Tegnap néhány órára használhatatlanná vált a Miniszterelnöki Hivatal (MEH) alá tartozó kormányzati informatikai rendszer, az Ügyfélkapu. Az üzemzavar következtében az oldalra belépő ügyfelek más személyek és cégek adatait, APEH-től érkező leveleit látták a sajátjuk helyett.
Az Ügyfélkapu oldalán az Üzemeltetési Információk menüpontban nemrég még olvashattunk arról (most már hibát jelez az oldal, ha belépünk), hogy a közelmúltban több jelentős fejlesztés is történt, s az IT café által megkérdezett biztonságtechnikai szakértő, Krasznay Csaba szerint ezek közül a legutóbbi frissítés élesítése, üzembe helyezése után jelentkezett tegnap végzetes hiba.
Néhány fórum mellett az online sajtóban csak a Bors Online adott hírt a gondokról, akik megkerestek egy érintettet. Az ügyfél kapott egy e-mailt, mely szerint levele érkezett az APEH-től az Ügyfélkapura. Amikor belépett az oldalra, látta, hogy 36 olvasatlan üzenete van, de ez lehetetlennek tűnt számára, hiszen gyakran ellenőrzi a fiókját. Ezek után észrevette, hogy más nevén van bejelentkezve az értesítési tárhelyre. Azonnal kilépett, és megpróbált újra belépni, de akkor megint más név szerepelt az adatok között. Érdeklődésére az ügyfélszolgálaton fél óra várakozás után csak annyit mondtak neki, hogy üzemzavar lépett fel, estig már biztosan nem működik az oldal.
Egy blogbejegyzés tegnapról (02. 07. 12:35): „Most tele vagyok több oldalnyi idegen nyugtával! Voltam már fiú is meg lány is percek alatt!!!” Egy másik (02. 07. 12:37): „Sziasztok! Nálunk is ua. a helyzet. Szinte bárki adataiban tudok kereskedni, akár bevallást is küldeni rá, hagy írjanak neki elő jó nagy adótartozást. Nesze nekünk titkos adatkezelés. Nem beszélve arról, hogy jönnek a teáor módosító levelek egyiptomi vagy űrbéli hieroglifákkal. Kinek kell ezt bepanaszolni. Egyáltalán van aki ezt felvállalja.”
Ez a hiba igen komoly, mivel a fentebbiek szerint a mások fiókjába belépő felhasználó természetesen látja az adatokat, s ha épp kedve támad rá, módosíthatja is azokat – s ez Krasznay Csaba szerint a legsúlyosabb biztonsági incidensek közé számítható.
Már biztonságosan működik
Hétvége lévén, a kormányzati informatikáért felelős hivatalok és hivatalnokok nem voltak elérhetőek, egyedül az APEH képviselőjét tudták megkérdezni a Bors munkatársai. R. Bakonyi Ágnes elmondta, hogy a hivatal rendszere ugyan hibátlanul működik, ám az Ügyfélkapun át is elérhető adatbázisok adatai sérülhettek, s az egyelőre fel nem mért, lehetséges károkat csak növelhette, hogy a napokban kezdték kiküldeni a TEÁOR-számok változásairól szóló leveleket – ezeket a más nevében belépők láthatták –, s e levelek részletesen tartalmazzák az adózók adatait. A szóvivő elmondta azt is, hogy az APEH rögtön egyeztetett az üzemzavarról a MEH-hel, de nekik sem árulták el a hiba okát.
Időközben sikerült a működtető Kopint-Datorg képviselőjét utolérnünk, aki tőlünk értesült a biztonsági incidensről, ám igen gyorsan egyeztetett a MEH-hel, így példás gyorsasággal kaptunk egy hivatalos közleményt is. A közlemény szerint valóban voltak problémák február 7-én, ám ezt a szakemberek már elhárították, s a rendszer azóta biztonságosan működik.
Vizsgálat is indult: „A probléma okát – tekintettel Központi Elektronikus Szolgáltató Rendszerhez kapcsolódó információk fokozott érzékenységére – a kormányzat informatikai biztonsági felügyelője soron kívüli eljárásban vizsgálja. Az informatikai biztonsági felügyelő – az érintett szervek bevonásával – a lehetséges belső és külső okokat egyaránt vizsgálja, amelynek eredményéről a vizsgálat lezárását követően haladéktalanul tájékoztatást adunk.”
Ez utóbbihoz annyit hozzáfűznénk, hogy az „informatikai biztonsági felügyelő” egyetlen, apparátus nélküli embert jelent, Dedinszky Ferencet, aki korántsem függetlenként végzi munkáját, hiszen gyakorlatilag munkáltatója és főnökei esetleges felelősségét kellene megállapítania.
Rövid időn belül ez már a második súlyos üzemzavar az Ügyfélkapu rendszerében, hiszen ahogy arról mi is beszámoltunk, a digitális ügyintézés legfontosabb intézménye épp akkor adta be a kulcsot, amikor kiderült, hogy ötmilliárdos uniós támogatásra számíthatnak. De az államigazgatás digitális rendszereinek sérülékenységét jelezte a január végén az OEP-nél tapasztalt hiba is, melynek felelőséről egyelőre még szintén nincs híradás – ebben az esetben meg nem erősített információink szerint arról volt szó, hogy egy frissítést teszt nélkül eresztettek rá az éles rendszerre.
Szerk. megj.: Úgy tűnik a hibák mindig hétvégén történnek, s az azért elgondolkodtató, hogy ilyenkor az érdeklődő, legyen az újságíró vagy ügyfél, nem talál ügyeleti számot. Jómagam már egész kedélyes viszonyban vagyok a biztonsági szolgáltatok embereivel, hiszen ilyenkor ők veszik fel a telefont. Ám ők nyilván nem tudnak segíteni, hiszen legfeljebb a tűz esetén értesítendő személy mobilja van náluk leadva. Persze, gyűjtse az újságíró a telefonszámokat, ám ez a kissé bennfentes megoldás nem igazán szimpatikus, hisz egy komoly hiba esetén minden érintettnek joga van ahhoz, hogy tájékozódjon, s ne azt hallgassa a központi számon: „Kérjük, hívjon vissza bennünket hétköznap, ügyfélfogadási időben!”
Frissítés: Időközben az adatvédelmi biztos, Jóri András is kiadott egy közleményt az üggyel kapcsolatban. Ezek szerint:
„Jóri András adatvédelmi biztos helyszíni vizsgálatban kívánja tisztázni a Központi Elektronikus Szolgáltató Rendszerben február 7-én bekövetkezett üzemzavar körülményeit. A Miniszterelnöki Hivatal közleménye szerint a hibát elhárították, az elektronikus közigazgatási ügyintézéshez és szolgáltatásokhoz beléptető Ügyfélkapu ismét megbízhatóan működik. Tekintettel azonban arra, hogy az államigazgatási rendszer megkülönböztetett fontosságú eszközének meghibásodásáról volt szó, a biztos szükségesnek látja annak adatvédelmi szempontú vizsgálatát.”
