Ajándékozz éves hvg360 előfizetést!
A rendőrök meglehetősen nagy hévvel dolgoznak, a BKK és a T-Systems viszont, úgy tűnik, hallgat az e-jegyrendszer egy hete tartó kálváriájának ügyében.
Miközben a rendőrök kihallgatásra vitték a BKK T-Systems által fejlesztett online jegyrendszerének hibáját feltáró, a könnyen kihasználható rendszerhibát a szolgáltató felé azonnal jelző 18 éves fiút, mind a fejlesztő, mind a megrendelő hallgat az ügyben. A T-Systemsnek szerdán délben tettük fel kérdéseinket, a BKK-nak pedig egy napra rá, csütörtökön. Péntek délutánig egyik társaságtól sem érkezett válasz. Igaz, időközben a T-Systemstől jelezték, nem is fognak reagálni. A BKK pedig egy másik cikkünk kapcsán írt egy közepesen hosszú levelet, így a sajtósaik biztosan dolgoznak.
Úgy gondoltuk, legalább a kérdéseinket megmutatjuk – önmagában az is tanulságos lehet, hogy milyen felvetésekre nem kapunk választ.
1) Valóban azt az informatikust jelentették fel, aki e-mailjében is jelezte, hogy segítő szándékkal fedte fel a hibát? (Amelyről rögtön értesítette is a szolgáltatót.) Időközben kiderült, hogy igen, valóban róla van szó.
2) A BKK vezérigazgatója azt mondta, hogy "az üveget golyóálló üvegre cserélték", mert látták a visszaélésszerű használatot. Mennyire elfogadott biztonsági szint az, hogy – a hasonlattal élve – “sima üveggel” üzemeltet valaki egy informatikai rendszert 2017-ben? Más ügyfeleinek is hasonló biztonsági szintet szolgáltat a T-Systems, mint a rendszer első napjaiban a BKK-nak? Vagy ez a biztonsági szint volt a BKK mint megrendelő igénye?
3) Mit jelent az, hogy “rendszerszintű” volt a támadássorozat?
4) Takács József, a T-Systems biztonsági igazgatója szerint több mint hatszáz támadást regisztráltak az indulás óta. Mi számít támadásnak? Az itt leírt módszer használatát támadásként tartja-e már számon a T-Systems?
5) Egyetért-e a megoldást szolgáltató T-Systems azzal a kijelentéssel, hogy “az okos megoldások az okos embereknek valók”? Mivel a T-Systems szolgáltatja a kijelentésben említett megoldást, ezért komolyan szeretnék választ kapni arra a kérdésre, hogy ki a célcsoport. Úgy gondolja-e a szolgáltató, hogy a rendszerét csak okos embereknek kell tudni használni.
Ugyanezt a kérdést a BKK-nak értelemszerűen más szempontból tettük fel: Közpénzből fenntartott, minden (adófizető) állampolgárt egyenlőnek tekintő szervezetként mit gondolnak arról a megállapításról “az okos megoldások az okos embereknek valók”? Kíván-e a BKK szolgáltatni a (saját vagy más meghatározása szerint) nem okos embereknek is?
Itt tartunk most. Ha értesülni szeretne a fejleményekről, lájkolja a HVG Tech rovatának Facebook-oldalát.
