A magyar kormány új Digitális Állampolgárság Programja (DÁP) sokak szerint a technológiai fejlődés és a gyorsabb ügyintézés záloga. Azonban ha mélyebbre ásunk, egy riasztó jövőkép rajzolódik ki: tökéletes állami kontroll, kibertámadások veszélye, adatvédelmi rémálom és a kínai társadalmi kreditrendszeréhez kísértetiesen hasonló mechanizmusok. Tényleg szükségünk van egy ilyen rendszerre, vagy csapdába sétáltunk?
Totális állami megfigyelés egy kattintásnyira
A DÁP egy központi adatbázisba tömöríti az állampolgárok személyes adatait, ügyintézési előzményeit, digitális lábnyomát és egyéb érzékeny információkat. Ez azt jelenti, hogy a hatóságok egyetlen kattintással hozzáférhetnek mindenhez, amit valaha csináltál. Ha viszont ők elérik ezeket mindössze egy helyen, akkor a támadóknak is elég csak egyetlen biztonsági rést megtalálni – ez pedig célponttá is teszi az egész struktúrát a rosszindulatú kiberszereplők szemében. Erre szokták azt mondani, hogy ne tegyél fel mindent egy lapra.
A DÁP-rendszer ideiglenes(?) elkerülésére lehetőséget nyújtott az Ügyfélkapu+, amire 2025. január 15-ig válthattunk. Aki addig nem csinálta meg, már nem is tudja, hiszen az új regisztráció kizárólag a DÁP rendszerébe lehetséges – már akkor sincs lehetőség létrehozni Ügyfélkapu+-fiókot, ha személyesen bemegyünk a kormányablakba. Ez az eddig ismert Ügyfélkaputól abban tér el, hogy megbízhatóbb, ugyanis bejelentkezéshez már nem elég a felhasználónév és a jelszó, ahogy korábban, hanem hitelesítő alkalmazás vagy e-mail segítségével szükséges megadnunk még egy hitelesítő kódot is.
Az újonnan bevezetett rendszer módot ad a kormányzatnak arra, hogy folyamatosan megfigyelje és profilozza a civileket, de technológiai és szervezeti kihívásokat is felvet. A kockázatok semmiképp sem elhanyagolhatók: az adatbiztonság, a hozzáférhetőség és a polgári jogok védelme kritikus kérdések, amiket figyelembe kellene venni.
Ugyanis, ha az egyén teljes mértékben kiszolgáltatottá válik az állam megfigyelésének, és minden lépése nyomon követhető, akkor lényegében elveszíti a döntési szabadságát. Az önrendelkezés csak addig létezik, amíg az embernek van magánszférája és választása, hogy a hatalmi beavatkozástól függetlenül alakítsa az életét. Ha ez megszűnik, akkor a személyes autonómia is megsemmisül.
Társadalmi hatások – digitális bilincs
Ezekből látjuk tehát, hogy az egyik legnagyobb társadalmi probléma az új működési elv bevezetésével a fokozott közigazgatási kontroll veszélye: egy központosított platform lehetőséget ad arra, hogy a politikai vezetés minden lakos tevékenységét nyomon kövesse. Ez potenciálisan visszaélésekhez vezethet, különösen tekintélyuralmi kormányzatok esetében.
Továbbá felmerül a technológiai szakadék elmélyülése is. Hátrányos helyzetbe kerülhetnek azok, akik nem rendelkeznek megfelelő technológiai ismeretekkel. Ez különösen az idősek, a vidéken élők és az alacsonyabb jövedelemmel rendelkezők esetében lehet gond.
(Kép forrása: imgflip.com)
Hová folyik a közpénz?
Ha az államigazgatási szolgáltatások kizárólag a virtuális térben érhetőek el, azzal kötelezővé válik egy digitális identitás használata. Kizárhatják mindazokat, akik nem tudnak vagy nem akarnak online adminisztrációt végezni. Ez sértheti a személyes szabadságjogokat, mivel az embereknek választási lehetőséget kellene biztosítani az internetes és hagyományos ügyintézés között.
Felmerült az átláthatóság és elszámoltathatóság problémája is. Egy ilyen nagyszabású számítástechnikai architektúra létrehozásához és fenntartásához jelentős mennyiségű közpénzt kell felhasználni. Ezért fontos kérdés, hogy mennyire követhető nyomon a fejlesztés és az üzemeltetés, pontosan kik részesülnek a ráfordított összegből és milyen szerepük van a működtetésben. Az átláthatóság hiányában ez komoly korrupciós esélyt is rejt magában.
Sebezhetőség, adatvesztés és állami függőség
Az egységes digitális rendszer támadási felületet biztosíthat, ami kiberbiztonsági kockázatnak minősül. Ha behatolnak, az állampolgárok személyes adatai és hivatalos dokumentumai is veszélybe kerülhetnek. Egy sikeres betörés akár teljes adatbázisok kiszivárgásához is vezethet.
Egy másik szempont az állami informatikai infrastruktúrától való függőség. Ha minden ügy egyetlen elektronikus szerverre kerül, akkor egy technikai hiba vagy központi leállás esetén az egész konstrukció működésképtelenné válhat. Ez akadályozhatja a mindennapi ügykezelést, például az utazást, a bankszámlához való hozzáférést, az egészségügyi ellátást és a személyazonosságot bizonyító igazolványok felmutatását. Rosszabb esetben még az is megtörténhet, hogy egy ember teljes személyazonossága eltűnik az adatbankból.
Nézzük meg, milyen szinteken támadható, honnan indulhatnak a bevetések, és mennyi esély van egy sikeres betörésre.
Kiberbiztonsági rémálom: hackerek aranybányája
Egy központosított adatbázis hatalmas céltáblát fest a számítógépes bűnözők szeme elé. Magyarországon a közszolgáltatások már többször is célponttá váltak – gondoljunk csak a Budapesti Közlekedési Központ (BKK) e-jegyrendszerére, ami 2017-ben súlyos hibáktól hemzsegett, és folyamatos kibertámadások célpontja volt. Egy egyszerű, etikus hacker által feltárt hiba lehetővé tette, hogy bárki módosítsa a saját jegyadatait. Ráadásul erre a BKK válasza nem az azonnali javítás volt, hanem a jó szándékú fiatal rendőrségi feljelentése.
Hasonló problémák merültek fel a közigazgatási portáloknál is, amik szintén rendszeresen szenvednek túlterheléses (DDoS – Distributed Denial of Service, azaz elosztott szolgáltatásmegtagadás) zavarkeltésektől és egyéb kibervédelmi problémáktól. 2021-ben például a Log4Shell nevű sebezhetőség révén több kormányzati szolgáltatás is veszélybe került, és komoly aggodalmakat vetett fel az informatikai struktúra biztonságával kapcsolatban. Egy DDoS-támadás vagy egy adatszivárgás súlyos következményekkel járhat, hiszen a rendszer az állampolgárok személyes, pénzügyi és egészségügyi adatait is tartalmazza.
Közelítsük meg ezt a helyzetet szakmai szempontból is egy kicsit néhány példával alátámasztva:
Milyen szinteken sebezhető?
Felhasználói oldal (End-user attack)
A hackerek gyakran a legegyszerűbb belépési pontot keresik: sok esetben a leggyengébb láncszem maga a felhasználó – aki rendelkezhet akár rendszergazdai jogosultságokkal is. Adathalászat (phishing) során hamis e-mailekkel vagy weboldalakkal csalhatják ki a bejelentkezési adatokat. Érzékeny információkat ki lehet csikarni pszichológiai manipulációval (social engineering) is egy meggyőző telefonhívás vagy üzenet hatására. Erre napjainkban rátesz egy lapáttal a mesterséges intelligencia rohamos fejlődése is, amit például hangutánzásra is alkalmazhatnak. Ha egy külső fél rá tud venni valakit, hogy letöltsön és telepítsen egy rosszindulatú számítógépes alkalmazást (pl. vírust, trójai programot, egyéb kártevő szoftvereket), azzal könnyen az eszközön tárolt fájlokhoz juthat. Ha ez egy adminisztrátori szerepkörben tevékenykedő gépen történik, annak katasztrofális következményei lehetnek.
Hálózati incidensek (Network-level attack)
A rosszakarók megpróbálhatják a hálózati átvitel közben is elfogni és manipulálni a bájtokat. Ha a kommunikáció nincs megfelelően titkosítva, a feltörő úgynevezett közbeékelődéses támadást (MitM – man-in-the-middle attack) hajthat végre, ami által lehallgathatja és módosíthatja a gépek között áramló információt. DNS-hamisítással (DNS spoofing) pedig azt érheti el egy rosszakaratú egyén, hogy az emberek egy hamis kormányzati oldalra lépjenek be, ezáltal ellopva az adataikat. Továbbá az ármányos informatikai kódfejtőknek lehetőségük van a már említett elosztott szolgáltatásmegtagadással járó támadást (DDoS) indítani úgy, hogy az állami szervereket eláraszthatják kérésekkel, megbénítva ezzel a szolgáltatásokat.
Szerver- és adatbázis-támadások (Backend-level attack)
Ha egy hacker el tudja érni, hogy az adatbázis vagy a szerver olyan funkciót hajtson végre, amire alapvetően az ügyfélnek nem lenne jogosultsága, abból súlyos adatvédelmi incidens lehet. Például lekérdezés vagy módosítás során SQL-injekció hajtható végre, ha a felhasználó által beírt érték nincs megfelelően átalakítva feldolgozás előtt, és a szerver a megadott szöveg egy részét parancsként értelmezi és végrehajtja azt. Hasonló parancsbetáplálást persze más komponensnél is eszközölhetnek, ha nincs megfelelően „megtisztítva” a bemenet. Zero-day sebezhetőségeknek nevezzük az olyan biztonsági réseket, amikről maguk a fejlesztők sem tudnak még – ha ilyet találnak az illetéktelenek, ki tudják azt használni, mielőtt a programozók javítani tudnák.
Természetesen ez a fenti tárgyalás nem fedi le az összes létező eshetőséget.
Honnan érkezhetnek a támadások?
Számíthatunk egyéni hackerek, etikus vagy bűnözői szándékú egyének beavatkozására, akik vagy tesztelni akarják a rendszert, vagy anyagi hasznot akarnak szerezni. Ezenkívül lehetnek szervezett bűnözői csoportok is (például dark weben működő csoportok), akiket pénz vagy politikai célok motiválnak. Viszont más országok szervei is kergethetik az adatokat, politikai vagy gazdasági előnyök szerzése érdekében. Végül, de nem utolsó sorban egy belső ember, alkalmazott vagy alvállalkozó is visszaélhet a jogosultságával, és kiadhat érzékeny információkat vagy segíthet egy akcióban.
Mennyi esély van egy támadásra?
Egy rajtaütés valószínűsége magas, mivel egy központi, érzékeny tartalmakat kezelő program mindig célpontja a behatolóknak. Az, hogy mennyire sikeres egy manipulációs kísérlet, attól függ, hogy a magyar kormány megbízásából mennyire ellenállóan alakították ki a rendszert, milyen titkosítást és védelmi mechanizmusokat használ, valamint hogy a felhasználók mennyire figyelnek az adatbiztonságra, de az esély mindig megvan rá.
Észtország, ami a világ egyik legfejlettebb digitális állampolgárságát építette fel, 2007-ben hatalmas kibertámadást szenvedett el, ami hónapokra megbénította az ország működését.
Ha egy ilyen fejlett ország is célponttá vált, a hazai védelem mennyire lesz elegendő?
(Kép: Remenyiczki Éva / Magyar Jelen, felhasznált képek forrása: Yu-Gi-Oh!, https://dap.gov.hu/, Szabad Európa)
Társadalmi kreditrendszer Magyarországon?
A kínai társadalmi kreditrendszer egy vezetői kezdeményezés, ahol az egyének és cégek különböző viselkedési mintái – például pénzügyi fegyelem, jogkövetés, közösségi magatartás – alapján pontokat kapnak vagy veszítenek. A magas pontszám előnyökkel járhat, például gyorsabb hivatali ügyintézéssel vagy kedvezőbb hitelfeltételekkel, míg az alacsony pontszám korlátozásokat vonhat maga után, például utazási tilalmakat vagy munkahelyi hátrányokat.
A kínai pontozási szisztéma és a magyar DÁP között több párhuzam is felfedezhető, különösen a virtuális nyomon követés és a polgári viselkedés ösztönzésének terén. A párhuzam elsősorban abban rejlik, hogy mindkét megvalósítás az egyének elektronikus lekövetésére épül, amit később a magyarországi megoldás is használhat viselkedés alapján történő kategorizálásra.
Ez felveti a kérdést, hogy a jövőben a regisztráció milyen mértékben válhat bizonyos jogok gyakorlásának előfeltételévé – például egyes szolgáltatásokhoz való hozzáférés vagy támogatások esetében. A DÁP hasonló mechanizmusokat vethet be, mert a kormány figyelemmel kísérheti, ki milyen szolgáltatásokat vesz igénybe, milyen politikai nézeteket képvisel, és milyen szokásai vannak.
Az állami digitalizáció bevezetésének egyik legnagyobb veszélye tehát, hogy a kezdetben ártatlannak tűnő online nyilvántartás később eszközzé válhat a lakosok viselkedésének irányítására és manipulálására.
A kényelem ára túl magas!
A Digitális Állampolgárság Programot modernizációként tálalják, de valójában egy kockázatos kísérlet, ami súlyosan érinti az adatvédelmet, az állampolgári jogokat és a hatalmi kontroll kérdését. Magyarországnak nincs szüksége egy olyan rendszerre, ami egyetlen helyre centralizál minden adatot, ezzel kiszolgáltatva a lakosságot a hackereknek, a döntéshozók túlkapásainak és a társadalmi egyenlőtlenségek elmélyülésének.
(Kiemelt kép: Remenyiczki Éva / Magyar Jelen, felhasznált képek forrása: Star Wars: A Jedi visszatér, https://dap.gov.hu/)
Az X- és Telegram-csatornáinkra feliratkozva egyetlen hírről sem maradsz le!Továbbra sem tudni, hány Ügyfélkapu-tulajdonos nem regisztrált a DÁP-ba vagy az Ügyfélkapu+-ba
