelőző céllal üzenetet küld, hogy változtasson jelszót.
A kérfaktoros azonosításról az alábbi szülői üzenetet kaptuk:
„…Ezzel kapcsolatban szeretném jelezni, hogy a KRÉTA rendszerben a kétfaktoros belépés tulajdonképpen nem működik, nem ad semmi védelmet egy támadóval szemben, mert megkerülhető. A második faktort kizárólag a webes felületen kéri el. A szülői és gyermek Kréta-appba akkor is be lehet lépni simán jelszóval, ha be van állítva a második faktor. Nekem legalábbis simán sikerült. Üdvözlettel: Egy szülő”
Kik vihettek ki adatokat a Dark Webre?
Levelet írtunk a Kulturális és Innovációs Minisztériumnak is:
Tisztelt Miniszter Úr, tisztelt Ügyfélszolgálat!
Az alábbi kérdésben kérem, szíveskedjenek információt adni. A korábban Maruzsa Zoltánnak megküldött levélben idéztem a PDSZ-hez beérkezett szülői üzenetet, amely szerint értesítést kaptak volna, hogy május végén a Kréta rendszert újból feltörték, és adatok kerülhettek ki a Dark Webre. Arról, hogy pedagógusok értesítést kaptak, hogy jelszót módosítsanak közvetlenül a tavaszi szünet előtt, több intézményből, és főként szakképző intézményekből kaptunk kollégáktól visszajelzést. Kérem, írják meg, hogy a szülő által jelzett incidensről tudnak-e, ill. ha igen, milyen lépéseket tettek az adatok védelme, a Kréta rendszer biztonságának megerősítése érdekében. Konkrétan kikerülhettek-e tanulói vagy más egyéb érzékeny adatok a Dark Webre? Maruzsa Zoltán államtitkár azt válaszolta, hogy ők erről nem tudnak, nem is foglalkoznak vele, mivel technikumból érkezett a levél, és kérdezzem Önöket. Ez a válasz engem annyiban meglepett, hogy tudomásom szerint alapvetően egy Kréta rendszer van, de azért is kérdezem Önöket, mert hátha erről az esetről többet tudnak, mint a BM, illetve időt, energiát fordítottak az adatvédelmi esetek kivizsgálására.
Válaszukat előre köszönöm, üdvözlettel:
Nagy Erzsébet
Levelünkre az alábbi választ kaptuk Pölöskei Gáborné szakképzésért felelős helyettes államtitkártól:
Mi is derül ki ebből a levélből?
Volt tehát alapja a szülői jelzésnek, csak éppen arról az érintetteket nem tájékoztatták, hogy személyes adataik kerülhettek ki a Dark Webre. Vajon miért nem?
Véleményünk szerint mindazok, akik erről tudomást szereztek, súlyos mulasztást követtek el. Ha ilyen súlyos adatvédelmi incidens az NSZFH vagy a minisztérium tudomására jut, kötelességük lett volna az érintetteket értesíteni. Márpedig tudomásunk szerint ilyen hivatalos tájékoztatás nem történt.
Pölöskeiné állítása szerint nem kívülről támadták a Kréta rendszerét. Akkor hogyan is kerültek ki adatok? Tulajdonképpen kikre is vetül gyanú a helyettes államtitkár levele alapján?
Egyértelmű, hogy rendszergazdákra, intézményvezetőkre, helyettesekre, bizonyos adatok esetében az osztályfőnökökre, szaktanárokra, magyarul az intézményekben dolgozókra.
No, de történt bármiféle vizsgálat ez ügyben? Ha nem, miért nem? Pölöskeiné gyakorlatilag az intézményeknek dobta vissza a labdát.
Miért nem tájékoztattak senkit erről a súlyos adatvédelmi incidensről? És ha szerintük belülről vittek ki adatokat, akkor miért nem vizsgálódtak tovább? Ez így csak feltételezés, de egyben gyanúsítgatás is.
Milyen adatok kerülhettek ki, és miért probléma mindez?
A Kréta rendszeren keresztül egyre több iskolai, és immár óvodai adatkezelés is történik. A tanulók, gondviselők adatai, születési adatok, lakcímek, TAJ-számok, sőt, az ösztöndíjak kapcsán bankszámlaszámok is kerülhetnek így illetéktelen kezekbe .
A Krétát minden állami és önkormányzati fenntartású intézményben kötelező használni, választási lehetőség tehát nincs.
A világszínvonalú naplórendszer nem kellett az államnak, és a választás lehetőségét se adják meg az iskoláknak, hamarosan pedig az óvodákra is kiterjed a Kréta erre az intézménytípusra fejlesztett változata, az oviKréta. A mulasztások, orvosi igazolások kezelése esetén még további érzékeny adatok kerülhetnek ki, ezek szerint akár a Dark Webre is.
A PDSZ abban érdekelt, hogy derüljön fény minden súlyos adatvédelmi incidensre, amikor tömegével kerülhetnek ki gyermekek, tanulók, szülők, gondviselők, alkalmazottak adatai a Kréta rendszerből. Kérjük ezért, hogy jelezd, ha adatvédelmi incidensről szerzel tudomást! Az illetékes minisztériumoktól, fenntartóktól és munkáltatóktól pedig elvárjuk, hogy a tudomásukra jutott eseteket vizsgálják ki, és mindenekelőtt az érintetteknek adjanak tájékoztatást!
És ne feledd, nagyon fontos, hogy csatlakozz a PDSZ-hez!
MERT ÍGY TUDUNK KÉPVISELNI ÉS MEGVÉDENI. NE FELEDD: EGYÜTT ERŐSEBBEK VAGYUNK!
KATTINTS A PDSZ MEGÚJULT HONLAPJÁRA!
Adód 1%-ával tudod támogatni a PDSZ által létrehozott alapítványt, amelynek segítségével sok száz kollégának tudtunk anyagi segítséget nyújtani, akik munkabeszüntetésben vettek részt, és emiatt anyagi veszteséget szenvedtek volna el. Számítunk további támogatásotokra!
