A Schadl-féle végrehajtói karnál hét éve tudják, hogy nemzetbiztonsági kockázatot rejthet az informatikai rendszerük

„Az informatikai rendszer jelen működésében rejlő kockázatok mértékét nem lehet pontosan behatárolni, mindenesetre figyelembe véve a végrehajtók által kezelt adatok mennyiségét, minőségét és jellegét, és azt a tényt, hogy a végrehajtóknál mindezen adatok összekapcsoltan, személyhez rendelten elérhetőek,

akár nemzetbiztonsági kockázat is felmerülhet.”

Egyebek mellett ez a megállapítás is szerepel abban a jelentésben, amit 2016 őszén készített a Magyar Közlöny Lap- és Könyvkiadó a Magyar Bírósági Végrehajtói Kar (MBVK) megbízására.

Schadl György, aki egy évvel korábban lett az MBVK elnöke, azzal bízta meg a Magyar Közlöny Lap- és Könyvkiadó informatikus szakértőit, hogy világítsák át az MBVK informatikai rendszereit, köztük a végrehajtók munkáját segíteni hivatott Egységes Végrehajtási Ügyviteli Rendszer (EVÜR) alkalmazást, az elektronikus árverési rendszert, valamint azt az alkalmazást, ami az egyes végrehajtási ügyeket osztja ki a végrehajtóknak.

A 247 oldalas jelentés megállapításai lesújtóak, a szakértők szerint szinte minden vizsgált rendszer katasztrofális állapotban van. Az MBVK nem rendelkezik megfelelő informatikai védelemmel a külső támadásokkal szemben, a végrehajtók hozzáférhetnek egymás anyagaihoz, illetéktelenek is hozzáférhetnek bizonyos állományokhoz, az ügykiosztás pedig belülről is manipulálható. A jelentés szerint mindez lehetőséget biztosít

„akár gazdasági bűncselekmények szándékos vagy gondatlan elkövetésére” is.

A Telexhez eljutott „szigorúan bizalmas” minősítésű jelentés kitért arra is, hogy az MBVK legtöbb rendszerében nincs meg annak lehetősége sem, hogy egyáltalán észlelni lehessen a külső manipulációt vagy annak kísérleteit, többször ugyanis egyáltalán nem naplóznak ezek az alkalmazások. Ezzel annyira nem foglalkozott akkoriban a végrehajtói kar hivatala, hogy még kulcskezelési szabályzatuk sem volt, nem vezették azt sem, ki viszi el a szerverterem kulcsait, vagy hogy egyáltalán ki lép be az épületbe.

Milliárdok sorsa múlik ezeken a rendszereken

Az, hogy az MBVK informatikai rendszerei a törvényeknek megfelelően és hatékonyan működjenek, nyilvánvalóan közérdek. Ennek legegyszerűbb példája az árverési rendszer, ahol alapvető fontosságú a licitálók közötti szabad verseny. A jelentés szerint azonban

az elektronikus árverési rendszer iszonyatosan sérülékeny, egyszerűbb terheléses támadásokkal is órákra, napokra meg lehet bénítani.

Ezzel pedig lehetővé válik, hogy egy licitáló a saját licitje után elérhetetlenné tegye az oldalt egészen az árverés végéig. Az RTL cikke szerint több ilyen ügyből rendőrségi eljárás kerekedett, 2015 óta négy alkalommal tettek feljelentést.

A törvény szerint azok az árverések érvényesek, amiknél a licitálási idő minimum 90 százalékában elérhető az árverési oldal. Mivel egy ilyen árverés sokszor 20–60 napig is nyitott, a 10 százalékos leállás is 2–6 napot jelent. 2021 januárja előtt ráadásul azt sem nézték, mikor volt pontosan elérhetetlen az oldal, a lényeg az volt, hogy a teljes időszak alatt meglegyen a 90 százalék. Így egy 20 napos árverés 18. napján megtett licit után akár elérhetetlenné is lehetett tenni az oldalt, hogy más ne tudjon ráígérni az utolsó beérkezett ajánlatra. 2021 januárjában ezt annyiban módosították, hogy ha az árverés utolsó egy órájában elérhetetlen az oldal, automatikusan meghosszabbítják egy órával a licitidőszakot.

Az RTL kérdéseire az MBVK azt válaszolta, ők nem vezetnek nyilvántartást arról, hogy hány terheléses támadás éri az árverési oldalt.

Az árverési rendszer mellett persze megfelelően kell működnie az ügykiosztó alkalmazásnak, hogy a végrehajtók ne válogathassanak kedvükre a legzsírosabb megbízások között, valamint a végrehajtói irodákban használt szoftvereknek is annak érdekében, hogy az ott tárolt adatok ne kerülhessenek illetéktelen kezekbe. A 2016-os informatikai audit szerint ezek sem adottak.

Hét éve nyilvánvaló

Annak ellenére, hogy az MBVK vezetésének legkésőbb a Magyar Közlöny Lap- és Könyvkiadó 2016-os jelentéséből tudomást kellett szereznie arról, hogy komoly problémák vannak az informatikai rendszereikkel, a problémák többségét a mai napig sem oldották meg. A jelentésben feltárt hibák között ráadásul nem egy olyan, amit viszonylag egyszerűen és gyorsan ki lehetne javítani, de ezek a lépések sem történtek meg. Megkérdeztük a késlekedés okáról az MBVK-t és a Schadl György bukása után a kar felügyeletét átvevő Szabályozott Tevékenységek Felügyeleti Hivatalát is, de cikkünk megjelenéséig nem érkezett válasz.

Arra sincs magyarázat, hogy az MBVK miért kötelezi a mai napig a végrehajtókat az Egységes Végrehajtási Ügyviteli Rendszer használatára, amikor 2019 óta jogszabály mondja ki, hogy az EVÜR helyett egy új rendszert, az Integrált Végrehajtási Rendszert kell használni. Ráadásul az elmúlt években a végrehajtók munkáját ugyanúgy az EVÜR szerint ellenőrizték, ahogyan korábban, sőt az RTL szerint többször fegyelmi eljárást is kezdeményezett a kar vezetése olyan végrehajtók ellen, akik szerintük nem megfelelően használták az EVÜR-t, amit eleve jogellenesen használ az egész MBVK.