A NAIH a nemrég közzétett, NAIH-5446-9/2024 és NAIH-2186/2024 ügyben hozott határozatában részletesen vizsgálta egy weboldalt fejlesztő társaság adatvédelmi incidens kezelési intézkedéseinek, valamint az általa megtett adatbiztonsági intézkedések megfelelőségét. Az ügy tanulságos lehet minden, weboldalt üzemeltető társaság számára, mert a NAIH határozata részletes szempontokat tartalmaz azzal kapcsolatban, mit vár el az adatkezelőktől az incidensek kezelése során, és milyen technikai és szervezési intézkedésekkel kell védeni a weboldalak biztonságát.
Mi történt?
A weboldal egyes adminisztrátorok számára szánt aloldalai ideiglenesen az internetes keresőmotorok által szemlézhetővé váltak, és ennek következtében a weboldal üzemeltetője által szervezett felnőttképzésekre jelentkező 62 magánszemély személyazonossági és elérhetőségi adatai kiszivárogtak. Az adatszivárgást egy konfigurációs hiba okozta, amely során egy beépülő bővítmény modul felülírta az éles környezetben használt másik bővítmény konfigurációit, és ez előre nem látható inkompatibilitási problémát eredményezett. Az incidenssel érintett személyes adatok: név, e-mail cím, telefonszám, motivációs videó, motivációs levél, publikus közösségi média fiókok elérési útvonalai.
A NAIH az incidens bejelentését követően hivatalból indult adatvédelmi hatósági eljárásban megállapította, hogy az incidens azért következett be, mert a weboldalt üzemeltető társaság (i) az általa üzemeltetett weboldalon a fejlesztői tesztkörnyezet alkalmazását, valamint a webszerver megfelelő konfigurációját elmulasztotta, valamint (ii) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást nem biztosította. A weboldalt üzemeltető társaság ezzel megszegte a GDPR 32. cikk (1) bekezdés d) pontjában foglalt adatbiztonságra vonatkozó rendelkezést. A NAIH bírságot nem szabott ki, csak figyelmeztette a weboldal üzemeltetőt, de előírta, hogy honlapjának nyitóoldalán, jól látható és könnyen hozzáférhető helyen legyen elérhető legalább 30 napon keresztül a NAIH határozatát.
Mit vizsgált a NAIH?
Az incidens-menedzsment megfelelősége
A NAIH egyrészt vizsgálta az incidenssel kapcsolatban tett intézkedéseket, és ezeket megfelelőnek találta. A társaság rendelkezett incidens-menedzsment szabályzattal és incidens-nyilvántartással, jegyzőkönyvet készített az incidens részletes kockázatelemzéséről, valamint további biztonsági intézkedések megtételét vállalta.
Ezek:
- A használatban levő keretrendszer adminisztrációjához kétfaktoros autentikáció bevezetése.
- Az emelt jogosultsággal rendelkező felhasználók körének felülvizsgálata,
- A kiszolgáló környezetet érintően biztonsági funkciók bevezetése.
- A kiterjedt tesztelések jegyzőkönyvezésre kerülnek.
Az adatbiztonsági intézkedésekkel kapcsolatos hiányosságok
A NAIH másrészt vizsgálta a társaság által tett adatbiztonsági intézkedéseket, amelyeket nem talált megfelelőnek.
A weboldal fejlesztő a meglévő intézkedések keretében:
- Fejlesztési specifikáció alapján manuális módszerrel ellenőrzi a fejlesztések megfelelőségét a tesztrendszeren, majd automata webszerver és web applikáció sérülékenység és terhelés elemző rendszer specifikumait használja biztonsági ellenőrzésre.
- Kontrollált körülmények között ad verziót az élesre, majd ott ismételten megtörténik a már éles tesztelés. Éles hiba esetén az eredeti visszaállítási pontra tér vissza, majd kezdi ismét a teszt környezeten a tesztelést.
- Access control – a tűzfallal elszigetelt tesztkörnyezet védelmét VPN-nel és .htaccess alapú több faktoros azonosítással, valamint beépített jogosultság kezelési rendszerrel védi.
- Az éles weboldal publikus adatait és a regisztrált felhasználók számára létrehozott aloldalakat határvédelemmel védi.
- A hozzáféréseket a weboldal jogosultság tekintetében egyedi szintekre felhasználói csoportokra bontva szabályozza, ahol szintén megkövetelt a kétfaktoros azonosítás. Külön csoportok tartalmazzák a teljes adminisztrátorokat, valamint a funkció adminisztrátorokat. A teljes adminisztrátorokat load balancerek védik. Ezek eléréséhez kliens VPN hozzáférés szükséges.
A NAIH információbiztonsági szakértői véleményt készíttetett, és megállapította, hogy további intézkedések megtételével az incidens elkerülhető lett volna:
- Tesztelés elszeparált környezetben: A bővítmény egy külön fejlesztői vagy tesztkörnyezetben való tesztelése, hogy nem okoz-e problémát a rendszerben, mielőtt kikerül az éles rendszerre.
- Rendszeres auditálás és monitorozás: Naplózás és eseményfigyelés, rendszeres biztonsági auditok és sebezhetőségi vizsgálatok végzése, vagy soron kívüli vizsgálat, ha új rendszerelem kerül be.
- Webszerver megfelelő konfigurációja – könyvtárlistázás letiltása, hozzáférés korlátozása: pl.: htaccess fájlok használata az érzékeny könyvtárak és fájlok hozzáférésének korlátozására.
Tanulság a weboldalt üzemeltető társaságok számára
A NAIH döntése alapján tehát alapkövetelmény az incidens-menedzsment szabályzat és incidens-nyilvántartás megléte, konkrét incidens esetén pedig jegyzőkönyvet készítése az incidens részletes kockázatelemzéséről, valamint a kétfaktoros autentikáció, a felhasználók megfelelő felhasználási jogosultsága, továbbá a tesztelések jegyzőkönyvezése. A weboldal üzemeltetése során a webszervert megfelelően kell konfigurálni, a tesztelést elszeparált környezetben kell végezni, továbbá fontos a naplózás és eseményfigyelés, valamint a rendszeres biztonsági auditok és sebezhetőségi vizsgálatok végzése.