2. Hírek
  3. Biztonság

Nem biztonságos a belépés az Ügyfélkapun

Pettkó András
Pettkó András

Ismét napirendre került a hazai elektronikus közigazgatás csúcsprojektjének számító Ügyfélkapu biztonsága, ezúttal a Parlamentben. A múlt héten Pettkó András, az MDF országgyűlési képviselője, az informatikai és távközlési bizottság tagja firtatta a rendszer sebezhetőségét. A honatya egy közel kétéves – korábban lapunkban is ismertetett – tanulmány megállapításait összefoglalva állította, hogy a jelenleg alkalmazott egylépcsős beléptetés miatt az Ügyfélkapu használói nincsenek biztonságban, mert ha jelszavaikat az adathalászok megszerzik – márpedig ezek begyűjtésére számos módszer létezik – bizalmas adatokhoz lehet hozzáférni, és eljárásokat lehet kezdeményezni a nevükben. „Mikor és hogyan kívánják biztonságosabbá tenni a rendszert? Mit kívánnak tenni az ügyfelek adatai védelmének érdekében? A hackerek számára is nyitott az ügyfélkapu?” – tette fel a kérdést az Országgyűlésben Pettkó.

Baja Ferenc, a Miniszterelnöki Hivatal (MeH) államtitkára válaszolt a felvetésre, azt állítva, hogy a rendszer biztonságos. A biztonság ugyan mindig javítható – ismerte el –, de erre az Ügyfélkapu esetében folyamatosan törekednek is. Éppen a hivatkozott tanulmány alapján „az elmúlt egy évben nagyon jelentős fejlesztések történtek az Ügyfélkapu keretei között is, éppen biztonságossá tétele érdekében. Az, hogy ezek milyenek, erről nem tudok önnek beszámolni, mert ezek nemzetbiztonsági titokvédelem alá tartoznak” – mondta. Ezzel elzárkózott a konkrétumok ismertetése elől, és a kifogásolt egylépcsős beléptetési rendszerrel kapcsolatos fejlesztési tervekre sem tért ki.

Nagyon fontos a közigazgatás keretein belül a dokumentumhitelesítés kérdésköre. Nemrég az IIR Magyarország rendezett egy fontos konferenciát az e-ügyintézés hazai állapotáról, ahol az ismert szakértőtől, Sikolya Zsolttól hallhattuk többek között azt is, hogy a törvényi háttér az elektronikus aláírás használatához már adott, de nem ártana néhány fogalmat tisztázni. Itt van mindjárt a dokumentumhitelesítés, illetve az azonosítás meghatározásának pongyolasága, ami a jogászok oldaláról nézve gondokat okozhat egy peres eljárás során. A tavaly életbe lépett új Ket. szabályozza az elektronikus azonosítás, hitelesítés módját: az Ügyfélkaput hatalmazták fel erre a feladatvégzésre. Ez egy központi azonosítási eszköz, amely döntően jelszót használ a hitelesítéshez (egyfázisú!), de a rendszer képes elektronikus aláírást is elfogadni oly módon, hogy viszontazonosításra egy hitelesített szolgáltatót is be kell vonni. Az utóbbi módszer elméletben kellően biztonságos, de mivel ilyen „viszontazonosításos” központi megoldást még nem készítettek a világon ügyfélkapus közigazgatási rendszereknél, hát nincsenek is kellő gyakorlati tapasztalatok. Európában egyébként 12 országban van PKI-alapú hitelesítés, három ország a biometrikus azonosítást választotta, Észtországban pedig már a kártyákon található a PKI-s azonosító kód. Vannak olyan országok is, ahol a szervezetek azonosítását is megoldották, Ausztria pedig kidolgozta a meghatalmazás egységes kezelését.

Pedig tény, hogy e téren nem történt változás. Ezt elismeri Szittner Károly, a MeH Elektronikus Kormányzati Központjának főtanácsadója is, aki szerint a jelenleg alkalmazott statikus jelszó valóban nem a legbiztonságosabb módszer. A fejlettebb országokban általában egyszer használatos jelszavakat használnak, nálunk is ez lehet a legolcsóbb megoldás a többéves probléma lezárására – mondja.

Szigeti Szabolcs, az említett dolgozat társszerzője ma is azt gondolja, hogy a beléptetésnél szükség van a fejlesztésre, de egyben arra is figyelmeztet, hogy a rendszer biztonságosságának megítélése számos más tényezőn is múlik. „Azt, hogy egy informatikai rendszer biztonságos, vagy nem biztonságos, nem lehet ilyen egyszerűen kijelenteni, pláne nem egy olyan nagy rendszer esetében, mint az Ügyfélkapu. Természetes, hogy az informatikai rendszerek fejlődésével párhuzamosan a veszélyek is folyamatosan változnak. Úgy gondolom, hogy az Ügyfélkapu esetében is igaz ez a fejlődési spirál, sok pozitív változás történt az elmúlt időszakban. Természetesen vannak még – egyébként létező technikai megoldásokon alapuló – lehetőségek a továbbfejlesztésre, ilyen az SMS-visszaigazolás vagy az egyszeri jelszavak használata, de tudomásom szerint vannak erre irányuló törekvések a kormányzati szerveknél” – mondta el lapunknak.

Hogy e törekvéseknek mikor lesz kézzelfogható eredménye, egyelőre nem tudni.

Azóta történt

Előzmények