Bizonyára nagyon sokan kapták fel a fejüket a Digi 100 milliós bírságára, azonban valószínűleg nagyon kevesen olvasták végig a NAIH elmarasztaló határozatát, holott abban számos érdekesség lelhető fel.
Kezdjük is először azzal, hogy a NAIH bár kezdetben "támadásnak" írja azt, ahogy a Digi rendszerébe betörtek, utána mégis következetesen "etikus hackernek" nevezi azt a támadót, aki egyébként birtokba is vett az Adatbázisból Személyes adatokat "bizonyítékként". Ebben azonban van néhány érdekesség. Az első az, hogy:
Az etikus hacker mindig felkérésre dolgozik és titoktartás mellett.
Ez nem is lehetne másként, hiszen ő éppen attól "etikus", hogy nem saját szakállára keres sérülékenységeket, hanem felkérésre. Ez ugyanis - ahogy azt az egyik magyarországi, valóban papírokkal rendelkező etikus hacker tanította nekem - a tevékenység alapja. Jelen esetben éppen ezért az első probléma ott kezdődik, hogy miközben a NAIH határozatban is az szerepel, hogy:
A sérülékenység már a weboldal külső, behatolás mentes ellenőrzéséből is látható volt, ezzel nem elégedett meg a NAIH határozat szerinti támadó, hanem illetéktelenül behatolt a rendszerbe és ott arra jogosulatlanul kezelésbe vett egy személyes adatot is, amivel egyértelműen túllépett az etikusságon.
Nem szabad ugyanis elfeledkezni arról, ahogy a BKV minden színvonalat alulmúló úgynevezett jegyértékesítési "szolgáltatásából" pusztán egy parancssor átírásával hülyét csináló kamaszt meghurcoltak, rabosították [1] - majd a józan ész alapján megszüntették a nyomozást - ahogy arról sem, hogy a Telekom ügyében [2] el is ítéltek valakit. [3]
Felmerül tehát a kérdés, hogy vajon tényleg csak azért más ez az eset, mert a bejelentés következtében egy komoly jogsértésre mutattak rá? Hiszen elég csak a két kamaszt részben sikeresen védő TASZ [4] útmutatójára utalni, ami bár az etikus hacker fogalmát szélesen értelmezi, de az adatok lementése még aszerint sem megengedhető:
"11. Minél kevesebb személyes adatot ismerj meg, ilyen után szándékosan ne kutakodj, és semmiképpen ne mentsd el!"
Amiből az következik, hogy egy minősített etikus hacker, ha valóban véletlenül talál rá egy oldalra, amin hiba van, ami ráadásul az oldalra való belépés nélkül is detektálható:
Akkor erről kellett volna tájékoztatást adnia az Adatkezelő részére, nem pedig azzal visszaélve belépni az oldalra és onnan adatokat letölteni.
A fentiekből következően minden Adatkezelőnek rendkívül óvatosnak kell lennie a jövőben, mert az első levél és az arra érkező válasz alapjaiban határozza meg a későbbieket. Hiába veszi ugyanis ezekben az esetekben figyelembe nevesítetten a NAIH az együttműködést, a jogsértés megszüntetését, az már csak a büntetés mértékére lehet hatással. Ebben az esetben pedig ez meg is történt, hiszen az Adatkezelőnek az incidenssel érintett két évben kb 50-50 milliárdos forgalma volt, ennek alapján pedig akár 2 milliárd forintos bírság kiszabására is lehetőség nyílt volna egy közel tíz éve fennálló hiányosság miatt. A 100 millió forint bírság tehát a valóságban mindössze a maximális bírság 5%-át teszi ki, ami tehát bár nominálisan valóban soknak tűnik, de a kivethető bírság maximumához képest semmiféleképpen sem nevezhető irreálisnak, hiszen az ennél csekélyebb összegű bírság kiszabásával nem biztos, hogy megvalósulna a GDPR által előírt visszatartó erő.
Nézzük azonban most ezt a 100 millió forintot más irányból:
Ha az Adatkezelő titkosította volna ezeket az adatokat - ingyen - akkor hiába lett volna betörés, még csak be se kellett volna jelenteni az Adatvédelmi incidenst, mivel a titkosított adatokkal a támadó akkor sem tudott volna mit kezdeni, ha tudta volna, hogy azok kódolatlanul Személyes adatok lennének.
A másik fontos észrevétel az, hogy így járnak azok, akik "ingyenes" rendszert használnak a Személyes adatok kezelésére, hiszen amit "megtakarítottak" a licenszeken, azt most elveszítették a bírságokon. Sőt, kamatostul.
Abban az esetben pedig, ha valóban igényelték volna egy minősített etikus hacker szolgálatait, akkor ennek a bírságnak a töredékéből rendbe lehetett volna tenni a rendszerüket.
A történet másik érdekessége pedig az, hogy mindez az eseménycunami nem következett volna be, ha nem "ösztönösen" és "kapkodva" keresnek megoldásokat, hanem elvégzik a szükséges Adatvédelmi hatásvizsgálatokat. Ebben az esetben például - ahogy a NAIH határozat is rámutat - habár a tesztelés és a folyamatos üzletmenet fenntartása legitim Cél, a Személyes adatok felhasználása nem jogellenes, de:
bármilyen módszer alapján az Adatvédelmi hatásvizsgálat éppen azt állapította volna meg, hogy egy ilyen Adatbázis létrehozása az érintettekre nézve önmagában magas kockázattal jár, ezért azt csak a lehető legrövidebb ideig lehetett volna megtartani.
Fontos tehát azt látni, hogy a Cél hiába legitim, ha az adott Célból már nincs szükség a Személyes adatok kezelésére és azokat nem semmisítik meg. Pusztán ennek a felismerése azt jelentette volna ebben az esetben, hogy ha az Adatbázist azonnal törlik amint arra már nincs szükség, akkor most egy, vagy több nagyságrendileg csekélyebb jelentőségű ügyről lehetne beszélni. Jól látható tehát, hogy bár egy Adatvédelmi tisztviselőnek fontos a személyiségi jogokhoz is magas szinten értenie, de informatikai rendszerek esetén a rendszertervezéshez és a programok, rendszerek működéséhez annál inkább kell értenie, hiszen a személyiségi jogokat ebben az esetben ezekre figyelemmel kell érteni.
Mindezek alapján levonhatók a tanulságok:
- nagyon nem mindegy, hogy milyen válaszlevél születik az első megkeresésre. Egy klasszikus jogi levél egy ilyen esetben az öngyilkossággal ér fel
- mindenkinek érdemes a TASZ iránymutatását elolvasnia, mert érdemi védelemre csak az számíthat, aki az abban foglaltaknak megfelelően közérdekből - és minden egyéb szándéktól mentesen tesz észrevételeket
- az Adatvédelmi tisztviselő egyik feladata éppen az, hogy képes legyen az informatikai rendszerek olyan áttekintésére, aminek az alapján a fenti helyzetek elő sem állhatnak
- az ingyenes rendszerek az "olcsó húsnak híg a leve" kategóriába tartoznak ezekben a méretekben, mert azokért senki sem vállal felelősséget. Ha ugyanez a rendszer például valamelyik multinacionális vállalat SAAS (szoftver szolgáltatás) rendszerén futott volna, és abban lép fel a hiba - akkor a bírságot is ők fizették volna ki.
A NAIH határozat tehát indirekt formában azt mondta ki, hogy csak az üzemeltessen ingyenes rendszereket, akinek van arra erőforrása, hogy a szakmai fórumokat bújja, ezeket monitorozza és képes legyen arra is, hogy a nem hivatalos támogatások közül is el tudja dönteni, hogy melyiket szabad és melyiket nem szabad telepíteni.
Enélkül ugyanis nincs meg a felkészültség, és nincs meg az a készség, amivel a GDPR-nak megfelelően lehetne egy ilyen rendszert üzemeltetni. A tűzfal emlegetése ezért is tévedés, hiszen az sérülékenységek és az elmaradt Adatvédelmi hatásvizsgálatok ellen nem véd meg senkit sem. Nem vitatva annak a szükségességét, de egy ilyen esetben az erre való hivatkozás sacc/kb azt jelenti, hogy "úgy akarjuk megvédeni a rendszert, amihez nem értünk kellő szinten, hogy távol tartjuk az etikus hackereket". Na ezért nem mindegy, hogy milyen választ ír egy Adatkezelő egy hatósági eljárásban. Mert ez nem megoldás és nem megnyugtatás a jövőre nézve. És nem a NAIH számára nem az, hanem a vállalkozás számára nem az, mivel rendkívül fontos annak a megértése, hogy mindig az Adatkezelőt büntetik meg, ezért ezt a felelősséget sem egy belső, sem egy külső szakértő nem tudja átvállalni. És mindig lesznek nulladik napi sérülékenységek, és az azt kihasználni vágyók is.
Ezt kell mérlegelni a Személyes adatok kezelésének a megkezdése előtt. És csak utána szabad belekezdeni. Már csak azért is, mert valójában ezt írja elő és várja el a GDPR.
Karanténmentes boldog nyarat kívánok mindenkinek!
Hivatkozások:
[1] https://infostart.hu/belfold/2017/08/21/bkk, https://444.hu/2017/07/20/18-eves-fiatal-jelezte-a-bkk-nak-hogy-50-forintert-tudott-berletet-venni-de-koszonet-helyett-inkabb-feljelentettek
[2] https://nepszava.hu/3064179_nem-mondott-igazat-a-birosag-kozlemenye-az-etikus-hacker-ugyeben-allitja-a-tasz
[4] https://tasz.hu/cikkek/utmutato-etikus-hackereknek
