Dén Mátyás informatikus-közgazdász szerint csak a szerencsén múlt, hogy nem szerv- vagy emberkereskedőkhöz kerültek a gyerekek adatai. A szülőkkel pedig azóta sem kommunikál senki.
Két hete elsőként a Telex adott hírt róla, hogy még szeptemberben adathalász támadás érhette a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcégét. A diákok adatai mellett a cég más adataihoz és forráskódokhoz is hozzáférhettek a támadók, akik maguk jelentkeztek a hírportálnál. Azt állították, arra is van bizonyítékuk, hogy a fejlesztők megpróbálták elhallgatni a történteket. Elmondásuk szerint akciójukkal a magyar rendszerek rossz állapotát akarták bemutatni, de a megszerzett személyes adatokat nem teszik közzé, mert nem akarnak ártani a diákoknak. Az ügyben azóta vizsgálatot indított a Nemzeti Adatvédelmi és Információszabadság Hivatal (NAIH). Dén Mátyás szülőként és szakemberként is botrányosnak látja a történteket.
– Azt is mondhatják sokan, hogy oké, volt ez a botrány, kiszivárogtak adatok, de hát mit tudnak azzal kezdeni? Kit érdekel Zsófika kettese bioszból?
– Kettős minőségben bosszant a téma, egyrészt mint szülő, másrészt magam is informatikus-fintech szakközgazdász vagyok, és a kettő együtt megnyomta nálam a piros gombot. Feltörték a kódot, és ez azt jelentette, hogy kikerült a forráskód és állítólag az adatbázis is. Valószínűleg etikus hackerek kezébe. Az, hogy kvázi „jó” kézbe került, annak örülni kell, mert ez az adatbázis a Magyarországon tanuló iskolás korú gyerekeknek a nevét, címét, születési dátumát, fogyatékosságait, órarendjét stb. tartalmazza. Ennek alapján meg lehet tudni, hogy egy adott gyermek mikor, nagyjából milyen útvonalon mozog a városban. Tehát legalább annak örülhetünk, hogy etikus hackerek kezébe került, mert ők valószínűleg nem fogják például szerv- vagy emberkereskedőknek átadni. Viszont maga a forráskód nyilvános szerverekre került, aki akarja, megkeresheti.
És hát ez nem egy modern kód, tehát finoman szólva is azért a sok tízmilliárdért, amit erre költöttek, lehetett volna talán komolyabb rendszert is építeni. Jelenleg az a helyzet, hogy nem tudom, hogy ki fogja tudni, hogy mikorra ment iskolába a gyerekem, hány éves, mikor beteg? Ez borzasztóan veszélyes, és csodálkozom, hogy szeptember vége óta semmilyen hivatalos kommunikáció nincs ezzel kapcsolatban. Ez durva dolog. Ez az elmúlt évek legkomolyabb adatvédelmi botránya, ilyen nem fordulhatna elő.
– Ez így már ijesztően hangzik. Mit lehet itt tenni?
– Megírtam az iskolának, mint szülő, hogy miután kint van a forráskód, és ezáltal bárki érzékeny adatokat tud szerezni ebből a rendszerből, amiben még kettős hitelesítés sincsen, megkérem őket, hogy az én gyerekeimnek legyenek szívesek vegyék ki a személyes adatait. Tehát tartsák őket úgy nyilván, hogy X pont keresztnév. Anonim is úgyanígy használható lenne tovább a rendszer: oktatási azonosítóval, jelszóval belépünk, ott a vezetéknév helyett csak egy betű, keresztnév, és tökéletesen lehetne használni.
– Mit válaszolt az iskola?
– Egyelőre semmit, de 30 nap áll rendelkezésre ilyen esetben a válaszadásra, és gondolom továbbították a megfelelő szervek felé a megkeresésemet, hiszen nem ők üzemeltetik a Krétát. Nagyon kíváncsi vagyok, hogy ebből lesz-e valami. Én ennyit tudtam tenni a saját gyerekeim védelmének érdekében, illetve írtam a szülői munkaközösség vezetőjének, hogy fontolják meg, mit tesznek vagy ajánlanak a többi szülőnek az ügyben, és a NAIH-nál is tettem egy bejelentést.
– Felelős döntéshozókkal van-e bármiféle dialógus?
– Nekünk, mint szülőknek az elsődleges kontakt az iskola. Én az iskolával vagyok kapcsolatban, nem a Kréta üzemeltetőjével, vagy a minisztériummal.
Itt kezdődnek a bajok, hogy senki, még a média sem kapott semmilyen hivatalos választ, vagy ha kapott is, erről senki nem tud semmit.
– Ez a dolog csak úgy megtörtént, elszállt a levegőbe és azóta csend van?
– Azóta csend van. Benne vagyok egy Telegram csoportban, ahol különböző fejlesztők, informatikusok kommunikálnak, az ott fellelhető információk szerint a múlt héten elkezdődött a munka, volt is este leállás többször a Krétánál, merthogy toldozták-foldozták. De hát könyörgöm, november közepe van.
– És ezt szeptember vége óta tudják...
– Igen. Megtörtént az eset, ültek rajta másfél hónapot. Ezután az elképesztően kritikus eset után nem csináltak semmit másfél hónapig, nem kommunikáltak semmit, hátha sunyiban majd nem tudja meg senki. Most, amikor megjelentek ezek a hírek, az etikus hackerek kvázi bezsarolták őket, hogy ha nem javítják ki a hibákat, akkor közzétesznek még részeket a kódból, csak ezután kezdtek el nagy nehezen dolgozni.
– Mit kellett volna tennie az üzemeltetőnek?
– Véleményem szerint az egyetlen felelős magatartás az lett volna, ha az incidens bekövetkezését követően a rendszert azonnal lekapcsolják. Lehetett olvasni, hogy elkezdték IP cím alapján kiszűrni a külföldi hozzáféréseket, elkezdődött valamilyen hekkelgetés. De nem ez a megoldás. Véleményem szerint azt kellett volna mondani, hogy oké, a Kréta akkor most x ideig nem üzemel, és akkor mások nem tudnak hozzáférni az adatokhoz, hiába került ki a kód.
Fel kellenne készülni az összes szcenárióra. De szerintem ilyen egyáltalán nem állt az üzemeltetők rendelkezésére. Tipikusan ilyen mikrovállalkozói pánikhangulatot lehet érzékelni. Mi legyen? Elmondjuk, ne mondjuk el? Kapcsoljunk le egy-két külföldi IP címet? Mintha semmi komoly nem történt volna.
– Amikor egy ilyen programot megrendelnek, a megrendelésbe nem kellene beleírni, hogy milyen biztonsági paramétereknek kell megfelelnie a kész szoftvernek? És a műszaki átvételnél nem kellene ezeket ellenőrizni, és aztán tesztelni a rendszert támadásokkal?
– Én nem látok rá a jogi háttérre, nem tiszta a számomra, hogy ez a szoftver kinek is a tulajdona. Ha az állam a tulajdonosa, akkor kell lennie egy elég részletes specifikációjának, ami arról szól, mit kell, hogy tudjon a szoftver, amikor elkészül. Ilyen szoftverek esetében nem ritkán több száz oldalas specifikáció, leírás születik, és amikor elkészült egy-egy mérföldkő, akkor ezeket átveszi a megrendelő és megy a kifizetés. A szoftver specifikáció mellett az üzemeltetés kapcsán pedig kell olyan tervnek lennie, hogy ha van egy hiba, van egy incidens, akkor azt hogy kell kezelni, mikor állunk át csökkentett módra, vagy belső használatra, vagy állítjuk le a szoftvert, mert azt mondjuk, hogy ez kritikus hiba. Ezek azért nem tegnap kitalált módszertanok, ezt egyetemeken is tanítják már egy ideje.
– Amikor az ember becsekkol a Krétába, akkor kell valamilyen adatvédelmi hozzájárulás, hogy ezeket az adatokat kezelhessék?
– Amikor az ember egy állami rendszert használ, nem aggódik emiatt. Mi kaptunk egy hozzáférést a gyerekek beiratkozásánál, ezzel beléptünk, és használjuk a rendszert azóta is. Ettől függetlenül a Krétának van egy adatkezelési tájékoztatója, ami minden regisztráló elfogad. Ebben benne van az, hogy az érintett jogosult arra, hogy a hozzájárulását bármikor visszavonja. A hozzájárulási visszavonás nem érinti a hozzájáruláson alapuló visszavonás előtti adatkezelés jogszerűségét, és nem tudom, ez mit jelent pontosan, de az a lényeg, hogy van erre vonatkozóan lehetőség.
Azt, hogy minek kellenek az én gyerekeim adatai még 30 évig, azt nem tudom.
– Statisztikára talán?
– De miért az informatikai cég kezeli továbbra is? Szerintem kellene lennie egy passzusnak, hogy a tanulói jogviszony megszűnését követően átadják a Központi Statisztikai Hivatalnak, anonimizálva.
– És ezt a visszavonási jogot hogyan tudja gyakorolni?
– Annyit tudtam tenni, hogy írtam az iskolának, mert azzal van jogviszonyom, a szoftvert kezelő céggel nincsen.
– Reális arra várni, hogy kijavítják kompetens módon a Krétát?
– Nem hiszem. Szerintem a Kréta jelenlegi állapota hűen tükrözi az oktatás hazai állapotát. De nézzük a pozitív oldalát! Ez egy jó alkalom arra, hogy valós igények alapján, egy innovatív, e-learninggel összekapcsolt, komplex, jól használható, esetleg a teljes tanulmányi utat lefedő egységes tanulmányi rendszert fejlesszenek, ami biztonságosan működik, megcsinálja valaki, lehetőleg ne 40 milliárdért, mint ezt csinálták.
– Ez publikus adat, ennyibe került a Krétának a kifejlesztése?
– Az Átlátszón olvastam, nem tudom, hogy mennyire valós, erre nincs közvetlen rálátásom.
– Egy ilyen rendszert mennyiből lehet kifejleszteni? Reálisan?
– Hát ez azért nehéz megmondani, mert nagyon sok célnak kell megfelelnie. Van egy olyan magja, amit az ember csak akkor lát át, ha benne van.
Viszont ha már hozzányúlunk, akkor az se lenne baj, ha a tanárok, a diákok és a szülők által is szerethető, könnyen használható, a Teams használatát is kiváltó, valódi virtuális oktatási környezettel kombinált, pedagógiai szakértelem bevonásával készült rendszer születne a jövőben. Én pédául a mai napig nem értem, hogy miért látom a szülői Krétában a házi feladatokat, mi közöm van hozzájuk? A gyereket arra kondicionáljuk, hogy majd a szülő szól otthon a házi feladatról? Vagy arra, hogy a szülő elé már oda sem kell állnom délután, és elmondanom személyesen, hogy 1-est kaptam, mert anya és apa úgyis látja, már előbb, minthogy én elmondanám neki? Arról már nem is beszélve, hogy informatika órán talán azzal kéne kezdeni, hogy ezen szoftverek rendeltetésszerű használatát megtanítják a gyerekeknek.
A beszélgetés kapcsán megkerestük a Kréta rendszert üzemeltető eKRÉTA Informatikai Zrt-t, hogy megtudjuk, hogyan vonható vissza a Krétához adott adatvédelmi hozzájárulás, van-e mód a tanulók adatainak anomimizálására, és miért nem figyelmeztették az iskolákat valamint a szülőket az adatszivárgásra. Amint megérkezik a cég válasza, frissítjük cikkünket.