Hackertámadás nem volt, valószínűleg az üzemeltetés szabályainak megsértése miatt következett be a hét végi hiba a kormányzati portál, ismertebb nevén az ügyfélkapu működésében – állapította meg az adatvédelmi biztos. Jóri András helyszíni vizsgálatban igyekezett fényt deríteni arra, mi okozhatta a Miniszterelnöki Hivatal (MeH) központi elektronikus szolgáltató rendszerében a hét végén beállt üzemzavart. Az ombudsman arra jutott: feltehetően nem külső beavatkozás miatt váltak átmenetileg nyilvánossá a rendszerben regisztrált ügyfelek adatai.
Miként arról korábban beszámoltunk, szombaton órákon keresztül kaotikus állapotok uralkodtak a kormányzati portálon. A belépők ugyanis nem saját adataikat látták a képernyőn, hanem véletlenszerűen másokét. A MeH által üzemeltetett ügyfélkapu segítségével számos hivatalos ügy elintézhető: az interneten keresztül kapcsolatba léphetünk például az adóhatósággal és az okmányirodákkal is.
Ebből azonban következik, hogy adótitkaink, személyes adataink, például a bankszámlánk száma is szerepel a kormányzati portál oldalán.
*
Ám ezeket rendes körülmények között csak mi nézhetjük meg, felhasználói nevünk és belépési kódunk beütése után, vagyis illetéktelenek nem férhetnek hozzá a bizalmas információkhoz.
Szombaton azonban a belépők azt tapasztalták: nem saját adataikat látják a képernyőn, hanem valaki másét. Sokan többször is megpróbáltak csatlakozni a rendszerhez, ám minden esetben más és más személy vagy cég adatai bukkantak fel. Az adatvédelmi biztos vizsgálatában egyelőre még nem tudta megállapítani, hogy az üzemzavar alatt mennyi személyes adat vált mások számára hozzáférhetővé. Folyik annak kiderítése is, hogy illetéktelenek módosíthatták-e a birtokukba került személyes adatokat – olvasható Jóri András tegnapi közleményében. Az ombudsman a kérdések tisztázására átfogó vizsgálatot kezdett.
Bizonyosnak látszik, hogy a hiba miatt adótitkot ismerhettek meg az illetéktelenek, miként az is elképzelhető, hogy az üzemzavar ideje alatt az adatokat jogosulatlanul megtudók például elküldték a tévedésből megjelenő személy nevében annak adóbevallását, vagy pénzt igényelhettek vissza. Kérdésünkre az Adó- és Pénzügyi Ellenőrzési Hivatalnál (APEH) közölték: ismereteik szerint nem fordulhatott elő, hogy valaki a hibát kihasználva hozzáfért az APEH adatbázisához, s ott kedvére keresgélhetett például konkurenseinek vagy szomszédainak adóügyi adatai között. Az üzemzavar kapcsán több részlet nem világos. Leginkább az, hogy a hiba észlelésekor miért nem kapcsolták le azonnal az ügyfélkaput. Ekkor a rendszerhez nem lehetett volna kapcsolódni, s így a hibát anélkül javíthatták volna ki, hogy bárkinek az adatai megismerhetővé váltak volna. Egyesek szerint a hét végén nem dolgozott olyan személy a MeH-ben, aki dönthetett volna a kormányzati portál kikapcsolásáról. Mások azonban annak a gyanújuknak adtak hangot, miszerint elképzelhető, hogy valakik ezzel az üzemzavarral kívánták a döntéshozók tudtára adni: az ügyfélkapun – nyilván jól fizető állami megrendelés keretében – fejleszteni kell. Kérdéseinket szerettük volna feltenni a kormányszóvivőnek, ám lapzártánkig nem tudtuk elérni.
Szakmai berkekben egyébként már régóta hangoztatják, hogy a kormányzati portál nem biztonságos. Kérdésünkre Dalos Mihály, a Microsec Kft. ügyvezetője elmondta, az ügyfélkapuval az a legnagyobb baj, hogy az adatok nincsenek titkosítva. – Ez könynyedén, kis anyagi ráfordítással megoldható lenne, ezáltal kivédhetők lennének a hasonló esetek – fogalmazott, hozzátéve: az is komoly veszélyt hordoz, hogy a kormányzati portálon elküldött hivatalos iratokat nem kell elektronikus aláírással ellátni. Ez azzal fenyeget, hogy a rendszerhez belülről hozzáférők – akár hivatalnokok is – módosíthatják az adatokat, másrészt az ügyeit ily módon intéző állampolgár letagadhatja, hogy bizonyos iratot ő küldött el, mondván: nincs rajta az e-szignója.