A mintegy 540 ezer ügyfelet – köztük cégeket, vállalkozásokat – kiszolgálni hivatott elektronikus ügyfélkapurendszer nem biztonságos, és csak idő kérdése, hogy mikor támadják meg az adathalász hackerek – világított rá egy dolgozatban Krasznay Csaba és Szigeti Szabolcs, a Budapesti Műszaki és Gazdaságtudományi Egyetem Informatikai Központjának két munkatársa az e-önkormányzatot vizsgáló dolgozatukban. Miként a szakemberek arra rámutattak, az informatikai biztonság egyik alaptétele a kétlépcsős hitelesítés, amely két, egymástól független módon állapítja meg a személyazonosságot és a jogosultságokat.
Ennek ellenére az ügyfélkapunál egylépcsős beléptetést alkalmaznak, ami az okmányirodai azonosítás után kiadott jelszóval működik. Habár az ezt kiegészítő elektronikus aláírás is használható, ezt azonban sem az internetes portál, sem az ügyfelek nem részesítik előnyben, az elemzést készítők szerint azért, mert az ügyfélkapu elektronikus aláíró szoftverének rendelkezésre állása minősíthetetlenül rossz, ráadásul adminisztratív eszközök is nehezítik alkalmazását.
A kutatók megállapítása szerint az alacsony biztonsági színvonal mellett nincs nehéz dolguk az adathalászoknak, akik valószínűleg csak arra várnak, hogy az ügyfélkapu-felhasználók száma elérjen egy kritikus pontot. Ekkor az ügyfelek tömegével kaphatnak olyan e-maileket, amelyek ügyfélkapus fejléccel közlik a címzettekkel, hogy egy rendszerhiba miatt eltűntek a jelszavak az adatbázisból, ezért legyenek szívesek az e-mailben lévő linkre kattintani, és az ott található űrlapon beírni a felhasználónevüket és jelszavukat. – Az első támadás bekövetkezésének ideje csak attól függ, hogy mikor lehet nagy haszonnal végrehajtani az információszerzést. Az, hogy jelenleg ilyen a rendszer, elsősorban nem a műszaki tervezők hibája, hanem a magyar adatvédelmi szabályozásnak, illetve a közigazgatáson belüli kusza hatásköröknek és felelősségnek köszönhető – írták a szerzők, akik a kétlépcsős rendszerre való mihamarabbi áttérésben látják a megoldást.
Bódi Gábor, az Elektronikus Önkormányzati Központ főosztályvezetője megkeresésünkre a fentiekkel ellentétben azt közölte, hogy a beléptetőrendszer alapvetően biztonságos, és eddig még senki nem próbálta meg feltörni. – A kormány júliusi döntésének értelmében ötmilliárdos fejlesztés előtt áll az e-közigazgatási rendszer, így lehetőség nyílik a biztonsági kapuk tökéletesítésére is – fogalmazott Bódi, aki szerint a szignónként minimum 30-40 ezer forintba kerülő elektronikus aláírási rendszer annak költségessége miatt nem népszerű.
A dolgozat két szerzője szerint egyébként létezik a kormányzati rendszerben az ügyfélkapunál is gyengébb láncszem. Az Egységes Magyar Munkaügyi Adatbázis – ahol a magyar munkavállalók jelentős részének személyes adatai szerepelnek – esetében a belépéshez szükséges jelszó egy öt számjegyből álló PIN kód, melyet célzott támadással néhány perc alatt, úgynevezett brute force (nyers erő) módszerrel fel lehet törni. A támadó dolgát az is megkönnyíti, hogy a rendszer nem tilt le három próbálkozás után, és nem növeli a próbálkozások közötti időt sem.