Tízből kilenc magyar politikus elbukott a vizsgán

Harminchét ország összesen 7500 politikusának weboldalát vizsgálták meg egy átfogó, nemzetközi kutatásban.

Kiderült, ötből három közszereplő nem tartja fontosnak a ma már alapvetőnek tekinthető titkosítást, azaz a honlapra látogatók védelmét. A hazai politikusok esetében sokkal rosszabb a helyzet, a biztonsági kutatók a legrosszabbak között emelték ki Magyarországot.

A vezető politikusok és kampánycsapataik zöme vagy nincs otthon az interneten, vagy egyszerűen csak nem érdekli őket az állampolgárok online biztonsága. Ezt a következtetést vonhatjuk le a Comparitech friss kutatásának eredményéből. A kiberbiztonsági vizsgálat során arra voltak kíváncsiak, hogy a politikusok honlapjain be van-e már kapcsolva az a HTTPS titkosítás, melynek fontosságát a szakértők már évek óta hangoztatják.

Mint a weboldalak többsége, a politikai honlapok is rendszerint kínálnak olyan lehetőségeket, funkciókat, melyeknél a felhasználónak be kell gépelnie valamilyen adatot. Például ha aktivistának jelentkezik, ki kell töltenie a vonatkozó kérdőívet; ha be szeretne lépni egy zárt felületre, meg kell adnia jelszavát; esetleg a regisztrációkor meg kell adnia lakcímét és más személyes adatait. A politikai oldalakon ráadásul több tekintetben is érzékeny adatok mozognak: a mindenhol fontos jelszavak mellett a felhasználó által beírt információkból például az illető politikai hovatartozását is el lehet lesni, melyet adott esetben csak a politikussal/párttal szeretne megosztani. Éppen ezért aggasztó, hogy a Comparitech szerint bár világszerte a politikusok weboldalainak fele kínál ilyen lehetőségeket,a honlapok 60,75 százaléka nem használ SSL-tanúsítványt, azaz ezekkel nem biztonságos a kapcsolat.

Az évek óta minden magára valamit is adó webes szolgáltatás esetében alapfelszereltségnek számító, SSL-tanúsítvány mögötti technológia biztonságossá teszi a kommunikációt a felhasználó számítógépe és a szolgáltatás webszervere között. Ha egy SSL-technológiával hitelesített webes szolgáltatással kommunikálunk, akkor onnantól kezdve, hogy leütünk egy billentyűt saját gépünk billentyűzetén, majd ezt az adatot az interneten továbbítjuk, azt már senki más nem láthatja, csak a hitelesített weboldal maga – és ugyanígy a válasz is csak a mi gépünkön lesz értelmezhető. A digitálisan aláírt tanúsítványok abban is segítenek, hogy eldönthessük, nem egy kamuoldalt látunk-e éppen, hanem valóban az adott politikus oldalát.

elbukott1
Fotó: AnimusRex
Hogy egy oldal biztonságos-e, azt bárki ellenőrizheti, amikor megnyitja a böngészőjében. Az SSL-tanúsítvánnyal rendelkező oldalak felismerésében segítenek a biztonságos böngészést mutató hivatalos jelzések, vagyis a böngésző címsorában megjelenő, SSL-kapcsolat felépülését jelző https:// tag, illetve a biztonságot jelképező (jellemzően zöld vagy szürke) lakatszimbólum. Az, hogy a harminchét vizsgált országban ötből három politikus weboldalán nem ilyet mutat a böngésző, már alapvetően nem egy jó hír. Nekünk, magyaroknak még rosszabb, hogy a hazai adatokért nem is kell sokat keresgélnünk a Comparitech jelentésében, hiszen a szerzők már az elején található összefoglalásban kiemelik Magyarországot. Ugyanis a magyar politikusok weboldalainak 90,91 százaléka nem biztonságos kapcsolaton át működik. 

elbukott2Fotó: Comparitech

Nálunk csak a 91,16 százalékos mutatóval rendelkező Lengyelország és a 92,31 százalékos Dél-Korea áll rosszabbul. Az első helyen az Egyesült Államok végzett, ahol a politikusok (stábjainak) csupán 26,22 százaléka nem gondol látogatói biztosítására. Közvetlenül utána, szintén előkelő pozícióban még az Egyesült Királyság (30,65%), Németország (31,92%), Ausztrália (37,44%) és Dánia (41,3%) szerepel

Ó, Magyarország, miért nem süt már rád a nap?

Az országos bontásból kiderül, az elemzők 99 hazai politikus (országgyűlési képviselő) weboldalát vették górcső alá. Megjegyzik, az aktív magyar politikusok mindössze felénél találtak így vagy úgy személyesnek tekinthető honlapot. Sok országnál még így is jobban teljesítünk: az elemzők eredetileg 72 országot vizsgáltak volna meg, közülük 35 azért maradt ki az összegzésből, mert ott egyszerűen alig találtak vizsgálható szájtot.

elbukott3
Fotó: Comparitech
A Comparitech megállapítása szerint a DK, a KDNP és az LMP saját weboldallal rendelkező politikusai közül senkinek nem biztonságos a honlapja. A Fidesz csak egy nagyon kicsit áll jobban, az ő politikusaik 97 százaléka szintén nem tartja fontosnak, hogy biztonságban tudja a látogatókat. Külön érdekesség, hogy még a miniszterelnok.hu-n sincs beállítva ilyesmi. A Párbeszéd politikusainak fele nem figyel erre, a függetlenek 40 százalékának, a jobbikosok harmadának nem biztonságos az oldala.

Az országosan aktív MSZP-s politikusok közül mindenkinél megtalálható az SSL-tanúsítvány. Ám a szocialisták példája jól illusztrálja, miért nem érdemes felületesen kezelni a statisztikákat. A szép eredményt ugyanis egyetlen ember, a szegedi (Csongrád megye 1. választókerületét vivő) Szabó Sándor hozta meg pártjának, a szakemberek ugyanis az MSZP-sek közül csak nála találtak saját weboldalt. A százszázalékos biztonsági mutató mögött tehát "egyből egy" arány áll.

Kollektív bölcsesség

A gyatra magyar eredmény annak fényében különösen érdekes, hogy Péterfalvi Attila adatvédelmi biztos vezetésével a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) éppen egy éve szólította fel a pártokat, hogy használják webes felületeiken a titkosítást. Ezt azzal indokolták, hogy a sima, HTTP-protokoll esetében "bárki képes megfigyelni az internetes forgalmat, és megismerni a felhasználók személyes adatait, ugyanis ezen protokoll esetében könnyen olvasható formában történik a kommunikáció (plain text), nem pedig titkosítva". A tavaly februári kép elég siralmasan mutatott: a Fidesz, az MSZP, a DK, az LMP nem alkalmazott SSL-titkosítást, csak a Jobbik, a KDNP és a Momentum.

A pártok az elmúlt hónapokban mindannyian komolyan vették a NAIH felszólítását, mindegyik említett szervezet weboldalán titkosított kapcsolaton zajlik az adatforgalom. A Jobbikból kivált képviselőket egybefogó Mi Hazánk Mozgalom weboldala pedig már eleve így indult el. Úgy tűnik azonban, hogy a pártok a felszólításnak csak a betűjét tartották be, nem a szellemét, legtöbben beérték a minimummal, és arra már nem figyeltek, hogy a szervezetet alkotó politikusok személyes oldalait is biztonságossá tegyék. Ami már csak azért is szomorú, mert SSL-tanúsítvány akár ingyen is igényelhető.

Ez nem orosz, vagyis nem csak orosz

A politikai véleménynyilvánítást övező kiberbiztonsági kérdés legutóbb akkor került reflektorfénybe, amikor 2017 tavaszán kiderült, hogy a kormányzati politikai marketingben fontos szerepet játszó Nemzeti Konzultáció weboldalán megtalálható a Yandex orosz webvállalat mérőkódja. Így a politikai véleményt – jellemzően némiképp irányított – kérdésekkel felmérő honlap oroszországi szerverekre is továbbított személyes adatokat, miközben az adatvédelmi tájékoztatóban az szerepelt, hogy harmadik fél birtokába semmilyen formában nem jut az információ. Nem a Yandex analitikai rendszerének használata elfogadhatatlan, hanem az az eljárás, hogy e-mail-címeket harmadik félhez továbbítunk nyilvános hálózaton. Mind saját vállalásainkat, mind pedig a Yandex szolgáltatási feltételeit megsértve.

Az akkori, mérőkódos eset és a mostani, titkosítatlan adatforgalomra rámutató jelentésben felfedezhető némi analógia. Fontos különbség, hogy az SSL-tanúsítványt nem használó politikusi honlapok alapvetően semmilyen problémás szerverre nem továbbítanak információt. De minden begépelt információt mégis meg tudnak szerezni mások. Nem csak az európai kiber- és információs biztonságot mostanság össze-összekuszáló oroszok, hanem lehetnek akár amerikaiak, németek vagy észak-koreaiak is: bárki, aki eléggé kíváncsi.

Forrás: HVG