Table of Contents
"Andrássy" korszak
Az “átkosban” még egy Andrássy úti palotában látogattam az előd intézményt (KEOKH), majd a Régi Váci utcába költöztek, most meg külvárosba utaznak hozzájuk emberek audienciára.
Nem gondolom, hogy Orbán migránsozása lenne okolható azért, milyen a BAH szolgáltatási kultúrája — nagy foltokban archaikus. Meggyőződésem, hogy a szolgáltatások kiber/alkalmazásbiztonsági minősége meghatározó mértékben a szervezeti kultúra jegyeit viseli magán, és a bmbah.hu esete erősíti e tézisemet.
Az “Andrássy” korszakban ők a kádári rezsim kiemelt felügyeleti szerve voltak, teenagerként büszke voltam magamra, hogy “megszöktettem” a csinos kék műanyag "R" betűt, melyet az épületbe való be-, kiléptetésre osztottak a portán.
Évekkel későbbi, még a kamera nélküli mobilok korszakából való, így dokumentálatlan emlékem a következő lap az ügyfélfogadó irodájuk ajtaján — csak emlékezetből:
“Ne kopogjanak! A kopogás a házirend megsértésének minősül. A házirend megsértése az épületből való kizárással jár.”
Ez a Váci utcában volt, és a hírhedt Grespik nevéhez fűződő korszak volt — ekkor jutottam arra, hogy ha nem muszáj, nem szeretnék érintkezni ezzel a intézménnyel.
TLS nélküli BAH korszak
Az anyám viszont lelkiismeretesen látogatja BAH-ot öt évenként a letelepedési státusza fenntartása érdekében (a kisadag megaláztatás fejében). Januári élménye: az előre befoglalt időpontja előtt érkezett jóval, az ügyintézés 15. percében közölte vele az ügyfélszolgálati munkatárs hölgy, hogy inkább jöjjön vissza máskor, mert az illető műszakja nemsokára (értsd fél óra múlva) lejár. Tehát a 80 éves anyám újra tehet egy utazást a külvárosba, én meg a nevében a bmbah.hu-n foglalhatok új időpontot.
Nyithatom a honlapjukat újra hogy szembesüljek: 2023 januárja, GDPR, kormányzati webapp valahol az EU-ban, a böngészőm meg panaszkodik, hogy a kapcsolat nem biztonságos, HTTPS nuku.
Ezt a “TLS-nélküliségi” problémát (”incidens” menüpontban) jeleztem az NKI-nak, a kiberfelügyeletnek — remélem, mire ezt olvasod, már megjavították. Amúgy nem volt ez egy incidens vagy egy az erőkben beállt pillanatnyi zavar: a Wayback Machine tanulsága szerint bmbah.hu talán mindig is HTTP303-at dobott átirányítva a látogatókat a http://www.bmbah.hu/index.php?lang=en linkre (lásd a hiányzó ‘s’).
A tézisemnek megfelelően a BAH webapp-ja (ahol a látogató időpontot foglalhat náluk nevének, állampolgárságának és email címének megadása ellenében) a kora 2010-es éveket idézi. Joomla alapú php app, kicsit zavaros formok(űrlapok), rávesznek hogy találj ki egy felhasználó nevet, amit aztán sosem használ a webapp, viszont ha letérsz a normális oldal sorrendről, újra beléptet, újra captcha, aztán az angol verzióban keresheted a kérdéses országot a listában, mely a magyar országnevek sorrendjében van ”rendezve”.
A tipikusan trehány módon tervezett és kódolt, teszteletlen webapp ismérvei. Ezeken túl, ha a szerverük találkozik olyannal, mint én, akinél (remélem, nálad is!) be van kapcsolva a content blocker, mely kigyomlálja a gyanús sütiket, akkor nem a BAH honlapot kapod, hanem üdvözöl egy bizonyos “Financial business” (vagyis a site fejlesztésénél anno kiinduló kódként használt html/php sablon oldala).
Tehát azt próbálom bizonygatni, hogy a kiberbiztonsági minőség kéz a kézben jár a fejlesztés és az üzemeltetés minőségével. Mely meglátásom szerint pedig az intézmény szervezeti kultúrájának eredője. (Itt utalnék hasonló story-kra: BKK webshop, melyet last minute fejlesztette a T-Systems egy al-alvállalkozója, vagy a nemzeti konzultációban egyszer használt Yandex Metrika sütik körüli botrány.) Késő 2010-ben Firesheep problémaként elkeresztelve sikerült felhívni a közvélemény figyelmét a TLS hiányára a leglátogatottabb site-ok esetében, mint pl. Facebook, azaz hogy ezek nem használnak Secure HTTP-t, azaz HTTPS-t. Ennek hiányában egy kíváncsiskodó vagy egy támadó érzékeny adatokat (adott esetben az expatok személyazonosításra alkalmas adatait, ún. PII) hallgathatott le a kávéházi wifin keresztül vagy bárhol a dróton a felhasználó és Facebook között (vagy a BAH/OIF és az ott időpontot foglaló expat között).
Manapság jobban védettek a wifik, de az EU-ban jó ideje van GDPR-unk, mely tiltja és szankcionálja a PII hanyag kezelését és különösen annak titkosítatlan megjelenését a dróton — akár egy online virágüzlet esetében is.
Plíz ENTER
A BAH-nak a szolgáltatásról alkotott, még nagy foltokban archaikus elképzelése abban gyökerezik, hogy az ügyfélköre fél ettől a szervezettől — senki nem szeretné kockáztatni az ideiglenes vagy állandó tartózkodását, melynek ügyében a bahosok döntenek.
Amint komplikálódik az ember ügye, úgy az a külföldiek és a hivatal között közvetítő, problémamegoldó ügyvédek üzletévé válik, melynek keretében már sokkal többet áldoz az ember egy reggeli pár órás sorbanállásnál. A Főigazgatóság ezen kevéssé kontrollált hatalmi pozíciója szüli az egyes hivatalnokok autoriter viselkedési mintáit, és felteszem: ez a szervezeti kultúra aligha maradna meg egy megfelelő vezetői kultúra nélkül.
Az utóbbira gyanakodnék gyökérokként amögött is, hogy az archaikus IT túlél náluk.
A BAH-nál tapasztalt helyzet amúgy elüt a jelenlegi magyarországi, egyáltalán nem rossz színvonaltól, amit a közszolgáltatások/e-kormányzat IT-jában tapasztalhatunk. Ezen belül a BAH új címe ez lesz: https://enterhungary.gov.hu
A szerző vendégszerzőnk: Timur Khrotko, PhD
Development security specialist and training organizer; React native developer; Organisational researcher