2. Hírek
  3. Biztonság

Súlyos biztonsági incidens a KRÉTA rendszerében

Az eddigi információk alapján azonban sokkal több a kérdés, mint a válasz.

A telex.hu oldalán ma egy a maga műfajában kiváló tudósítás jelent meg, mely arról számol be, hogy forrásaik szerint az egész közoktatást ellátó KRÉTA (Köznevelési Regisztrációs és Tanulmányi Alaprendszer) rendszere kompromittálódhatott.

Ugyanakkor érdemes felhívni arra a figyelmet, hogy bár az esemény elsőre is igen súlyos, egyelőre „csak” a valószínűség a bizonyos.

Maga az eset bizonyos mértékig közhelyes biztonsági incidens: a lap a fejlesztőtől származó forrásból úgy tudja, hogy „egy projektvezető kattintott egy fertőzött linkre egy átverős emailben, az ő adatait megszerezve férhettek hozzá belső adatbázisokhoz, és gyakorlatilag mindent elértek a cég rendszerein belül”.

Az incidens komolysága kétségen felül áll, hiszen amennyiben a támadó(k) ki is használták a hozzáférést, milliónyi, a törvények által védett személyes adathoz juthattak hozzá, ezen kívül pedig magának a rendszernek a működését is befolyásolni tudják, tudták (a hozzáférési adatokon kívül elég megemlíteni a forráskódokat).

De bőven akadnak kérdések.

Először is: Arról nincs információ, hogy a támadó(k) valóban felhasználták-e a hozzáféréseket – az ilyen esetekben az erről szóló tájékoztatás előírás.

Másodszor: mint a valóban alapos oknyomozó cikk leírja, sehol senki nem reagált a megkeresésükre, pedig az is uniós és nemzeti előírás, hogy az ilyen történésekről, a kivizsgálásukról tájékoztatni kell, és nem csak az illetékes hatóságokat, hanem az érintettek mellett a nagy nyilvánosságot is. A felelősség tologatása, illetve elhárítása, letagadása nem csak hogy nem jó jel, de törvénybe is ütközhet.

Harmadszor: Ha nem is biztos, de nagyon valószínű, hogy a leírt eset – hogy egy vezető bedőlt egy adathalász e-mailnek – megtörtént. Ekkor viszont felmerül: az említett kockázatot csakis az okozhatja, hogy az illetőnek a legmagasabb szintű hozzáférése volt. Ha az illető informatikában képzett, nagyon valószínűtlen, hogy egy ilyen egyszerű trükknek bedől. Amennyiben viszont nem, kérdéses, hogy miért volt ilyen magas szintű hozzáférése.

Negyedszer: Az ilyen támadások ellen, amikor maga a felhasználó nyitja ki a kaput, borzasztó nehéz védekezni. De vannak rá módszerek. Így kérdés, hogy a KRÉTA mint kiemelt nemzeti rendszer biztonsági szempontból mennyire szakszerűen védett.

Azóta történt

Előzmények