Néhány héttel ezelőtt adathalász támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t. A támadás sikeres volt, így a támadó illetéktelen hozzáférést szerezhetett a közoktatás minden intézményében kötelezően használt adminisztrációs rendszer adataihoz.

Kiszivároghatott az összes adat

A támadók valamennyi diák összes, a KRÉTA-ban kezelt adata kiszivároghatott, de nemcsak ezekhez, hanem a cég más adatbázisaihoz és a forráskódokhoz, illetve a fejlesztők belső kommunikációjához is hozzáférhettek. A Telex információit a cégen belülről is megerősítették: egy projektvezető kattintott egy fertőzött linkre egy átverős emailben, az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül. A BudaPestkörnyeke.hu legfrissebb híreit ide kattintva éred el.

Napló, ellenőrző és adminisztrációs rendszer

A KRÉTA szélesebb körben elsősorban e-naplóként ismert, de mára egy komplett közoktatási informatikai rendszerré duzzadt. Összesen húszféle modul és különféle alkalmazások tartoznak hozzá, többek között olyan szolgáltatásokkal, mint az az e-napló, e-ellenőrző, intézményi adminisztrációs rendszer, digitális kollaborációs tér, e-ügyintézés, illetve egészségüggyel, étkeztetéssel, gazdálkodással, HR-ügyekkel kapcsolatos adminisztráció.

A Budapest és Környéke hírportált az erősebb napokon már százezrek olvassák. Olyan portálokkal vagyunk egy listán, mint a Telex, Origo, Index, Blikk, az RTL és a TV2 weboldalai. Köszönjük, hogy most te is minket olvasol!

Fogyatékosságok és magatartászavarok

A KRÉTA a diákok és a tanárok szinte minden adatát tartalmazza valamilyen moduljában, a taj-számok és más személyes adatok vagy a jegyek, intők a triviális kategória. Ezen felül a tanulók fogyatékosságai, magatartászavarai, a felmentések, az igazolások, az egészségügyi adatok, a pedagógusok és más alkalmazottak HR-adatai, az intézményi költségvetések is hozzáférhetővé váltak.

Van realitása

A rendszer korábbi fejlesztési vezetője, Kovács Gábor szerint valóban megtörténhetett a szeptemberi támadás: ha az adatok az adatbázisban titkosítva is vannak tárolva, ám megvan a megfelelő belépési azonosító, a jelszavakat kivéve a diákok adatait tényleg meg lehet szerezni.

Nem indult nyomozás

Az eKRÉTA Zrt. egyelőre nem reagált a történtekre, és a magyar oktatás szereplői sem formáltak véleményt az esetről. Az Országos Rendőr-főkapitányság azt írta, hogy nem indult büntetőeljárás az ügyben. Olyan információk is napvilágot láttak, hogy az elkövető kiskorú lehetett, de ennek az állításnak a hitelességét más forrásból nem erősítették meg.

72 órán belül jelenteni kell

Az adatvédelmi incidenseket az Európai Unió adatvédelmi rendelete, a GDPR értelmében az adatkezelő köteles alapesetben 72 órán belül bejelenteni. A Nemzeti Adatvédelmi és Információszabadság Hatóság sem reagált arra a kérdésre, miszerint érkezett-e hozzájuk az elmúlt három hónapban a KRÉTA közoktatási rendszert, illetve az eKRÉTA Zrt.-t érintő bejelentés adatvédelmi incidensről – írta a Telex.

Egyszereplős fejlesztés

A KRÉTA 2016-ban indult, a cél az volt, hogy újra egyetlen központi e-napló felé tereljék az iskolákat. A fejlesztéssel egy egyszereplős, meghívásos közbeszerezés keretében az egyetemi Neptun tanulmányi rendszer mögött álló SDA Informatika Zrt.-t bízták meg, és az új közoktatási rendszer alapja is a Neptun lett. Ebből a cégből vált ki aztán 2016 májusában az eKRÉTA Informatikai Zrt.

Komplett közoktatási rendszerré bővült

Az első, 2016/2017-es tanévben még önkéntes volt a KRÉTA e-naplójának használata, de intézményi adminisztrációs feladatokra már ekkor is minden állami fenntartású iskola ezt használta, majd a következő években az e-napló is fokozatosan kötelezővé vált, és mára a KRÉTA komplett közoktatási rendszerré bővült. A KRÉTA működésében korábban is előfordultak kisebb-nagyobb fennakadások. A legemlékezetesebb az volt, amikor a koronavírus-járvány harmadik hulláma miatt tavaly március elején bezárták az iskolákat, és a digitális oktatás első napján a rendszer összeomlott.

Közel a tűzhöz

Az eKRÉTA Zrt. 2021-es nettó árbevétele 12 milliárd forint volt, ez majdnem duplája a 2020-asnak, amely viszont több mint duplája volt a 2019-esnek. A 2021-es adózott eredménye 3,5 milliárd forint volt. A cég tulajdonosa jelenleg a tavaly év végén létrehozott eKRÉTA Vagyonkezelő Zrt. A társaság Fauszt Zoltán érdekeltségi körébe tartozik, aki korábban Palkovics László későbbi technológiai és ipari miniszter üzlettársa volt, és azóta is jó kormányzati kapcsolatokkal rendelkezik, a különféle informatikai érdekeltségei az elmúlt években számos közbeszerzést nyertek. A BudaPestkörnyeke.hu legfrissebb híreit ide kattintva éred el.

Kiemelt kép: illusztráció. Fotó: rtl.hu