Ma jelent meg a NAIH NAIH/2019/2668/2 számú határozata, amelyben 11 millió forint adatvédelmi bírságot rótt ki a Demokrarikus Koalícióra, mivel még tavaly augusztusban feltörték a weboldalukat és elvittek egy 11ezer rekordos támogatói adatbázist. Ez az első 1 millió Ft felett kiszabott GDPR-szellemű büntetés.

Magát az eseményről nem is akarok írni, akit érdekel, a részleteket megtalálja a NAIH határozatában. Az adatbázis tulajdonképpen egy tesztrendszer része volt, amely 2013-ban készült, és amely (a DK szerint) egy sérülékenységet kihasználva elérhetővé vált egy hibás átirányítás miatt. (Pontosabban az átirányítás rosszul volt beállítva, ami miatt elérhetővé vált egy SQLi-re sérülékeny tesztadatbázis).

Az átirányítási hibán és a sérülékenységen kívül fontos megemlíteni egy nehezen kezelhető problémát, a teszt és éles rendszer szétválasztásának, illetve a tesztrendszerben található éles adatok problémáját.

Sajnos nagyon sok esetben tapasztalható, hogy a fejlesztési, a teszt és az éles rendszerek összekeverednek, átjárhatók, illetve rosszabb esetben az éles rendszer infrastruktúráján üzemel maga a tesztrendszer és fejlesztői rendszer, a tesztrendszerekben pedig az élesből átemelt adatok eredeti formájukban találhatóak meg, mindenféle anonimizálás nélkül. Aztán persze ezek ott is maradnak, nem törlik őket mert minek? Vagy simán csak elfelejtik.

A teszt és fejlesztési rendszerek funkciójuk miatt jellemzően alacsonyabb biztonsági szinten működnek, mint az éles rendszerek (bár persze sajnos van, ahol igazából ugyanazon).

Ha a biztonságot úgy képzeljük el, mint a fizikai beléptetési zónákat, akkor egy alacsonyabb biztonságú zónából csak erősebb kontroll mellett lehetne egy magasabb biztonságú zónába belépni, míg a magasabb biztonságú zónából akár gyengébb kontroll mellett is át lehet lépni egy alacsonyabb biztonságú zónába.

Ha viszont minden egy helyen van, nincs megfelelő szeparáció és nincs megfelelő ellenőrzés a rendszerek között, akkor – ahogyan a lánc is csak olyan erős, mint a leggyengébb láncszem – az éles rendszerek is pontosan olyan biztonsággal működnek, ahogyan a teszt és fejlesztési rendszerek.

Ez az elmélet igazolódott be a DK esetében is – egy sérülékeny tesztrendszer kompromittálása az egész szervezetet érintette, ugyanis a NAIH-ot nem érdekli az, hogy az csak tesztadatbázis volt. Éles, valós adatokat tartalmazott, amelyek bizalmassága súlyosan sérült az incidens során.

A másik, amin a DK-eset kapcsán érdemes megemlíteni, hogy a DK tavaly augusztusban értesült az incidensről, sőt, arról is, hogy szeptemberben a NAIH hatósági ellenőrzést indított az ügyben – viszont sem az érintetteket nem értesítette ki, sem pedig a NAIH-nál nem tette meg a bejelentést.

Az Ügyfél az incidensről az érintetteket nem tájékoztatta. Ennek indokaként azt jelölte meg, hogy az érintett adatok régiek, elavultak, így a párt jelenlegi szimpatizánsainak, tagjainak a párt által tárolt és kezelt adatait szerinte nem érintette az incidens. Az Ügyfél az incidenst ugyanezen megfontolás miatt nem vette az általános adatvédelmi rendelet 33. cikk (5) bekezdése alapján nyilvántartásba, arra hivatkozva, hogy az eset nem érintette az élő adatbázisát.

A DK-nak ez az indoklás nagyon sokba került a véleményem szerint. A NAIH határozatban első helyen említik az adatvédelmi incidens lejelentésének elmulasztását, második helyen pedig az érintettek értesítésének elmulasztását.  

A tényleges biztonsági kérdésekre csak a harmadik részben térnek ki, jogosan felvetve azt a kérdést, hogy a DK adatbázisában tárolt MD5 hashelés mennyiben felel meg a kockázatarányos védelem, illetőleg a GDPR 32. cikkében megfogalmazott „az adatkezelő a tudomány és technológia állásának megfelelő technikai és szervezési intézkedéseket kell, hogy végrehajtson a kockázat mértékének megfelelő adatbiztonság garantálása érdekében” elvének.

A NAIH „sajnos” még erőforrást itt tett bele az ügybe, szakértőjük kicsit megnyomozgatta az adatbázisban tárolt hasheket, és gyakorlatilag a vizsgált hasheket megtalálta mindenféle hashkiller rendszerekben. Ráadásul, a „visszafejtett” jelszavakból a NAIH szakértője azt is megállapította, hogy az alkalmazás (amely az adatbázisba dolgozott) semmiféle jelszókomplexitást nem várt el.

Ami miatt ez a NAIH határozat fontos, hogy a határozat egyértelműen kimondja, hogy a DK védelmi intézkedései (az MD5 hashelés és a jelszókomplexitás hiánya) nem voltak megfelelőek, illetve, hogy különösen a jelszavak esetében nem elfogadható a pucér MD5 alkalmazása, mert „nagyon gyenge védelmet jelent, mivel percek alatt vissza lehet fejteni” és „a felhasználók ugyanezeket az adatokat esetleg más (leginkább online, de akár offline) szolgáltatás használata során is használhatják akár a mai napig”.

Összességében tehát a NAIH határozatában figyelembe vette, hogy a DK (bár a kérdéses adatbázis elérését letiltotta) nem tett eleget a lejelentési kötelezettségének, az érintettek kiértesítését nem tette meg, és tekintettel arra, hogy politikai véleményre vonatkozó különleges adatokat tárolt - az alkalmazott adatvédelmi megoldások nem voltak elégségesek.

Ha azt nézzük, hogy a DK tervezett 2018-as bevétele 415millió Ft, a 11 milliós bírság nem csak a NAIH, de a saját véleményem szerint is méltányos.

Ezer rekordonként 1 millió Ft.