Olcsón megúszta a BKK az adatvédelmi botrányt
https://24.hu/tech/2018/02/02/olcson-meguszta-a-bkk-az-adatvedelmi-botranyt/
2018. 02. 02.

Fél évvel azután, hogy a 24.hu megírta,
https://24.hu/tech/2017/07/25/regisztralt-a-bkk-e-jegy-rendszereben-hozzaferhettek-az-adataihoz/
több mint háromezer ember adatai szivárogtak ki a BKK online jegyértékesítési rendszeréből, ezzel beverve az utolsó szöget is a hibáktól hemzsegő felületbe, az adatvédelmi hivatal bizonyította: a kiszivárgott adatok valósak voltak, a közlekedési céget 10 millió forintos bírság megfizetésére kötelezték, a rendszert fejlesztő és üzemeltető T-Systems Magyarország elleni eljárást viszont megszüntették. A hatósági vizsgálat érdekes részleteket is feltárt.

Adatvédelmi incidens és súlyos jogsértés történt, mondta ki az Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a tavaly nyáron, még a vizes világbajnokság kezdetére a Budapesti Közlekedési Központ (BKK) által elindított, a T-Systems Magyarország (TSM) által fejlesztett online jegyértékesítési rendszer kapcsán.

A határozat szerint
http://naih.hu/files/NAIH-2018-356-H_hatarozat.pdf
a 24.hu birtokába került és a hivatalnak megküldött több mint háromezer felhasználó adatairól „egyértelműen megállapítható, hogy a BKK online jegyértékesítési rendszerének adatbázisából származik”.

A hatóság szerint a BKK rendszerébe annak 2017. július 24-ig történt leállításáig 6315 ember regisztrált, az általunk megküldött adatbázis 3479 felhasználó e-mail címeit tartalmazza, míg a felhasználók körülbelül 6300 személy adatait küldték el a NAIH-nak. A hatóságnál hivatalosan panaszt tévő felhasználók közül – akik úgy nyilatkoztak, regisztráltak a rendszerbe – tizenhárom ember adatait azonosította be a NAIH a 24.hu-s adatbázisban, vagyis az ő adataik biztosan kiszivárogtak. De mivel a hatóság csak egy százas mintát vizsgált, ennél jóval többen is lehetnek.

Péterfalvi Attila, NAIH elnök határozatában kiemeli: a BKK súlyos jogsértés követett el, amikor hibásan határozta meg az adatkezelés jogalapját, a felhasználóknak készült tájékoztatóban kirívó hibák szerepeltek, abból hiányzott az adatkezelő, azaz a TSM megnevezése is, az adatkezelés mikéntje nem volt megtervezve. Ezt igazolja, hogy egy évente több millió utast kiszolgáló fővárosi közlekedési vállalatnak egyetlen konkrét válasza volt az adatvédelmi incidensre: azonnal leállítani az online rendszert, hogy a további atrocitásokat elkerülje.

-- Különösen amiatt tekinthető súlyosnak a Kötelezett (BKK) jogsértése, mivel az online jegyértékesítési rendszer a tervek szerint több tízezer, sőt a későbbiekben több százezer érintett adatainak a kezelésére irányult volna.

– olvasható a határozatban. A jogsértés „azt mutatja, hogy a BKK alacsony szinten tudja alkalmazni a tevékenységére vonatkozó jogszabályi és adatvédelmi követelményeket”.

Az is érdekes, hogy a BKK másfél hónappal az incidens után tudta csak megállapítani, hogy adatszivárgás történt, amikor tavaly szeptemberben bepillanthattak a 24.hu által megküldött dokumentumokba a hatóságnál. Az eset körülményeit a tavaly nyáron megindított belső vizsgálat a mai napig nem tárta fel, pedig „viszonylag rövid időszakra eső adatkezelés megvizsgálására lett volna szükség.”

Emellett az érintetteket sem tájékoztatták az adatszivárgás lehetséges következményiről, így nekik sérült az információs önrendelkezési joguk.

Az adatvédelmi hatóság a rendelkezésre álló információk alapján megállapította a BKK mulasztásait, így azt már nem vizsgálták, hogy mi okozta az adatszivárgás bekövetkeztét. Ugyanakkor felszólították a közlekedési céget, hogy

-- Tegye meg a szükséges intézkedéseket annak érdekében, hogy az adatvédelmi incidens körülményeit, valószínűsíthető kockázatait feltárja, és ezekről a 2017. július 24. előtti időszakban regisztrált felhasználókat tájékoztassa, illetve a jövőbeli adatkezelések során megfelelően gondoskodjon az adatbiztonsági követelmények teljesítéséről.

A maximális kiszabható bírság fele, tízmillió forint megfizetésére kötelezte a hatóság a BKK-t, a cég ugyanakkor olcsón megúszta, tekintve, hogy a 2016-os naptári évben több mint 89 milliárd forintos árbevételt ért el, amire egyébként a NAIH is tekintettel volt.

Tarlós István főpolgármester a Magyar Nemzetnek úgy nyilatkozott: minden fővárosi cégnek egyszemélyi felelőse van, a BKK esetében Dabóczi Kálmán. A BKK vezérigazgatója a lappal közölte: ahogy a Közbeszerzési Döntőbizottság tavalyi, 150 millió forintos büntetést
https://24.hu/belfold/2017/12/21/150-millios-buntetest-szabtak-ki-a-bkk-e-jegyrendszere-miatt/
meghatározó döntését, úgy a NAIH határozatának több pontját is vitatják, ezért várhatóan bírósághoz fordulnak.


Érdekes részletek

#1

A BKK 2017. július 27-én belső vizsgálatot indított annak feltárására, hogy mi okozta az adatvédelmi incidenst, ez azonban jelenleg is folyamatban van, annak eredményéről a közlekedési cég a hatóságnak sem nyilatkozott.


#2

A BKK ugyan szeptemberig nem kezelte adatvédelmi incidensnek a történteket, azt viszont igen, hogy a felhasználók megfelelő azonosítás nélkül képesek voltak adatok törlését kezdeményezni,
https://24.hu/tech/2017/07/21/pofonegyszeru-biztonsagi-szakadek-is-van-a-bkk-nal/
azaz például a regisztrációnál megadott e-mail fióktól teljesen eltérő címről is kérhettük, hogy töröljék a fiókunkat, és az megtörtént.

Mint a határozatban olvasható: “a törlés elvégzését megelőzően nem került megfelelően azonosításra az érintett.”

Ennek elhárítása érdekében a BKK felfüggesztette a személyes adatok törlésében részt vevő munkavállalók hozzáférését az online jegyértékesítési felület háttérrendszeréhez.


#3

A TSM szállította és saját maga üzemeltette a rendszert, ahhoz a BKK-nak nem volt hozzáférése (adatbázis, naplófájl), így annak ellenére, hogy adatkezelő volt, detektálni vagy kivizsgálni sem tudott volna egy esetlegesen bekövetkező eseményt.

-- Az adatbázisokhoz csak a TSM által kijelölt üzemeltető kollégák fértek hozzá”

– írta a BKK a hatóságnak. A TSM pedig közölte: az adatbázis és az alkalmazás szerverét valóban ők üzemeltették, de a webszervereket, a routereket, a hálózati infrastruktúrát már a BKK.


#4

A TSM által felkért külső cég, az Ernst&Young vizsgálata során sérülékenységeket tárt fel a rendszerben, amelyek már az üzembe helyezést megelőzően is fennálltak. Ugyanakkor a TSM úgy nyilatkozott:

-- a jelentésben rögzített sérülékenységek döntő többsége elvileg sem teszi lehetővé az adatok kiszivárgását. Az adatvédelmi szempontból releváns sérülékenységekkel kapcsolatban az E&Y tényleges adatszivárgásra utaló nyomot nem tudott kimutatni.

Ezzel kapcsolatban megküldtük kérdéseinket a TSM-nek, így például érdeklődtünk a döntő többségen felüli sérülékenységek okozhattak volna-e adatszivárgást? Illetve, ha nem találtak adatszivárgásra utaló nyomot, akkor hogyan került az adatbázis illetéktelen kezekbe?


#5

A határozat szerint „ezeket a hiányosságokat a rendszer átvételekor, vagyis az adatkezelés megkezdése előtt kellett volna feltárnia a BKK-nak, illetve a TSM-nek.” Hozzátették: a tényállás feltárása során a BKK nem igazolta, hogy ilyen ellenőrzést bármilyen módon elvégzett volna.


#6

A TSM tekintetében ugyanakkor arra jutottak, hogy megtette a megfelelő intézkedéseket az incidens körülményeinek feltárására, „melyek alapján nem állapítható meg, hogy a rendszer üzemeltetése körében felmerülő hiányosság okozta volna az adatvédelmi incidens bekövetkezését.” Így ellenük az eljárást megszüntették.

Hogy érthető legyen a történet: kicsit olyan ez, mint amikor az ember szerelőnél hagyja az autót, majd amikor elvinné azt, a szerelő közli, hogy a fék még nem működik megfelelően. Emberünk ennek ellenére elviszi az autót családostul, mindenestül, majd balesetet szenved. Az okozott károkért nem a szerelő (TSM) felelős, hanem a sofőr (BKK), aki a döntést meghozta, hogy a tudottan hibás autóval mégis elindul.


Időrend

-- 2017. július 21. 12:00 és júius 23. 16:00 Túlterheléses támadás (DDoS) érte az online jegyértékesítési rendszert.
-- 2017. július 23. A BKK leállította a rendszert, többé nem lehetett regisztrálni, ez volt az egyetlen esemény, amelyet az adatvédelmi incidens elhárítása érdekében tett a NAIH szerint.
-- 2017. július 24. A 24.hu megküldi a birtokába került adatbázist a NAIH-nak.
-- 2017. július 25. Megjelenik a tényfeltáró cikk.
https://24.hu/tech/2017/07/25/regisztralt-a-bkk-e-jegy-rendszereben-hozzaferhettek-az-adataihoz/
-- 2017. július 27. A BKK belső vizsgálatot indít, ez még jelenleg is folyamatban van.
-- 2017. július 31. A NAIH adatvédelmi hatósági eljárást indít.
https://24.hu/belfold/2017/08/02/bkk-botrany-eljaras-indul-az-e-jegy-es-bubi-felhasznalok-adatai-miatt/
-- 2017. augusztus 2. A BKK közbringa rendszere is kompromittálódhatott,
https://24.hu/tech/2017/08/02/regisztralt-a-bkk-kozbringarendszereben-hozzaferhettek-az-adataihoz/
a 24.hu újabb adatbázist továbbított, az ezzel kapcsolatos hatósági eljárás még tart.
-- 2017. augusztus 2. A NAIH nyilatkozatra hívta fel a BKK-t és a TSM-t, hogy felderítse, ki milyen minőségben érintett az ügyben, és mi történt pontosan. A 2013. szeptember 4-én kötött fő projektszerződés, illetve annak 2017. július 13-án kelt 3. számú módosítása alapján: a BKK adatkezelőnek, a TSM adatfeldolgozónak számít.
-- 2017. augusztus 17. A BKK nem azonosítja adatvédelmi incidensnek a történteket.
-- 2017. augusztus 18. és 21. A TSM bizonyítja, hogy adatfeldolgozó az ügyben.
-- 2017. szeptember 6. A TSM betekint a NAIH dokumentumaiba, így a 24.hu által megküldött adatbázisba.
-- 2017. szeptember 12. A BKK betekint a NAIH dokumentumaiba, így a 24.hu által megküldött adatbázisba.
-- 2017. szeptember 15. A BKK úgy nyilatkozik, mégis adatvédelmi incidens történt.
-- 2017. szeptember 21. A TSM megküldte a független tanácsadó cég vizsgálati jelentését, de iratbetekintési korlátozást kért rá. Abban rögzítésre kerültek a sérülékenységek, de adatszivárgásra utaló nyomot, bizonyítékot nem találtak.
-- 2017. december 11. A BKK a tűzfal-naplóállományt megküldi a hatóságnak, közlik: részletesebb vizsgálatot csak TSM tud lefolytatni.
-- 2017. január 22. A NAIH megállapítja a jogellenes adatkezelést, és bírság megfizetésére kötelezi a BKK-t.

Válasz