Kapunyitási pánik

1. Vigyázz a kulcsra!
1. Vigyázz a kulcsra!
Írta: Krasznay Endre
2005-12-19 15:30

Vigyázz a kulcsra!

Az Adó- és Pénzügyi Ellenőrzési Hivatal (APEH) a napokban újabb tájékoztatót adott ki az Ügyfélkapun keresztül történő elektronikus bevallást megelőző regisztrációról, amennyiben az ügyfél nem személyesen, hanem meghatalmazottján – például könyvelőjén, könyvelőirodán – keresztül kívánja benyújtani elektronikus bevallását. A hivatalos közlemény rávilágít arra, hogy nem volt alaptalan azoknak a szakembereknek a véleménye, akik erősebb biztonsági megoldásokat – többek között elektronikus aláírást – javasoltak a rendszer kiépítésekor.

Bírálatok kereszttüzében

A Magyar Elektronikus Aláírás Szövetség (MELASZ) egy nyílt levélben fordult az illetékes szakminiszterekhez és a parlamenti képviselőkhöz, hogy az elektronikus aláírás technológia használatát ne zárják ki az adó- és járulékbevallási eljárásokból, mert ez több ponton ellentétes lépés lenne a jogbiztonság elveivel. A szakmai szövetség azt is kilátásba helyezte, hogy egy ilyen „kizárást” megfogalmazó törvénymódosítás elfogadása esetén az Alkotmánybírósághoz, a Gazdasági Versenyhivatalhoz, valamint a megfelelő EU intézményeihez kell fordulniuk jogorvoslati kérelmükkel. A tervek szerint Magyarország legnagyobb adózói kizárólagosan a ma már biztonságosnak nem tekinthető jelszavas módszerrel nyújthatnák be járulékbevallásukat is a kormányzati portálon keresztül, mivel törvény kötelezné a bevallókat (2006-ban a legnagyobb kb. 50 000, egy évvel később pedig az összes bevallót) az okmányirodai regisztrációra, és a jelszavas Ügyfélkapu használatára.

Érdemes lenne talán újra áttekinteni: elégséges-e az alkalmazott biztonsági szint ahhoz, hogy 2006-ban a vállalkozások tízezrei elektronikusan, interneten keresztül adhassák be bevallásaikat a jelenlegi rendszer szerint, illetve milyen változtatásokkal lehetne még az elkövetkező hónapokban az ügyfelek azonosítását biztonságosabbá tenni. A MELASZ szerint a választás szabadságát biztosító javaslatuk további költségráfordítást nem igényel, az adófizetők pénztárcáját nem terheli tovább, sőt egy mindkét fél számára olcsóbb és biztonságosabb módszer választásának lehetőségét kínálja fel. Az APEH-nél az elektronikus aláírással ellátott dokumentumok feldolgozására szolgáló – a mostani törvényjavaslattal kidobásra ítélt –, több száz millió forintos, alig pár éves rendszer és a tudás már rendelkezésre áll, és a tízezer legnagyobb hazai adózó mellett képes újabb adózók elektronikus bevallásának kezelésére is. Javaslatuk szerint mindössze a jelenleg hatályban lévő Ket. által meghatározott általános szabályozást kell alkalmazni ez esetben is, vagyis csak az érvényes jogszabályok betartása szükséges.

Kicselezhető az Ügyfélkapu?

A magyar közigazgatás informatikai megújulásának látványos mérföldköve volt idén az internetes ügyfélszolgáltatások beindítása, ahol kulcsszerepet kapott a magyar kormányzat elektronikus ügyfél-beléptető és -azonosító rendszere, az Ügyfélkapu. Ezen törekvések eredményeképpen már több elektronikus szolgáltatás érhető el az állampolgárok számára. Ilyen a BM Központi Hivatal által működtetett Internetes Közigazgatási Szolgáltató Rendszer vagy "Virtuális Okmányiroda" (XR), melyen keresztül 25 féle ügyben ügyindítási, közel 80 ügyben időpontfoglalási lehetőség áll az ügyfelek rendelkezésére, valamint az APEH mintegy 140 elektronikusan intézhető ügye, többek között az adóbevallási és adatszolgáltatási nyomtatvány elektronikus beadása, valamint az adófolyószámla-lekérdezés.

A tervek és az eddigi működés során az Ügyfélkapu kapta azt a szerepet, amely biztosítja, hogy a használó egyedileg azonosított módon, biztonságosan léphessen kapcsolatba a központi rendszer útján az elektronikus közigazgatási ügyintézést, illetve elektronikus közigazgatási szolgáltatást nyújtó szervekkel. Most azonban porszem került az eddig kitűnően működő rendszerbe: az APEH jelezte, hogy különböző információk szerint több meghatalmazott úgy adja be elektronikusan az adózók adóbevallásait, hogy az adózókkal regisztráltatják magukat az Okmányirodában, majd az adózó felhasználói nevével és jelszavával a meghatalmazott küldi el a bevallásokat. Az egyik alapvető követelmény, az identitás biztosítása csorbát szenved.

Az állami adóhatóság által ajánlott regisztrációs eljárás menete a következő: a meghatalmazott által történő elektronikus bevallás benyújtását két regisztrációnak kell megelőznie. Először a meghatalmazottnak – például könyvelőnek – kell regisztráltatnia magát az Okmányirodában, ahol felhasználói azonosítót, valamint jelszót kap. Ezt követően az adóhatóságnál is regisztrálnia kell magát a meghatalmazottnak, ahol a meghatalmazotti státuszát kell igazolnia. Ezt követően tud a saját (nem az adózó!) felhasználói azonosítójával és jelszavával az adózó nevében elektronikus bevallást benyújtani, illetve ügyet intézni. Ebből következően amennyiben az adózó meghatalmazottat vesz igénybe elektronikus bevallásainak elküldésére, az adózónak nem kell regisztráltatnia magát az Okmányirodában!

Vigyázz a kulcsodra!

Az állami adóhatóság most felhívja ügyfeleinek figyelmét, hogy az okmányirodai regisztráció során megkapott felhasználói azonosítót és jelszót célszerű bizalmasan kezelni, mivel az illetéktelen felhasználásból eredő következményekért az adózó lesz majd a felelős. Ez persze természetes is, hiszen a hivatal eddig is az adózón verte el a port, ha valamilyen rendellenességet talált, nem foglalkozott a könyvelő vagy a közreműködő adótanácsadó szerepével. A gond igazán akkor keletkezett, amikor a jogalkotók ezt a gyakorlatot megfordították az elektronikus eljárások alkalmazásánál, vagyis a felelősséget átruházták a meghatalmazottra, aki ugye mégsem vállalhatja fel azokat a stikliket, amelyeket mondjuk a tudta nélkül követnek el a vállalkozásban. Mindezek ismeretében a könyvelési szolgáltatók – saját jól felfogott érdekükben – nehezen vállalják el az egyébként mindenkinek – vállalkozásnak és az adóhivatalnak is – előnyöket jelentő meghatalmazotti státuszt. Így terjed az a gyakorlat, hogy a cégvezető személyazonosítójával a könyvelési szolgáltató – jogszerű meghatalmazás nélkül – intézi ügyfelének adóügyeit.

Megjegyezzük, hogy az Okmányirodában kapott felhasználói azonosítót és jelszót nem csak adóügyekben, hanem sok egyéb közigazgatási hatósági eljárásban – például útlevéligénylés, lakcímkártya-igénylés stb. – is fel lehet használni, az igénybe vehető szolgáltatások köre pedig egyre bővül. A problémás gyakorlat ettől a ponttól válik veszélyessé.

Szakértőink szerint az ügyfél azonosításának legalapvetőbb biztonsági követelménye, hogy a tudás (pl. jelszó), birtok (pl. mobiltelefon) és a biometrikus (pl. ujjlenyomat) azonosítások közül egyszerre legalább kettőt használjunk. Az Ügyfélkapu nem elektronikus aláírással működő azonosítása ezt az alapvető elvet sérti meg. Ami rosszabb, hogy szembe megy a 195/2005. (IX. 22.) kormányrendelet 15 § (1)-es bekezdésével is, miszerint „A külön jogszabályban meghatározott párbeszédre épülő elektronikus ügyintézés során az ügyféllel létesített kapcsolat fennállása alatt a műszaki lehetőségek szerint biztosítani kell, hogy az egyszer már azonosított ügyfél vagy hatóság helyébe jogosulatlan harmadik személy ne léphessen.” Az Ügyfélkapu tervezése óta alapvetően magában hordozza az ún. azonosságlopás (identity theft) lehetőségét. Pedig a banki minta alapján például egy mobiltelefonszám regisztrálásával ki lehetett volna kerülni ezt a csapdát.

Mindezek miatt az állami adóhatóság is már kockázatosnak tartja azt a gyakorlatot, mely szerint az adózók a meghatalmazottaiknak a saját felhasználói azonosítójukat és jelszavukat átadják. A közlemény számunkra a biztonsági tervezés hiányosságaira hívja fel a figyelmet az Ügyfélkapunál. És ez sajnos gyaníthatóan csak a jéghegy csúcsa.

Krasznay Endre

Azóta történt

Azonosítsd magad!

A megkerülhetetlen felhasználói azonosítás mind az e-kormányzatok, mind a biztonságos vállalati hálózatok alapköve.

Biztonság 2006-01-03 0
Európa kiadó

Múlt héttől már a vállalkozások is igényelhetnek .eu végződésű doménnevet. Interjúnk az egyik hazai regisztrátorral.

Közösségi média 2006-02-13 4

Előzmények

„MELASZ-Ready” lett a NetLock terméke

A vezető hitelesítésszolgáltató aláíró-modulja alkalmas az együttműködésre.

Tech 2005-12-07 0
A PKI technológia gyors honosítása

Példás összefogással alakítják piacukat a vezető hazai hitelesítés-szolgáltatók.

Tech 2005-11-25 0
Mi már tavaly is e-számláztunk!

Kihasználja-e lépéselőnyét az Euroexpert Holding, vagy kiszorítják a multik?

Tech 2005-10-25 0
e-angyalföldi-e vagy?

Novembertől a XIII. kerületi önkormányzatnál elindul az internetes ügyintézés.

Társadalom 2005-10-24 1

Percről percre

Kihívás a középkategóriában: teszten a Radeon RX 7600 XT

ph Az AMD Full HD felbontáshoz ajánlja a legnagyobb Navi 33 alapú GPU-ját, melyet a PowerColor tálalásában próbáltunk ki.

AGM M7 - elnyűhetetlen okostojás

ma Különös keveréke ez a telefon a nyomógombos strapamobiloknak és az érintős okostelefonoknak, de megvan a célközönsége.

Ülésezik a hardveregylet

ph Az irodai készülékek és monitorok társaságát egy ház, egy egér és egy DAC egészíti ki.

Motorola Moto G24 Power - hol van az erő?

ma Nagy az aksi, gyenge a hardver, amiből hosszú üzemidőre lehetne következtetni. Tényleg így van?

LG 34GS95QE-B: OLED paneles, ívelt gamer monitor

ph Félmillió forintba kerül az LG új, 240 Hz-es gamer monitora. Megnéztük, mit tud!

Aktív témák