Lezárult a vizsgálat az Ügyfélkapu ügyében

Hozzáférhető a kormányzat informatikai biztonsági felügyelője, Dedinszky Ferenc által készített részletes jelentés, mely a kormányzati rendszerek működésében tapasztalt, a közelmúltban történt három üzemzavar miatt lefolytatott vizsgálat eredményeit ismerteti.

A legsúlyosabbról annak idején az IT café is beszámolt, majd arról az előzetes tájékoztatóról is, melyet Dedinszky Baja Ferenccel, a Miniszterelnöki Hivatal infokommunikációért felelős államtitkárával együtt tartott. A részletes jelentés legkeményebb, lényegre törő mondatai mindjárt a szöveg elején találhatóak: „Az ellenőrzés során megállapítást nyert, hogy mindhárom esemény ugyanazon okra vezethető vissza: a nem kellő gondossággal letesztelt programmódosítások éles üzembe állítására, a változáskezeléssel kapcsolatos – informatikai biztonság körébe tartozó – szabályok és eljárásrendek személyi mulasztás miatt bekövetkezett figyelmen kívül hagyására.”

OEP

A jelentés ezek után egyenként elemzi végig a bekövetkezett eseményeket. Az első fennakadás az Országos Egészségbiztosítási Pénztár (OEP) rendszerét érintette január 19-én. A hiba következtében a biztosítottak egy részénél a rendszer rendezetlen biztosítási jogviszonyt jelzett. A hiba oka egy január 17-én tesztelés nélkül végrehajtott programmódosítás volt. Az alapadatok nem sérültek meg, a hibát a fejlesztő elismerte, a helyreállítást január 22-re sikerült megoldani. A vizsgálat számtalan területen talált hiányosságokat, legfontosabb megállapítása: „…közvetlen felelősség terheli az OEP és a Fejlesztő által delegált mindkét projektvezetőt, és közvetett felelősség terheli a Projektben részt vevő valamennyi munkatársat”.

A jövőt érintően megállapítja a jelentés, hogy: „létrejött a programrendszer fejlesztéséhez elengedhetetlen OEP-en belüli tesztkörnyezet, ám a valóban elvárható teljes funkcionalitású, minden külső kapcsolattal is rendelkező, »éles« tesztrendszer a mai napig nem került kiépítésre”, s az évek során felhalmozódott komoly lemaradásokra figyelmeztet.

A Központi Rendszer lassulása

Január 20-án a felhasználók az APEH adóbevallási határnapján jelentős lassulást érzékeltek, melyet az egy időben bejelentkezettek igen nagy száma idézett elő: „A problémát az okozta, hogy a [a tömeges adatfeltöltést segítő] »Java-ablak« alkalmazásának engedélyezését egy korábbi (2008 őszén végzett) tesztelés során letiltották, majd ezt követően nem állították vissza, így a bevallásokat csak egyenként lehetett beküldeni, ami jelentősen megnövelte az egy felhasználó által generált forgalmat. Az üzemeltető személyzet a hiba keresése során erre a lehetőségre nem gondolt. A helyzetet súlyosbította, hogy a felhasználók tájékoztatására szolgáló kommunikációs rendszer sem működött, így a lassulásról szóló üzenetet sem tudták a képernyőn megjeleníteni.”

Ez a komoly fennakadásokat okozó lassulás azonban sem adatvesztéssel, sem illetéktelenek hozzáférési lehetőségével nem járt, de probléma miatt az informatikai kormánybiztos levélben fordult az üzemeltető Kopint-Datorg Zrt. vezérigazgatójához. A vizsgálatot vezető Dedinszky Ferenc megállapítja, hogy a rendszer teherbíró képességét növelni kell, emellett megengedhetetlen, hogy a vészforgatókönyvek nem működnek, így szoftveres okok miatt nem volt lehetőség a felhasználók tájékoztatására.

A Központi Rendszer azonosításkeveredése

Az Ügyfélkapu e legsúlyosabb hibájáról részletesen beszámoltunk. Ez esetben komolyan fennállt az adatvesztés kockázata, hiszen a hiba következtében a bejelentkezők mások fiókjaiba érkeztek meg. E hiba a kapcsolódó rendszerek egy részét (pl. az APEH) is érintette, de az eddig eredmények alapján nem találtak kárt okozó, illetéktelen adatkezelésre utaló nyomot (a mások fiókjába érkezők szinte azonnal ki is léptek).

A hibát belső tevékenység okozta, újra csak az történt, hogy az üzemeltetők megsértették az eljárásrendet, s az előzőekhez hasonlóan a rugalmatlan és hierarchikus döntési protokoll súlyosbította a helyzetet.

Dedinszky Ferenc a teljes jelentés lezárásaként újra megállapítja: „A működési zavarok mindhárom esetben ugyanarra az okra vezethetők vissza: emberi mulasztásra, a programok módosítását követő, nem az erre vonatkozó hatályos szabályzatok előírásainak megfelelő és nem körültekintően végzett tesztelésre. Az esetek – az érintett felhasználóknak okozott kellemetlenségen kívül, amelyért mind az OEP, mind a MeH az érintettektől elnézést kért – adatvesztést, visszaállíthatatlan adatmódosulást, anyagi kárt nem okoztak. A rendszerek biztonságát, az adatok közhitelességét az üzemzavarok nem veszélyeztették. A hibás működés okai és a felelősök mindhárom esetben egyértelműen megállapítást nyertek, a felelősségre vonások folyamatban vannak.”

Ugyanakkor elindult egy törvénymódosítási folyamat is, melyben a kormányzati rendszerek kötelező információbiztonsági auditjának előírása a célja.

  • Kapcsolódó cégek:
  • NISZ

Azóta történt

  • Széles sávot minden magyar otthonba!

    A kormányzat széles körű szakmai támogatással indítja útjára a Nemzeti Digitális Közmű projektjét, ám az még mindig kérdés, hogy az NDK álom, áldás vagy átverés?

  • Az iWiW is sorra kerül

    Jóri András adatvédelmi biztos beszél a titkosszolgálati megfigyelésről, az Ügyfélkapuról, az iWiW-ről, a Google Street View-ról, valamint az e-privacy hazai állapotáról.

  • Ma újra összeomlott az Ügyfélkapu

    A közelmúltban történt üzemzavarok után volt felelősségrevonás, meg komoly ígéretek, de a mai nap eseményei azt mutatják, hogy tényleges lépések aligha történhettek.

  • Bírságreklamációs weboldalt indított a magyar kormány

    Amennyiben az állampolgárok úgy érzik, méltánytalanul bírságolták meg őket egy apró, csekély súlyú szabálysértésért, akkor reklamálhatnak.

Előzmények