A KRÉTA rendszerét feltörő kiskorú büntetése: fogalmazás és bocsánatkérő levél

A KRÉTA rendszerét feltörő kiskorú ügyében a nyomozás lezárult, és a fiatalkorú gyanúsított számára magatartási szabályokat írtak elő, többek között bocsánatkérő levél írását és kártérítést.

A Telex információi szerint befejeződött a nyomozás a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, röviden KRÉTA fejlesztőjét ért hekkertámadás ügyében. A rendőrség egy fiatalkorú gyanúsítottat azonosított, aki ellen az ügyészség felfüggesztette az eljárást, és magatartási szabályokat szabott ki.

A 2022-es adathalász támadás során a támadó illetéktelen hozzáférést szerezhetett a KRÉTA rendszer adataihoz, ami a diákok személyes adatainak kiszivárgásához vezetett. Pintér Sándor belügyminiszter 2022 decemberében egy tanárfórumon számolt be a nyomozás eredményéről, amikor elárulta, hogy a rendszert egy 13 és egy 15 éves gyerek törte fel. A nyomozás közel másfél évig tartott, és a Nemzeti Nyomozó Iroda vádemelési javaslattal zárta le az ügyet. A Győri Járási Ügyészség tájékoztatása szerint a gyanúsított 2007-ben született, tehát a támadás idején 15 éves volt, és még most is kiskorú. Az ügyészség feltételes felfüggesztést alkalmazott, amely két évre szól, és a gyanúsított pártfogó felügyeletét rendelte el.

A gyanúsítottnak többek között bocsánatkérő levelet kell írnia a sértetteknek, amelyben ki kell térnie arra is, hogy milyen védelmi intézkedéseket tehetnek az online térben elkövetett csalások ellen. Ezenkívül köteles megtéríteni az általa okozott kárt, amelynek összege 10 ezer forint, és fogalmazást kell írnia a közveszéllyel fenyegetés állami szervekre gyakorolt terheiről. Amennyiben a gyanúsított teljesíti a magatartási szabályokat, a két év felfüggesztés után az eljárást megszüntetik.

A hekker bejutott a cég egyik munkatársának levelezésébe, és azon keresztül a KRÉTA-val kapcsolatos adatokhoz is hozzáférhetett. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vizsgálatot indított, amelynek során megállapította, hogy a cég, amelyet ma már Educational Development Informatikai Zrt.-nek hívnak, de 2023 áprilisáig eKRÉTA Informatikai Zrt. volt a neve, egyrészt nem biztosított kellő védelmet a rá bízott személyes adatoknak, másrészt amikor ezek az adatok veszélybe kerültek, az incidenst nem jelentette be „indokolatlan késedelem nélkül” az adatkezelőknek, azaz az érintett iskoláknak, a fejlesztőt ezért 110 millió forint bírsággal büntette. A hekkertámadás nyilvánosságra kerülése után kiszivárgott egy levél, amelyben a cég egyik projektvezetője azt írta: „Vagy végig igazat kell mondani, vagy végig tagadni, de menet közben nincs módosítási lehetőség”, ami arra utal, hogy a cég munkatársai jóval korábban tudtak a rendszerükbe történt behatolásról, ám az ügyben nem fordultak a rendőrséghez.