A Mi Hazánk informatikusai cáfolják a Tisza Párt magyarázatát

A Mi Hazánk Mozgalom Informatikai Munkacsoportja eljuttatott egy dokumentumot a szerkesztőségünkhöz, amivel szakmai szempontból is reagál a Tisza Párt által működtetett Tisza Világ alkalmazással kapcsolatos adatkezelési botrányra. Az eset nemcsak informatikai, hanem jogi és nemzetbiztonsági kérdéseket is felvet. A munkacsoport álláspontja szerint ha egy párt nem tudja biztonságosan kezelni támogatóinak adatait, azzal veszélybe kerül az emberek bizalma az online politikai részvételben.

Miért nem hihető az „önkéntes mint szivárogtató” történet?

A Tisza Párt azt állítja, hogy az adatokat egy önkéntes vitte ki a rendszerből. A beszámoló ezt az állítást műszaki és logikai alapon is cáfolja: Több mint 18–20 ezer rekord kiszivárgása nem lehetséges manuálisan, egyszerű felhasználói hozzáféréssel. Egy önkéntes nem rendelkezhetett sem közvetlen adatbázis-, sem rendszergazdai szintű hozzáféréssel. Az ilyen volumenű adatvesztés automatizált lekérdezés vagy sérülékeny végpont – például rosszul konfigurált felhőtároló vagy hiányzó jogosultság-ellenőrzés – eredménye.

A nyilvánosan elérhető technikai ajánlások szerint ez hibás hozzáférés-vezérlésre, hibás hitelesítésre vagy hibás biztonsági konfigurációra utal. A jelentés alapján ha valóban egy személy hajtotta volna végre a műveletet, annak nyoma lenne a szerver- és adatbázisnaplókban. Ilyen bizonyítékot a Tisza Párt nem mutatott be, ráadásul a párt kommunikációja is ellentmondásos: előbb tagadták az incidenst, majd részben elismerték a külső fejlesztők és külföldi szerverek jelenlétét. Ez a váltás ellentétes az általános adatvédelmi rendeletben (GDPR – General Data Protection Regulation) is szereplő elszámoltathatóság elvével.

A dokumentum rávilágít, hogy a technikai körülmények alapján az alkalmazás szerveroldali része vagy egy kapcsolódó felhőszolgáltatás válhatott nyilvánosan elérhetővé, ami tömeges adatlekérésre adott lehetőséget. A médiában közölt technikai bizonyítékok is inkább arra utalnak, hogy az adatokat nem belülről vitték ki, hanem a webalkalmazáson keresztül automatikusan bejárva az elérhető oldalakat, adatpontokat. A szöveg arra is felhívja a figyelmet, hogy egy ilyen jellegű tömeges adatletöltést – 26 500 érintett felhasználó – sem egy önkéntes, sem egy átlagos felhasználó nem tudna kézzel végrehajtani.

A beszámoló azt a következtetést vonja le tehát, hogy nem emberi szivárogtatás, hanem egy technikailag rosszul védett rendszer volt az adatvesztés oka. A hiba forrása a fejlesztés és az üzemeltetés szintjén keresendő.

Milyen jogokat és szabályokat sérthetett az ügy?

A közlés arra is rámutat, hogy több adatvédelmi szabály is sérülhetett:

• A GDPR kimondja, hogy minden szervezetnek biztonságosan kell kezelnie a személyes adatokat, és ha adatvesztés történik, azt 72 órán belül jelenteni kell a hatóságnak.
• A magyar 2011. évi CXII. törvény előírja, hogy az adatkezelő – jelen esetben a párt – köteles megvédeni az adatokat a jogosulatlan hozzáféréstől.
• A Büntető Törvénykönyv 219. paragrafusa a személyes adattal való visszaélést bűncselekménynek tekinti.
• A 2023. évi LXXXVIII. törvény a nemzeti szuverenitás védelméről kimondja, hogy külföldi adatkezelők bevonása nemzetbiztonsági kockázat lehet.

Bárki, aki adatokat gyűjt az állampolgárokról, köteles megfelelni ezeknek az előírásoknak. A munkacsoport különösen aggasztónak tartja, hogy a technikai leírásokban külföldi – ukrán – fejlesztői és adminisztrátori kapcsolatok is megjelennek. Azt is hangsúlyozza, hogy egy háborúban álló ország irányába kiszivárgó több tízezer magyar állampolgár és aktivista adata súlyos nemzetbiztonsági kockázat, különösen a választások előtti időszakban. Ezek az adatok – például e-mail-címek, tartózkodási helyek, politikai preferenciák – alkalmasak lehetnek megfigyelésre, befolyásolásra vagy akár célzott online támadásokra is. Egy ilyen incidens nemcsak adatvédelmi, hanem szuverenitási kérdés: ki férhet hozzá magyar állampolgárok adataihoz, és mire használja azokat?

Mit lehetne tenni, hogy ilyen ne forduljon elő?

A Mi Hazánk Mozgalom Informatikai Munkacsoportja az alábbi javaslatokat fogalmazta meg a jelentésben:

• Évente kötelező legyen biztonsági audit az OWASP és az ENISA ajánlásai alapján.
• A Nemzeti Adatvédelmi és Információszabadság Hatóság és a Szuverenitásvédelmi Hivatal felé legyen automatikus incidensbejelentés.
• A politikai rendszerek kapjanak biztonsági minősítést az ISO/IEC 27001 nemzetközi szabvány alapján.

A beszámoló azzal a gondolattal zárul, hogy a digitális térben az állampolgárok adatainak védelme pártállástól függetlenül közös felelősség. A mostani ügy megmutatta, milyen könnyen sérülhet ez a bizalom, ha egy szervezet nem fordít elég figyelmet a biztonságra.

(Kiemelt kép forrása: Pexels)