Július 13-án délután, sajtóértesülések szerint mindössze háromhavi fejlesztés és néhány órás házon belüli "teszt" után éles üzemre kapcsolt a BKK online jegy- és bérletértékesítő oldala, a shop.bkk.hu. Megoszlanak a vélemények arról, hogy három hónap kevés vagy bőven elegendő egy ilyen funkcionalitású webbolt elkészítéséhez, mindenesetre - a megrendelő és a fejlesztő közötti ideális együttműködést és a szoftverfejlesztési aranyszabályok betartását feltételezve - születhetett volna amatőr hibáktól mentes, közmegelégedésre szolgáló rendszer is.
Mit kívánt nyújtani az utazóközönségnek a BKK? Kezdetben teljes árú és tanuló, félhavi és havi Budapest-bérletek, 24, 72 órás és hetijegy vásárlására adott (volna) lehetőséget a társaság, amit később további, nem részletezett termékek megvásárlására is ki kívántak terjeszteni. Biztonsági és érvényességazonosítási elemként a QR-kód mellett döntöttek, ezt a felszállásnál, jegyellenőrzésnél kódolvasóval lehet ellenőrizni, a frissítéshez pedig legalább napi egyszer kell(ene) belépniük a felhasználóknak mobiljukkal a webes felületre. Az online vásárlás első lépése azonban a regisztráció az igazolványszám megadásával, ezt követi a kívánt jegy vagy bérlet kiválasztása a jegyeladó automatáknál megszokott módon, majd az érvényesség kezdő dátumának beállítása, végül a bankkártyás fizetés.
Ötven forintos bérlet
Mint ismeretes, a bankkártyás tranzakció kezelésében rejlő hibát - a kosárba tett termék árának módosíthatóságát - egy gimnazista vette észre (és ezt jelezte a BKK email-címén). Talán sokan emlékeznek még rá, hogy az első hazai webáruházakban fordult elő ugyanez a bug, ennek köszönhetően vehetett néhány szemfüles vásárló 1 forintért plazmatévét sok-sok évvel ezelőtt. Lényegében arról van szó, hogy ez esetben a BKK szervere közli a böngészővel, mennyibe kerül a bérlet, a banki rendszer viszont validálás nélkül elfogadja az átírt árat, mintha a kólaautomata a 250 forintos üdítőt 10 forintért is kiadná. Ezen a ponton a fővárosi tömegközlekedők még gazdagabbak lehettek volna egy sok milliárd adóforintba kerülő online rendszerrel, de - legalábbis egyelőre - nem lettek.
A szoftverben rejlő bugról a BKK-n kívül lényegében egy füst alatt a szenzációra fogékony sajtót is tájékoztatta a fiatalember, akit a rendőrség rövidesen előállított. Osztályozható a hatósági eljárás jelesre vagy elégtelenre, tény, hogy a fiatalember nem várta meg a BKK visszajelzését.
- Ha megsejtünk egy sérülékenységet valaki más rendszerében, akkor ellenőrizzük, hogy a sejtésünk helytálló-e (reprodukáljuk a hibát), és amennyiben igen, azonnal értesítjük a szolgáltatót. Ezt követően időt szoktunk adni a hiba javítására, vagy legalább arra, hogy az érintett jelezze, tudomásul vette azt, és mielőbb javítani fogja. Amennyiben azonban a szolgáltató nem reagál, akkor nyilvánosságra szokás hozni a sérülékenység tényét annak érdekében, hogy ha ő nem jár el felelősségteljesen, akkor a felhasználók tehessék meg a szükséges óvintézkedéseket - fogalmazott nyilvános posztjában Ördög Rafael, az Emarsys webfejlesztője.
Ezúttal azonban elszabadultak az indulatok. Sorozatos kibertámadások után az üzemeltető leállította a rendszert, de addigra további hiányosságokra is fény derült, így például arra, hogy sem a felhasználói adatokat, sem a jelszavakat nem titkosították kellőképpen, a felhasználói profilok védelme hiányos, lehallgatható volt a böngésző és a szerver közötti kommunikáció, így a regisztrált felhasználók érzékeny adatai, sőt naplófájlok kerülhettek kibertolvajokhoz. Hírek szerint 3481 név, felhasználónév, email-cím, jelszó, személyiigazolvány-szám vált publikussá, ők sérelemdíjért perelhetnek.
Dabóczi Kálmán vezérigazgató a BKK nevében elnézést kért a kellemetlenségekért, és kárpótlást helyezett kilátásba az értékesítési csatornának bizalmat szavazó utasoknak. Kaszás Zoltán, a T-Systems Magyarország vezérigazgatója levelében az etikus hackerség fogalmának tisztázását sürgette.
- Eljött az ideje, hogy Magyarországon is megkezdődjön az "ethical hacking" tevékenység körüli társadalmi és szakmai párbeszéd, és megteremtődjenek e tevékenység törvényes, szabályozott keretei - fogalmazott. Röviddel később arról tájékoztatott, hogy a T-Systems független szakértői vizsgálat lefolytatására kérte fel az EY nemzetközi tanácsadó céget.
E sorok írása idején a BKK Online Shop által nyújtott szolgáltatások nem érhetőek el, és a cég kommunikációs csapatának tájékoztatása szerint ebben a Tarlós István főpolgármester által elrendelt átfogó vizsgálat lezárása előtt nem várható változás.
Hol csúszott el?
Magyarországon általános gyakorlat, és nem is csupán a szoftverfejlesztési projekteknél, hogy a megvalósításra szánt idő háromnegyede előkészítéssel, tendereztetéssel, közbeszerzéssel megy el, és a tényleges tervezésre, megvalósításra csak az idő negyede marad. Ugyanakkor a megrendelő első pillanattól kezdve úgy tekint a termékre, mintha az már készen is volna - fogalmazott lapunknak az egyik információbiztonsági vállalat vezetője. Szerinte tovább rontja a helyzetet, hogy a munkaerő elvándorlása és egyes cégek HR-politikája miatt mind kevesebb a szenior munkatárs, a juniorok pedig nem minden feladattal képesek megbirkózni.
A BKK Online Shop indítását felső utasítások sürgették, és az sem kizárt, hogy időszűkében egy eredetileg nem erre a célra kitalált rendszert kalapáltak át a T-Systemsnél abban a meggyőződésben, hogy a hiányosságait ráérnek a későbbre tervezett, nagyobb tudású változatban javítani - találgatott informátorunk. Elképzelhető, hogy erre utalt a T-Systems Magyarország vezérigazgatója, amikor azt mondta, vitathatatlan, hogy a rendszer bizonyos komponenseinél már léteznek fejlettebb, korszerűbb megoldások.
Élénk párbeszéd folyik az ország legismertebb információbiztonsági szakemberei között a közösségi oldalakon a fejlesztő, az üzemeltető, a bejelentő és a média felelősségéről, valamint a várható következményekről. Abban azonban teljes az egyetértés, hogy megfelelő projekttervvel, projektmenedzsmenttel és minőségbiztosítással megelőzhető lett volna a katasztrófa.
- A sikeres informatikai rendszerek bevezetése az ügyfelek és szállítók közös felelőssége. A tervezéstől a kivitelezésen át a tesztelésig, dokumentálásig, támogatásig egyetlen lépés sem hagyható ki, tervezhető alul, mert annak előbb-utóbb óhatatlanul negatív következménye lesz. A megrendelők felelőssége, hogy ne kényszerítsék a szállítókat lehetetlen határidőkbe, aránytalan díjazásba, a szállítóké pedig az, hogy tudjanak nemet mondani, ha ilyen eset mégis előfordul - fogalmazott lapunknak Major Gábor, az IVSZ főtitkára.
Laufer Tamás, a szervezet elnöke fontosnak tartotta megjegyezni, hogy az IVSZ aggasztónak találja a szolgáltató hivatalos IT-biztonsági protokoll szerinti feljelentését követő hatósági reakciót. Közleményében egyebek mellett kitér arra is, hogy a digitalizáció ma már egyáltalán nem csupán az informatikai szektort érinti, a gazdaság minden hagyományos területén is újra kell alkotni az eddig egyébként működő folyamatokat. Szerinte a jogszabályi háttérnek és a kapcsolódó gyakorlatoknak is fejlődniük kell, és ez ma még korántsem egyenletesen valósul meg.
- Ma már a digitális az új normális, így olyan szervezetekben is zajlik a forradalom, amelyeknél az informatikai megoldásokkal kapcsolatos képességek még nem rutinszerűek - hangsúlyozta Laufer Tamás, aki a digitális megoldások jó példái között említette az elektronikus útdíj-fizetési rendszert, az online pénztárgépek bevezetését, a Mol-BKK Bubi és a BKK Futár projektjét.
Lehetett volna más is…
Sajtóinformációk szerint a BKK még 2015-ben szerződött egy alapvetően jegyautomatákkal foglalkozó német céggel az online bérletrendszer kifejlesztésére, az azonban kompetencia hiányában visszalépett. A sebtében üzembe helyezett bérlet- és jegyshop fejlesztésére a BKK nem írt ki közbeszerzést, így verseny sem volt, ezért nem lehet tudni, lett volna-e ennél kedvezőbb ajánlat, létrejöhetett volna-e ennél korszerűbb, jövőállóbb rendszer.
Mindenestre említésre érdemes, hogy az okosváros-fejlesztésben előrébb járó brit főváros közlekedési vállalata épp mostanában döntött a 2003-ban bevezetett RFID-es Oyster Card korszerűsítéséről, mert azt a mobilalkalmazásokhoz szokott utasok már nem találták elég okosnak és gyorsnak. A mobiltelefonra letölthető alkalmazásban megmaradnak a megszokott funkciók, így az egyérintéses fizetés, az egyenleg automatikus feltöltése, de kiegészül azzal, hogy a felhasználók bármikor ellenőrizni tudják, mennyit költöttek, költhetnek közlekedésre.
- A smart city koncepciója az IoT-világ koncepciójának egy olyan integratív világképe, amelyben a különböző szolgáltatók IoT-rendszereinek adatait egy városon belül integráljuk, aggregáljuk, és a különböző okosváros-appjaink ezeket hasznosítják. A tömegközlekedésben meg fognak jelenni az on-demand szolgáltatások. Egy kis okosváros miért ne szervezhetné úgy a közlekedési kapacitásait, hogy a meglévő eszközei akkor közlekedjenek, amikor szükség van rájuk? Miért ne lehetne a megállóból hívni a buszt, vagy csak akkor útba ejteni a pályaudvart, ha ott valaki leszáll? - fejtegette lapunknak Nagymajtényi Gábor, a Cyber Services Zrt. CTO-ja. - Mindehhez az informatikának csak azt kell tudni biztosítani, hogy az ügyféligény rögzüljön az egyik rendszerben, automatikusan rögzítse az adott szolgáltató okosszenzora, és ezt az adatot eljuttassa egy másik rendszerhez.
