h i r d e t é s

Megfigyelőszoftver van a Digitális Jólét Programban

Olvasási idő
7perc
Eddig olvastam
a- a+

Megfigyelőszoftver van a Digitális Jólét Programban

2017. március 11. - 08:29

A kérdés, hogy ezzel vajon minden érintett tisztában van-e? - tette fel a kérdést a JOG A LAPPAL Blog.

Fotó: Árvai Károly/kormany.hu

A Digitális Jólét Program keretében, Nyíregyháza után, most közel 3000 db notebook és tablet térítésmentes használatbavételére, és ehhez kapcsolódóan informatikai képzésben való részvételre nyílik lehetőség Szabolcs-Szatmár-Bereg megye hat járásának településein élők körében.

A programba való bekerülés egyik feltétele, hogy a pályázó az Adatkezelési tájékoztatót elfogadja, erről pedig természetesen nyilatkozni is kell. A nyertes pályázók és a Kormányzati Informatikai Fejlesztési Ügynökség (KIFÜ) között megkötött Támogatási és használati szerződés szerint a KIFÜ jogosult a notebook/tablet rendeltetésszerű használatát ellenőrizni.

Az ellenőrzés távmenedzsment szoftver segítségével és közvetlen ellenőrzéssel egyaránt megtörténhet. A szerződés ráadásul példálózó jelleggel felsorolja, hogy milyen cselekmények számítanak különösen ellentétesnek a rendeltetésszerű használattal. Nem lehet például szerzői jogokat sérteni, tiltott szerencsejátékokban részt venni, vagy épp pornográf oldalak tartalmát letölteni.

Utóbbi megmosolyogtató utánérzése számomra egy túlbuzgó erkölcsrendészetnek, arról nem is beszélve, hogy a pornográfia határait meglehetősen nehéz objektív ismérvekkel behatárolni, gondoljunk csak a közösségi tartalommegosztó weboldalak szélmalomharcára a pornográf tartalmak elleni küzdelemben.

De a megfogalmazás is érdekes („tilos különösen pornográf oldalak tartalmát letölteni"), hiszen ezek szerint nem pornográf oldalról (jelentsen ez tehát bármit) lehet pornográf tartalmat letölteni. Ellenben pornográf oldalról semmilyen tartalmat nem lehet letölteni, akkor sem, ha az épp nem pornográf.

Az esetleges szankció kiszabásának (vagyis a tablet elvétele a pornóval rosszalkodó felhasználótól) mindenesetre korlátot szabhat majd az ellenőr egyenes és következetes erkölcsi mércéje az ellenőrzésének foganatosításakor.

A szürrealizmusból visszatérve a XXI. század magyar valóságába sokkal fontosabb és izgalmasabb kérdés a távmenedzsment szoftverrel való ellenőrzés lehetősége, amit a már említett nyilatkozattal elfogadott Adatkezelési tájékoztató részletez: a projekt megvalósítása során a távmenedzsment program használatát „az állami vagyon védelme, a felhasználó támogatása és az új fejlesztések központi telepítésének lehetősége teszi szükségessé" – olvasható, a miheztartás végett.

A problémák is itt kezdődnek, ugyanis a kiválasztott távmenedzsment szoftver, vagyis a OCS Inventory NG leltárprogram működésére vonatkozó leírás olyan messze van a teljes körű tájékoztatástól, mint amilyen messze volt Makó bán Jeruzsálemtől.

A leltárprogram meglehetősen elnagyolt bemutatása során egyébként arról győzködik a programban való résztvevőket, hogy az OCS Inventory NG nem alkalmas például a felhasználók notebookján a webkamerát bekapcsolva fénykép vagy videófelvétel készítésére, mikrofon bekapcsolására és hangfelvétel készítésére, mint ahogy személyes adatainak megszerzésére és felhasználók dokumentumainak távolról való megtekintésére sem.


Forrás: gyomberbela.blog.hu

Nem alkalmas, hogy mindenki számára világos legyen

Ellenben nyilvánvaló tényként közlik, hogy a felhasználók szerződésben vállalt kötelezettségei megkövetelik a notebookok/tabletek rendszeres használatát. A projektgazda szerint maga a szoftver nem több egy, a rendszergazdák munkáját támogató, leltározó alkalmazásnál.

Egyik állítással sem lehet vitatkozni: a készülékek a magyar állam tulajdonában maradnak, ezért nyilvánvaló, hogy az államot megilleti az ellenőrzés joga. Az is kétségtelen, hogy az OCS Inventory NG egy viszonylag megbízhatónak és stabilnak tartott megoldás, ami tökéletesen alkalmas a leltárfunkció betöltésére. Főleg vállalati hálózati környezetben.

Felhasználásával ugyanis feltérképezhető a hálózatban lévő notebookok/tabletek hardver kiépítése, továbbá az azokra telepített szoftverek is, illetve nyomon követhető ezek változása. Az OCS Inventory NG segítségével statisztika készíthető a notebookok/tabletek használatáról, valamint lehetőséget ad a rendszer-gazdáknak szoftverek telepítésére a gép előtt ülő felhasználó beavatkozása nélkül.

Nyilván véletlen, hogy arról már nem esik szó, hogy az Android-rendszert használó tabletekre telepíthető OCS Inventory NG alkalmazás a következő engedélyeket kéri a telepítéskor: telefonállapot és azonosító olvasása, USB-tár tartalmának olvasása, USB-háttértár törlése/módosítása, fotók és videók készítése, Wi-Fi kapcsolatok megtekintése, telefonállapot és azonosító olvasása, hálózati kapcsolatok megtekintése, Bluetooth-eszközök párosítása, kapcsolódás Wi-Fi-hez és a kapcsolat bontása, alkalmazástárhely felmérése, teljes hálózati hozzáférés és futtatás indításkor. Utóbbi mondjuk érthető is.


Forrás: gyomberbela.blog.hu

Gondolom ezen a ponton néhányan már keresztültolták a billentyűzetüket a monitorjukon, mondván, hogy jövök én, aki az utolsó saját készítésű programját „enddo”-val zárta, ahhoz, hogy egy olyan projektet készülök bírálni, amely alapesetben ingyenes és amely nyilvánvalóan a létező legjobb open source alapokon nyugszik. Vagy jobban örülnék egy 10-100-1000 millió forintért „összegrundolt” kormányzati ellenőrzőszoftvernek, Bongo 3.0-val megfűszerezve?

A válaszom: nem, de a legfőbb probléma szerintem nem is maga az OCS Inventory NG (egy kicsit az is, de erről majd később), hanem az, hogy a felhasználó, aki a program jellegéből adódóan egyáltalán nem járatos az informatika világában, a kapott tájékoztatás birtokában nem tudja meghozni a felelős döntést arról, hogy az OCS Inventory NG használatával járó, magánszféráját érintő behatásokat vállalni kívánja-e, vagy sem.

Az OCS Inventory NG ugyanis nyilvánvalóan sokkal komolyabb funkcionalitással bír, mint ahogy azt a tájékoztató leírja. Arról nem is beszélve, hogy az OCS Inventory NG kifejezetten támogatja pluginek használatát, vagyis a funkcionalitása bővíthető/módosítható.

Természetesen azt nem mondom, hogy felhasználói kézikönyvet is kellene mellékelni, de legalább az alkalmazott szoftver gyártójának neve, a részletesebb leírás elérhetősége, verziószáma, esetleg egy bővebb bekezdés elfért volna arról, hogy a nagyjából felsorolt adattovábbítási esetek mit jelentenek a felhasználóra nézve a gyakorlatban.


Forrás: gyomberbela.blog.hu

Főleg, ha figyelembe vesszük, hogy a „pilot" miskolci projekt leírásában (amiben ugyancsak OCS Inventory NG szoftvert használtak) még az szerepel, hogy nemcsak, hogy nem alkalmas a szoftver megfigyelésre, hanem az is, hogy „a Digitális Közösség Programban nincsenek is ilyen céljaik.” Ez a mondat is kimaradt a mostani leírásból. De nem ez az egyetlen különbség.

A miskolci projektben kiosztott készülékek a Miskolc Holding Zrt. szerverközpontjába voltak bekötve, ugyanis ott üzemelt a klienseket kiszolgáló szerver. A Szabolcs-Szatmár-Bereg megyei projekt viszont már nem oda van bekötve (mert hát ugye Miskolc se ott van). Hanem a Belügyminisztérium felügyelete alatt álló kormányzati informatikai központba, a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. szerverközpontjába.

Természetesen az a látszat, hogy a nem megfelelően tájékoztatott notebook és nem tájékoztatott tablet felhasználók egy potenciális megfigyelőprogrammal ellátott számítástechnikai eszközt használnak, ami közvetve a Belügyminisztériumhoz van bekötve, még nem jelenti azt, hogy látszat szerint ne érvényesülhetne valamennyi adatvédelmi irányelv a maga tökéletes teljességében. Még egyszer hangsúlyoznám ezért, hogy a probléma szerintem a felhasználói tájékoztatás alkalmatlansága annak az eldöntésére, hogy valaki felül-e a fent bemutatott látszatnak, vagy bizalommal használja ezeket az eszközöket.

De mit is lehet tudni a OCS Inventory NG szoftverről? Ha az Android-verziót nézzük, akkor a Google Play adatai szerint 1000-nél kevesebb alkalommal telepítették, és mindössze 7 darab értékelést kapott, vagyis a Digitális Jólét Programjában szétosztott tabletek (kb. 400 darab) ebből szép kis szeletet jelenthetnek. Szóval eddig meglehetősen kevesen használták. A francia fejlesztőcsapat kompetenciáját és a webes szoftver biztonságosságát természetesen én nem tudom megítélni.


Nagyobb méretért kattintson a képre!
Forrás: gyomberbela.blog.hu

Viszont megtette ezt a U.S. Department of Veterans Affairs szervezete, amely korlátozásokkal javasolja a szoftver használatát. Egyfelől azért, mert potenciálisan olyan programnak tartja, amely alkalmas lehet egészségügyi személyes adat és egyéb személyes adat összegyűjtésére és továbbítására. Másrészt a szoftver egy vagy több Common Vulnerabilities and Exposures-t, vagyis ismert sérülékenységet, illetve sebezhetőséget tartalmaz (2016-os állapot).

Persze elfogadom, sokan nem tartják túl kompetens példának az idézett amerikai szervezetet, de az ő véleményük a kibervédelem terén elmaradottnak éppen nem nevezhető NIST: National Institute of Standards and Technology riportjain alapul, miszerint az OCS Inventory NG számos korábbi verziója sérülékeny volt, illetve sebezhetőséget tartalmazott.

A francia fejlesztőcsapattól, aminek a tagjai egyébként név szerint is ismertek, nyilván folyamatosan érkeznek javítások a szoftverhez, de kérdés, hogy kiberbiztonsági szempontból megfelelő-e a szoftverük a kormányzati környezetben való futtatás feltételeinek. A magyar kormány szerint igen, hiszen a magyar állam tulajdonában álló NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. szerverközpontjában most épp egy ilyen szerver üzemel.

 

gyomberbela.blog.hu