Egerleaks

Egerleaks

Rés a pajzson - súlyos adatbiztonsági botrány az egri polgármesteri hivatalban

Facebook Tumblr Tweet Pinterest Tetszik
0
2020. október 26. - Egerleaks

2020. január 8-án délután Spisák György polgármesteri irodavezető ismeretlen személyek társaságában megjelent a polgármesteri hivatal Kossuth u. 28. alatti épületében, ahol többek között a szociális csoport, az informatikai iroda, és nem utolsó sorban az önkormányzat szerverei találhatóak, az önkormányzat teljes digitális adatvagyonával. Spisák úr kisérőivel együtt megjelent az informatikai iroda helyiségében, ahol a jelenlévő informatikusokat felszólította, hogy azonnal hagyják abba a munkát, pakoljanak össze és menjenek haza, mert Mirkóczki Ádám polgármester megbízásából átvilágítják az önkormányzat informatikai rendszereit.

Az informatikusok teljes értetlenségben felálltak az asztaloktól, és abbahagyták a munkát. Mivel semmilyen előjele nem volt annak, hogy kitiltják őket a saját irodájukból, és felügyelet nélkül kellene hagyniuk az önkormányzati rendszereket, ezért megkérdezték Dr. Andraskó Dénes jegyzőt, mint munkáltatót és a törvényesség őrét, hogy ebben a helyzetben vajon mit kell tenniük. A jegyző válasza az volt, hogy tegyék azt, amire Spisák úr utasítja őket, teljesen szabályos az átvilágítás, hozzáférhetnek a szerverekhez, hiszen még szerződésük is van rá!

Az informatikusok ezek után nem tudtak mit tenni, felálltak, és hazamentek. Nem kis zavarodottság lett úrrá a Kossuth utcai épület többi dolgozóján, amikor látták, hogy a munkaidő közepén a teljes informatikai gárda kivonul a hivatalból. Egy főnek állítólag azért kellett maradnia, mert a felkészült átvilágító csapat azt sem tudta, hogy merre keresse a szervertermet.

De vajon milyen adatokat is tárolhatnak ebben a szerverteremben? Például rászorulók, támogatásban részesülők összes személyes adatát, az önkormányzat teljes gazdálkodását, munkaügyi dokumentumoktól a hatósági eljárások ügyirataival bezárólag az önkormányzati működés minden adatát, de többek között a levelező rendszer teljes adatforgalmát, ide értve nem csak a dolgozókat, hanem a képviselőket is, akik a hivatali levelezőrendszert használják. De mivel az előírások szerint mindenről mentést kell készíteni és megőrizni, így évekre visszamenőleg is lehet adatokat találni a szervereken.

Miután Spisák úr és az ismeretlen személyek megtisztították a terepet az akadékoskodó hivatali dolgozóktól, levonultak a szerverterembe, ahol több órán keresztül felügyelet nélkül tartózkodtak. Senki nem tudja, mit csináltak, mit kerestek, mit mentettek le, mit töröltek, vagy akár milyen programokat telepítettek fel, erről a munkájukról feltehetően csak Mirkóczki polgármesternek, Andráskó jegyzőnek és Spisák irodavezetőnek számoltak be.

Állítólag az átvilágító csapat a mai napig nem rendelkezik szerződéssel erre a munkára! De ha lenne is szerződése, akkor is rengeteg kérdést vet fel ez az eljárás. Lássuk, csak, miről van szó:

Az önkormányzatoknak szigorú előírásoknak kell megfelelniük többek között az informatikai rendszerek tekintetében is. Külön jogszabály, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. tv foglalkozik ezzel részletesen. Az informatikai rendszerek teljes életciklusában biztosítani kell a kezelt adatok és információk bizalmasságát, sértetlenségét és rendelkezésre állását, valamint a rendszer és elemeinek  sértetlenségét és rendelekzésre állását, és ez alapján a zárt, teljes körű, folytonos és kockázatokkal arányos védelmet. Ebből a szempontból külön érdekes a bizalmasság alapelvi követelménye, mivel a törvény egyértelműen kimondja, az informatikai rendszerekben tárolt adatot, információt csak az arra jogosultak és csak a jogosultság szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról.

Ha olyan személy részére biztosítanak hozzáférést a rendszerhez, aki felett nem gyakorolnak folyamatos felügyeletet, az súlyosan megsérti a jogszabályi követelményeket, hiszen sérülhet a rendszerek sértetlensége, vírusok, kémprogramok kerülhetnek a szerverekre, stb. És akkor még nem beszéltünk arról, hogy milyen különleges személyes adatokhoz engednek ilyen esetben hozzáférést, minden létező GDPR alapelvet megszegve.

A törvény alapján érdekes a polgármester megítélése is a történetben, mivel a jogszabály kimondja, hogy a szervezet vezetője, jelen esetben a polgármester felelős azért, hogy gondoskodjon az elektronikus információs rendszerek védelméről, és ha ehhez közreműködőt vesz igénybe, akkor szigorúan számon kérje a jogszabályi biztonsági követelmények betartását, de a személyes felelősség alól ebben az esetben sem mentesül.

A történet büntetőjogi vonatkozásokat is felvet, hiszen akár személyes adattal visszaélés is megvalósulhatott.

Az, hogy mi történt 2020. január 8-án az önkormányzat informatikai szervertermében, csak Mirkóczki Ádám polgármester, Spisák György irodavezető, és Dr. Andráskó Dénes akkori jegyző tudhatja. A polgármester, aki megbízást adott arra, hogy ismeretlenek megszállják az önkormányzat szervertermét, szerződés és jogszabályi felhatalmazás nélkül, a polgármesteri irodavezető, aki a munkavégzés beszüntetésére utasította a dolgozókat, és biztosította a terepet ahhoz, hogy szabadon hozzáférhessenek a rendszerekhez, és az akkori jegyző, aki ehhez asszisztálva mindent rendben talált és közölte a dolgozókkal, hogy kövessék Spisák György utasításait.

Hamarosan folytatjuk, új részletekkel jövünk!

Folytatás ide kattintva érhető el.

 

Szólj hozzá!
adatvédelem eger önkormányzat kiberbiztonság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://egerleaks.blog.hu/api/trackback/id/tr8616258810

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása