Amíg az adatok ki nem kerültek, addig a BKK új e-jegy és online jegyértékesítési rendszere kapcsán mindig azt mondtam, hogy lehetne rosszabb is. A legrosszabb eset az, hogy ezt a rendszert feltörik és a személyes adatok kikerülnek. Ez most úgy tűnik, megtörtént. Képzeljük el, hogy ezek között vannak néhány ezer vagy néhány száz külföldinek az adatai, olyanoké, akik idejöttek a vizes vb-re, beregisztráltak ebbe a rendszerbe, majd úgy mennek el innen, hogy a személyes adataik kikerültek. Bele lehet gondolni, hogy ebből mekkora sajtóbotrány lesz majd Európában. Ez már nem csak a két cég lokális reputációvesztése – nyilatkozta lapunknak Krasznay Csaba, a Nemzeti Közszolgálati Egyetem (NKE) áprilisban létrejött kiberbiztonsági akadémiájának igazgatója azzal kapcsolatban, hogy a 24.hu birtokába jutott egy több mint 3000 ember személyes adatait tartalmazó adatbázis, amely a forrás állítása szerint a BKK rendszeréből származik. Szakemberek szerint ha valósak az adatok, akkor a fejlesztők több súlyos biztonsági hibát is elkövettek, az áldozatok pedig sérelemdíjért perelhetnek. A 24.hu az adatvédelmi hivatalnál bejelentést tett, átadta az adatbázist, a hivatalnál várják a BKK tájékoztatását. „Ennek a héten meg kellene érkeznie” – mondta el kérdésünkre Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke. Krasznay megerősítette azt, amit a kikerült adatokról szóló cikkben a fejlesztők is hangoztattak: ezeket a hibákat „akarni kellett” beletenni. Szerinte, amikor egy fejlesztő a tíz legveszélyesebb biztonsági hibából hatot belepakol egy alkalmazásba, az magyarázhatatlan. Két napja azon gondolkodom, hogy hogy lehetett ezt ennyire elrontani, de nincs ötletem. HIRDETÉS Arra a kérdésemre, hogy elképzelhető-e az, hogy a rendszerbe kívülről nyúltak bele, kívülről „rontották el”, Krasznay Csaba egyértelmű nemmel felelt. A kérdés, hogy észlelték-e Fontos alapszabály biztonsági, információbiztonsági incidensnél, hogy a lehető legalacsonyabban tartjuk a tüzet, nem adunk rá oxigént, nem hagyjuk, hogy felgyulladjon – mondta Krasznay. A szakember elmondta: hibák mindig vannak. A háttérben ilyenkor elkezdődik egy nyomozás annak kiderítésére, mekkora kár érte a rendszert, mi történt pontosan. Szerinte az, hogy a 24.hu-hoz került ez az adatbázis, a lehető legrosszabb, ami történhetett a BKK és a T-Systems Magyarország párosával. „Kérdés, hogy észlelték-e azt, hogy ehhez az adatbázishoz hozzájutottak, ezt lementették. Mert ha tudjuk azt, hogy adatot loptak tőlünk, akkor mielőtt a sajtóhoz kerülne az adatbázis, el kell kezdeni felkészíteni a közvéleményt a hírre: mindent megtettünk az ügyfelek adatainak biztosításáért, letiltottuk a rendszert, értesítettük a felhasználókat, hogy változtassák meg a jelszót, már nyomozzuk, mi történt pontosan, és mekkora kört érintett, és így tovább.” Erre a kérdésre majd a T-Systems belső vizsgálata, illetve az általuk hétfőn felkért EY nemzetközi tanácsadó cég által végzett külső, független szakértői vizsgálat adhat választ. (Ahogy Tarlós István főpolgármester állítására miszerint a T-Systems állományából kerülhetett ki a birtokunkba került 3 ezres adatbázis, szintén ez ad majd választ – jelezte nekünk a cég sajtóosztálya.) Magyarázatot követel, és a T-Systemsre veri a BKK-balhét Tarlós Tarlós István csütörtök délelőtt sajtótájékoztatót tartott, ahol nemcsak arról beszélt, hogy büntetőeljárás indul a metróajtót blokkoló fakocka ügyében, vagy esze ágában sincs meneszteni Dabóczi Kálmán BKK-vezért az e-jegyrendszer körüli botrány miatt, de a 24.hu birtokába került adatbázis kapcsán is megszólalt. És elég kemény dolgokat mondott. Fotó: MTI/Mohai Balázs Három hónap alatt meg lehet csinálni Kaszás Zoltán, a T-Systems Magyarország vezérigazgatója, egy belső körlevélben úgy fogalmazott: „a BKK-tól lehetőséget kaptunk, hogy rekord idő alatt (3 hónap) mi készíthessük el annak új webes bérletértékesítési rendszerét.” Ezzel kapcsolatban a kiberbiztonsági akadémia igazgatója elmondta: Félreértés ne essék, létre lehet hozni 3 hónap alatt egy ilyen rendszert. HIRDETÉS Azt mondja, szoftverfejlesztő cégnél dolgozik, 3 éven keresztül vezette egy termék fejlesztését. A folyamat úgy működik, hogy a termék elkészül, a terméken lefutnak a tesztek, majd az eredmények és a felvázolt kockázatok alapján a felelős döntéshozó értékeli azt, hogy mehet-e a rendszer éles üzemben vagy sem. Ha kimegy éles üzembe, de marad benne hiba – ez velem is előfordult – akkor vállalni kell, vállaltam én is a a felelősséget. De sosem kenem rá a felelősséget a végfelhasználóra, és nem hivatkozok külső indokokra. Olyan szoftvert és szolgáltatást kell az asztalra letenni, ami kielégíti az ügyféligényeket. A biztonsági és adatvédelmi követelményeket – pláne a mai világban – le kell írni, és azokat bele kell tenni a rendszerbe – közölte Krasznay Csaba. Hozzátette, nem az a szándéka, hogy a BKK és a T-Systems Magyarország kettősét savazza, hiszen hasonló szintű problémák napi szinten cégek ezreinél, millióinál előfordulnak: Ebből áll az egész kiberbűnözési iparág, ezért tud még működni. Még mindig milliószámra vannak rosszul megírt alkalmazások, amik tele vannak tömve ügyféladatokkal. Kulturális kérdés A kiberbiztonsági akadémia igazgatója szerint ez az eset nagyon sokat segíthet abban, hogy Magyarországon a szervezetek vezetői megértsék, mivel járhat egy-egy rossz döntés. Mint mondja, ezt Amerikában már lejátszották pár évvel korábban. Ahogyan ő fogalmaz: El lehet játszani – pontosan egyszer(!) – az ügyfelek bizalmát, utána nagyon sokba kerül azt a hírnevet helyreállítani. A fejlesztőknek is intő jel ez a mostani eset, hiszen a mai világban elkerülhetetlen, hogy a biztonságos szoftverfejlesztés benne legyen a vérükben.
