Amíg az adatok ki nem kerültek, addig a BKK új e-jegy és online jegyértékesítési rendszere kapcsán mindig azt mondtam, hogy lehetne rosszabb is. A legrosszabb eset az, hogy ezt a rendszert feltörik és a személyes adatok kikerülnek. Ez most úgy tűnik, megtörtént. Képzeljük el, hogy ezek között vannak néhány ezer vagy néhány száz külföldinek az adatai, olyanoké, akik idejöttek a vizes vb-re, beregisztráltak ebbe a rendszerbe, majd úgy mennek el innen, hogy a személyes adataik kikerültek. Bele lehet gondolni, hogy ebből mekkora sajtóbotrány lesz majd Európában. Ez már nem csak a két cég lokális reputációvesztése
– nyilatkozta lapunknak Krasznay Csaba, a Nemzeti Közszolgálati Egyetem (NKE) áprilisban létrejött kiberbiztonsági akadémiájának igazgatója azzal kapcsolatban, hogy a 24.hu birtokába jutott egy több mint 3000 ember személyes adatait tartalmazó adatbázis, amely a forrás állítása szerint a BKK rendszeréből származik.
Szakemberek szerint ha valósak az adatok, akkor a fejlesztők több súlyos biztonsági hibát is elkövettek, az áldozatok pedig sérelemdíjért perelhetnek. A 24.hu az adatvédelmi hivatalnál bejelentést tett, átadta az adatbázist, a hivatalnál várják a BKK tájékoztatását. „Ennek a héten meg kellene érkeznie” – mondta el kérdésünkre Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke.
Krasznay megerősítette azt, amit a kikerült adatokról szóló cikkben a fejlesztők is hangoztattak: ezeket a hibákat „akarni kellett” beletenni. Szerinte, amikor egy fejlesztő a tíz legveszélyesebb biztonsági hibából hatot belepakol egy alkalmazásba, az magyarázhatatlan.
Két napja azon gondolkodom, hogy hogy lehetett ezt ennyire elrontani, de nincs ötletem.
Arra a kérdésemre, hogy elképzelhető-e az, hogy a rendszerbe kívülről nyúltak bele, kívülről „rontották el”, Krasznay Csaba egyértelmű nemmel felelt.
A kérdés, hogy észlelték-e
Fontos alapszabály biztonsági, információbiztonsági incidensnél, hogy a lehető legalacsonyabban tartjuk a tüzet, nem adunk rá oxigént, nem hagyjuk, hogy felgyulladjon
– mondta Krasznay. A szakember elmondta: hibák mindig vannak. A háttérben ilyenkor elkezdődik egy nyomozás annak kiderítésére, mekkora kár érte a rendszert, mi történt pontosan. Szerinte az, hogy a 24.hu-hoz került ez az adatbázis, a lehető legrosszabb, ami történhetett a BKK és a T-Systems Magyarország párosával.
„Kérdés, hogy észlelték-e azt, hogy ehhez az adatbázishoz hozzájutottak, ezt lementették. Mert ha tudjuk azt, hogy adatot loptak tőlünk, akkor mielőtt a sajtóhoz kerülne az adatbázis, el kell kezdeni felkészíteni a közvéleményt a hírre:
- mindent megtettünk az ügyfelek adatainak biztosításáért,
- letiltottuk a rendszert,
- értesítettük a felhasználókat, hogy változtassák meg a jelszót,
- már nyomozzuk, mi történt pontosan, és mekkora kört érintett,
és így tovább.”
Erre a kérdésre majd a T-Systems belső vizsgálata, illetve az általuk hétfőn felkért EY nemzetközi tanácsadó cég által végzett külső, független szakértői vizsgálat adhat választ. (Ahogy Tarlós István főpolgármester állítására miszerint a T-Systems állományából kerülhetett ki a birtokunkba került 3 ezres adatbázis, szintén ez ad majd választ – jelezte nekünk a cég sajtóosztálya.)
Három hónap alatt meg lehet csinálni
Kaszás Zoltán, a T-Systems Magyarország vezérigazgatója, egy belső körlevélben úgy fogalmazott: „a BKK-tól lehetőséget kaptunk, hogy rekord idő alatt (3 hónap) mi készíthessük el annak új webes bérletértékesítési rendszerét.”
Ezzel kapcsolatban a kiberbiztonsági akadémia igazgatója elmondta:
Félreértés ne essék, létre lehet hozni 3 hónap alatt egy ilyen rendszert.
Azt mondja, szoftverfejlesztő cégnél dolgozik, 3 éven keresztül vezette egy termék fejlesztését. A folyamat úgy működik, hogy a termék elkészül, a terméken lefutnak a tesztek, majd az eredmények és a felvázolt kockázatok alapján a felelős döntéshozó értékeli azt, hogy mehet-e a rendszer éles üzemben vagy sem.
Ha kimegy éles üzembe, de marad benne hiba – ez velem is előfordult – akkor vállalni kell, vállaltam én is a a felelősséget. De sosem kenem rá a felelősséget a végfelhasználóra, és nem hivatkozok külső indokokra. Olyan szoftvert és szolgáltatást kell az asztalra letenni, ami kielégíti az ügyféligényeket. A biztonsági és adatvédelmi követelményeket – pláne a mai világban – le kell írni, és azokat bele kell tenni a rendszerbe
– közölte Krasznay Csaba.
Hozzátette, nem az a szándéka, hogy a BKK és a T-Systems Magyarország kettősét savazza, hiszen hasonló szintű problémák napi szinten cégek ezreinél, millióinál előfordulnak:
Ebből áll az egész kiberbűnözési iparág, ezért tud még működni. Még mindig milliószámra vannak rosszul megírt alkalmazások, amik tele vannak tömve ügyféladatokkal.
Kulturális kérdés
A kiberbiztonsági akadémia igazgatója szerint ez az eset nagyon sokat segíthet abban, hogy Magyarországon a szervezetek vezetői megértsék, mivel járhat egy-egy rossz döntés. Mint mondja, ezt Amerikában már lejátszották pár évvel korábban. Ahogyan ő fogalmaz:
El lehet játszani – pontosan egyszer(!) – az ügyfelek bizalmát, utána nagyon sokba kerül azt a hírnevet helyreállítani. A fejlesztőknek is intő jel ez a mostani eset, hiszen a mai világban elkerülhetetlen, hogy a biztonságos szoftverfejlesztés benne legyen a vérükben.