Mi kéne? Kréta!

Posztom címe egy képzeletbeli párbeszéd lehetne a "Görög nyelv kezdőknek" című könyvből. De itt most egészen másról van szó.

Pár hétre rabul ejtett minket egy koreai sorozat, a címe: Egy különleges ügyvéd, Woo. A sorozat címszereplője egy autizmussal küzdő fiatal ügyvédnő, aki a sok rigolyája és zavarba ejtő viselkedése ellenére fejből tud minden törvényt és jogszabályt, ráadásul kreatívan képes alkalmazni is azokat. Furcsa viselkedése ellenére kedves, megnyerő személyiség, úgyhogy a sorozatot nézve két dolgot értettem meg egyszerre:

• Miért vannak sokan úgy rákattanva a koreai sorozatokra.
• Miért vannak megvadulva az európai férfiak az ázsiai nőktől.

Most nem belemenve a sorozat részleteibe az utolsó epizód arról szólt, hogy egy internetes kereskedelemmel foglalkozó céget hekkertámadás ér, és kiszivárog 40 millió ügyfél (a koreaiak nem aprózzák el) személyes adata. A céget egyrészt megbírságolja az adatvédelmi hatóság, másrészt az ügyfelek is kártérítési pert indítanak a cég ellen. Aztán kiderül, hogy hekkertámadást a cég egyik ügyvezetője rendelte meg, hogy ráébressze ügyvezetőtársát, hogy többet költsenek a kiberbiztonságra.

Pont ezzel egy időben szivárgott ki Magyarország eddigi legsúlyosabb adatvédelmi incidense: hekkertámadás érte a közoktatási intézmények által kötelezően használt KRÉTA rendszert. A hekkerek már szeptemberben bejutottak a rendszerbe az egyik projektvezető fiókján keresztül, mégpedig ugyanazzal a módszerrel, ahogyan a filmben is: a célszemélynek egy ismerősnek álcázott levelet küldtek, melynek csatolmánya egy egyedi fejlesztésű, ezért a vírusirtók által fel nem ismert RAT (remote access trojan) volt, mely a megnyitásától kezdve hozzáfért:

• a cég belső levelezéséhez;
• az ügyfelek (diákok) minden adatához;
• a rendszer teljes forráskódjához;

Bár a rendszerüzemeltetők észlelték a támadást, azt hitték, hogy egy jelszómódosítással elintézhetik a dolgot, és eszük ágában sem volt jelenteni az incidenst a felügyeleti szerveknek, így aztán a hekkerek jópár hét elteltével maguk jelentkeztek egy hírportálnál, akiknek még a cég elmúlt hetek teszetoszáskodásáról tanúskodó belső levelezését is megmutatták. Ráadásul a teljes programkód fennvan a Github-on, az ország informatikusai most ezen csemegéznek. Ez szerintem egy őrült nagy blamázs, viszont nagyon sok szinte szürreális dolgot tudtam meg a KRÉTA fejlesztéséről és üzemeltetéséről.

A KRÉTA és a felsőoktatási intézmények által használt NEPTUN ugyanannak a cégcsoportnak a termékei (a jóval korábban kifejlesztett NEPTUN egyes moduljai jól látható módon még eredeti nevükön vannak benne a KRÉTA forráskódjában). A rendszerek üzemeltetése, karbantartása és továbbfejlesztése egy olyan cégcsoporthoz tartozik, melynek ügyvezetője és többségi tulajdonosa 14 éven keresztül Palkovics László cégtársa volt. Bár Palkovics '14-ben, felsőoktatási államtitkárrá való kinevezése idején kiszállt a közös cégből, de '16-ban, amikor a közoktatás felügyelete is hozzá került, lett kötelező az addigra már államosított közoktatás minden intézményében a KRÉTA használata.

A NEPTUN-t fejlesztő cégben többségi tulajdont szerzett az RC Invest Vagyonkezelői Zrt., melynek rejtélyes módon egy szerény körülmények között élő és anyagi gondokkal küszködő dzsesszzongorista volt a többségi tulajdonosa, Farkas Mihály. Ő azonban 2015 őszén váratlanul eltűnt, majd holtteste fél év után került elő a Dunából, de ekkor már a mostani tulajdonos, Palkovics volt üzlettársa, Fauszt Zoltán volt a többségi tulajdonos. Nagyjából akkor, amikor már minden iskola a KRÉTA-t használta és dübörgött az üzlet.

Elképesztően bizarr az ügy minden eleme, és lehet, hogy ennek is köze van Palkovics miniszter lemondásához, amit a mai napig még mindig nem erősítettek meg, így az okait sem lehet pontosan tudni.