Az NSA-nél landolhatnak a magyar adatok

A botrányoknak általában van egy kevéssé meglepő tulajdonságuk: először mindenki felhorkan, egy ideig téma az adott sztori, aztán szép lassan elcsendesül a vihar, és sok esetben – például egy szinte mindenre kiterjedő titkosszolgálati megfigyelésnél – minden megy tovább a régi kerékvágásban.

Ez az a ház, ahol semmi se változik

Elsőre ilyennek tűnt a Snowden-ügy is: egy ránézésre azért nem százszázalékosan megbízható, lényegében technikus munkakörű ember kiszivárogtatott néhány, állítólag az NSA-től származó dokumentumot, amiben az állt, hogy a titkosszolgálatnak korlátlan hatalma van az amerikai szolgáltatók felett, bármit elkérhetnek. Na bumm, volt már ilyen, egy idő után senkit sem érdekelt.

Az NSA központi épülete

Fotó: Greg Mathieson/mai / Europress / Getty

A legerősebb állításokat nem igazán támasztottá alá semmi: a szolgáltatók folyamatosan tagadták, hogy tudtak volna a mindent átfogó Prism-programról, csak annyit ismertek be, hogy szolgáltattak adatokat az NSA-nek, ezzel pedig semmi gond nincs, hiszen törvényi kötelezettségük, és az NSA is a jogszabályoknak megfelelően járt el, nincs itt semmi látnivaló. Bár azóta kiderült, hogy az ügynökség saját szabályzatát is milliószor áthágta, de ez is előfordul.

Úgy tűnt, tényleg csak ennyiről volt szó, az ügyet lassan elfelejtjük, az újságírók is már inkább Snowden furcsa kijelentéseire koncentráltak. Aztán jött a bomba: a brit MI6 ügynökei egyszerűen elmentek a Guardianhez, és szétverték a rájuk veszélyt jelentő iratokat tartalmazó winchestereket. Szerencsére a lap munkatársai sem most jöttek le a merevlemezről, az adatokat máshol is tárolták másolatban, az ügy folytatódhat tovább. És még mindig nem a laposodás jött; kiderült, hogy a cégek milliókat kaptak azért , hogy részt vesznek a programban. A Yahoo gyakorlatilag nem tagadott, inkább kikérte magának az egészet, ezzel magával rántva a tagadókat is (már csak a Google cáfol teljes erővel).

Ez az a ház, ahol áll az idő

Miközben a világ egyre több országa mozdul olyan irányba, hogy kicsit függetlenítsék magukat a mindent látó amerikai titkosszolgálattól, Magyarországon a hallgatás jellemző, sőt ellentétes folyamatok vannak. A németek például nem ajánlják a Windows 8-at, mert az hazabeszél. Persze a minisztérium ezt később cáfolta, de hát mi mást tennének. Az már korábban kiszivárgott, hogy az NSA is aktívan fejlesztette a Windowst.

Nagyon meglepő nincs a dologban, ha megnézzük, hogy a Microsoft még 2011-ben gyakorlatilag beismerte, az amerikai Patroit Act törvény miatt nem tudja garantálni, hogy az európai uniós felhasználók által a saját felhőszolgáltatásaiban, például a Skydrive-ban tárolt információk nem kerülnek ki az EU területéről.

Bedolgozott jó modorral jól megél

Nincs ez máshogy Magyarországgal sem, egy-két dolog miatt jelentős mennyiségű érzékeny adat vándorol dalolva idegen kezek közé. Egy nyílt formátumokkal foglalkozó szervezet összegyűjtötte a nemzetbiztonsági kockázatot rejtő elemeket a magyar állami informatikai infrastruktúrában.

Az egyik legérdekesebb a nyilvánosság által kevésbé ismert Fokmail levelezőrendszer. Ez a szoftver a Fővárosi Önkormányzat fenntartásában lévő intézmények menedzsmentje és a fenntartó közti elektronikus kommunikációt biztosítja. A Fokmail a Microsoft által fejlesztett irodai programcsomagot, az Office 365-öt használja, ami lehetetlenné teszi a nyílt megoldásokkal való hozzáférést. Valószínű, hogy a levelezés tartalma külföldi szerveren tárolódik.

Fotó: Stringer / AFP

Ennél már jóval feltűnőbb, milyen balgaságot művel az Újbudai Önkormányzat: minden adatát, azaz értelemszerűen a kerület lakóinak mindenféle személyes adatát is a Google felhőjében tárolja. Frissítés: az Önkormányzat szerint a Google felhőjében személyes adatokat nem tárolnak, csak a testületi munkát követő, amúgy is nyilvános adatokat. A többi adat zárt rendszerbe kerül.

A törvényhozók már felismerték, hogy az ilyen megoldásokkal gondok vannak, az új információbiztonsági törvény pont emiatt már elég általánosan fogalmaz, és szabályozásnak vetné alá az összes céget, ahol kockázatos adatokat tárolnak. A szövegezés alapján pontosan az Újbudai Önkormányzat megoldása miatt még a Google-t is, ami elég nehezen kivitelezhető akciónak tűnik.

Azt hiszi, hogy korosztálya többet ér

Még akkor is, ha 2014. január 1-jével egy minden eddiginél átfogóbb, szigorúbb és nem csak az Európai Unióra kiterjedő EU-s adatvédelmi szabályozás érkezik. Már foglalkoztunk vele a személyiségi jogok, azon belül is a szabályozási gyakorlatban szükséges „right to be forgotten”, azaz a töröltetés joga kapcsán, de nemcsak emiatt érdekes, hanem mivel általánosságban terjeszti ki az uniós adatvédelmi törvényeket más országokra, így azok jogászai elvileg eredményesebben léphetnek majd fel a polgárok nevében.

Elvileg jobban tudunk majd figyelni a felhőszolgáltatókra is, amelyeket végre egyértelműen említ a törvény szövege. Ráadásul a jogszabály azonnal, a tagállamok külön értelmezése nélkül hatályba lép, így mindenképpen foglalkozni kell a nemzetközi szolgáltatóknál tárolt magyar adatok kérdésével. Úgy tűnik, ennek ellenére itthon egyelőre nem fontos ez az egész.

Felesleges harcot nem vív elvekért

Pedig a megoldás kézenfekvő lenne: a nyílt forrás, amit át lehet vizsgálni. Állítólag a magyar államnak olyan licence van, amellyel joga van betekinteni a Windows forráskódjába, kérdés azonban, hogy éltek-e valaha ezzel a lehetőséggel, és mennyire lehet hatékony.

Korábban voltak is törekvések a nyílt irányba való elmozdulásra: a kormány 2012-ben határozatot hozott arról, hogy a közigazgatási szervnek be kell tudniuk fogadni bármilyen nyílt formátumban érkező dokumentumot. Ez azonban üres mondatok halmaza maradt az akkoriban lehetőségnek tűnt biztos lépés helyett, és most már az sem, hiszen közben több megegyezés is született a Microsofttal . Bár az iskolák szoftverhasználatát befolyásoló Tisztaszoftver nagyon hosszú ideje exlex állapotban van, nincs valódi megállapodás, a Microsoft enélkül engedi a programok használatát.

A 2014-ig tartó, tehát hamarosan véget érő Digitális Megújulás Cselekvési Terv szerint a kormányzat állítólag elkötelezett a nyílt megoldások használata mellett, ennek ellenére számos állami szolgáltatás a mai napig csak zárt alkalmazásokkal érhető el, aminek nemzetbiztonsági kockázatairól már volt szó, ráadásul csak meghatározott platformokon.

A helyzet egyáltalán nem vicces, leginkább alulkezelt, alulbecsült. Meglátjuk, a megfigyelési botrányok gerjesztette hullámok kapcsán valóban lép-e majd a kormány, cselekvési lehetőség és némi határidő elvileg van. A nemrég elfogadott információbiztonsági törvény pontja értelmében az érzékeny adatokkal dolgozó szervezetek vezetőinek 2013. augusztus 31-ig ki be kell jelentenie a Nemzeti Elektronikus Információbiztonsági Hatóság részére az elektronikus információs rendszerek biztonságáért felelős személyt, gyakorlatilag egy összekötő szakembert a hivatal és a szervezetek között. Emellett a törvény értelmében be kell sorolni az összes állami intézményt aszerint, hogy milyen mélységű, minőségű védelmet kötelesek kialakítani. Erre viszont még nincs konkrét időpont.

5 könyv
Több mint 600 meghökkentő, érdekes és tanulságos történet!

MEGVESZEM

Kövesse az Indexet Facebookon is!

Követem!