Tech

„Idejöttek a vizes vb-re, a személyes adataik meg kikerültek”

A kiberbiztonsági akadémia igazgatója két napja azon gondolkodik, hogy lehetett így elrontani a BKK e-jegyrendszerét.

Amíg az adatok ki nem kerültek, addig a BKK új e-jegy és online jegyértékesítési rendszere kapcsán mindig azt mondtam, hogy lehetne rosszabb is. A legrosszabb eset az, hogy ezt a rendszert feltörik és a személyes adatok kikerülnek. Ez most úgy tűnik, megtörtént. Képzeljük el, hogy ezek között vannak néhány ezer vagy néhány száz külföldinek az adatai, olyanoké, akik idejöttek a vizes vb-re, beregisztráltak ebbe a rendszerbe, majd úgy mennek el innen, hogy a személyes adataik kikerültek. Bele lehet gondolni, hogy ebből mekkora sajtóbotrány lesz majd Európában. Ez már nem csak a két cég lokális reputációvesztése

– nyilatkozta lapunknak Krasznay Csaba, a Nemzeti Közszolgálati Egyetem (NKE) áprilisban létrejött kiberbiztonsági akadémiájának igazgatója azzal kapcsolatban, hogy a 24.hu birtokába jutott egy több mint 3000 ember személyes adatait tartalmazó adatbázis, amely a forrás állítása szerint a BKK rendszeréből származik.

Szakemberek szerint ha valósak az adatok, akkor a fejlesztők több súlyos biztonsági hibát is elkövettek, az áldozatok pedig sérelemdíjért perelhetnek. A 24.hu az adatvédelmi hivatalnál bejelentést tett, átadta az adatbázist, a hivatalnál várják a BKK tájékoztatását. „Ennek a héten meg kellene érkeznie” – mondta el kérdésünkre Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke.

Krasznay megerősítette azt, amit a kikerült adatokról szóló cikkben a fejlesztők is hangoztattak: ezeket a hibákat „akarni kellett” beletenni. Szerinte, amikor egy fejlesztő a tíz legveszélyesebb biztonsági hibából hatot belepakol egy alkalmazásba, az magyarázhatatlan.

Két napja azon gondolkodom, hogy hogy lehetett ezt ennyire elrontani, de nincs ötletem.

Arra a kérdésemre, hogy elképzelhető-e az, hogy a rendszerbe kívülről nyúltak bele, kívülről „rontották el”, Krasznay Csaba egyértelmű nemmel felelt.

A kérdés, hogy észlelték-e

Fontos alapszabály biztonsági, információbiztonsági incidensnél, hogy a lehető legalacsonyabban tartjuk a tüzet, nem adunk rá oxigént, nem hagyjuk, hogy felgyulladjon

– mondta Krasznay. A szakember elmondta: hibák mindig vannak. A háttérben ilyenkor elkezdődik egy nyomozás annak kiderítésére, mekkora kár érte a rendszert, mi történt pontosan. Szerinte az, hogy a 24.hu-hoz került ez az adatbázis, a lehető legrosszabb, ami történhetett a BKK és a T-Systems Magyarország párosával.

„Kérdés, hogy észlelték-e azt, hogy ehhez az adatbázishoz hozzájutottak, ezt lementették. Mert ha tudjuk azt, hogy adatot loptak tőlünk, akkor mielőtt a sajtóhoz kerülne az adatbázis, el kell kezdeni felkészíteni a közvéleményt a hírre:

  • mindent megtettünk az ügyfelek adatainak biztosításáért,
  • letiltottuk a rendszert,
  • értesítettük a felhasználókat, hogy változtassák meg a jelszót,
  • már nyomozzuk, mi történt pontosan, és mekkora kört érintett,

és így tovább.”

Erre a kérdésre majd a T-Systems belső vizsgálata, illetve az általuk hétfőn felkért EY nemzetközi tanácsadó cég által végzett külső, független szakértői vizsgálat adhat választ. (Ahogy Tarlós István főpolgármester állítására miszerint a T-Systems állományából kerülhetett ki a birtokunkba került 3 ezres adatbázis, szintén ez ad majd választ – jelezte nekünk a cég sajtóosztálya.)

Magyarázatot követel, és a T-Systemsre veri a BKK-balhét Tarlós
A németek alamuszin lapítanak, mondja a főpolgármester, pedig szerinte a lapunk birtokába került adabázis a T-Systemstől kerülhetett ki.
Fotó: MTI/Mohai Balázs

Három hónap alatt meg lehet csinálni

Kaszás Zoltán, a T-Systems Magyarország vezérigazgatója, egy belső körlevélben úgy fogalmazott: „a BKK-tól lehetőséget kaptunk, hogy rekord idő alatt (3 hónap) mi készíthessük el annak új webes bérletértékesítési rendszerét.”

Ezzel kapcsolatban a kiberbiztonsági akadémia igazgatója elmondta:

Félreértés ne essék, létre lehet hozni 3 hónap alatt egy ilyen rendszert.

Azt mondja, szoftverfejlesztő cégnél dolgozik, 3 éven keresztül vezette egy termék fejlesztését. A folyamat úgy működik, hogy a termék elkészül, a terméken lefutnak a tesztek, majd az eredmények és a felvázolt kockázatok alapján a felelős döntéshozó értékeli azt, hogy mehet-e a rendszer éles üzemben vagy sem.

Ha kimegy éles üzembe, de marad benne hiba – ez velem is előfordult – akkor vállalni kell, vállaltam én is a a felelősséget. De sosem kenem rá a felelősséget a végfelhasználóra, és nem hivatkozok külső indokokra. Olyan szoftvert és szolgáltatást kell az asztalra letenni, ami kielégíti az ügyféligényeket. A biztonsági és adatvédelmi követelményeket – pláne a mai világban – le kell írni, és azokat bele kell tenni a rendszerbe

– közölte Krasznay Csaba.

Hozzátette, nem az a szándéka, hogy a BKK és a T-Systems Magyarország kettősét savazza, hiszen hasonló szintű problémák napi szinten cégek ezreinél, millióinál előfordulnak:

Ebből áll az egész kiberbűnözési iparág, ezért tud még működni. Még mindig milliószámra vannak rosszul megírt alkalmazások, amik tele vannak tömve ügyféladatokkal.

Kulturális kérdés

A kiberbiztonsági akadémia igazgatója szerint ez az eset nagyon sokat segíthet abban, hogy Magyarországon a szervezetek vezetői megértsék, mivel járhat egy-egy rossz döntés. Mint mondja, ezt Amerikában már lejátszották pár évvel korábban. Ahogyan ő fogalmaz:

El lehet játszani – pontosan egyszer(!) – az ügyfelek bizalmát, utána nagyon sokba kerül azt a hírnevet helyreállítani. A fejlesztőknek is intő jel ez a mostani eset, hiszen a mai világban elkerülhetetlen, hogy a biztonságos szoftverfejlesztés benne legyen a vérükben.

Ajánlott videó

Olvasói sztorik