Az állami adattörlés, amit senki nem kért, értelme se sok van, de legalább ki lehetett rá fizetni 31 milliárd forintot

Az állami adattörlés, amit senki nem kért, értelme se sok van, de legalább ki lehetett rá fizetni 31 milliárd forintot
Illusztráció: Fillér Máté / Telex
Állítsd be a Telexet megbízható forrásnak!

„Én nagyon kíváncsi lennék – hogy egy kicsit interaktívvá tegyük ezt a beszámolót –, hogy a véglegestörlés.hu oldalt itt, a jelenlévők közül például hányan ismerik? Csak egy kézfeltartással jelzik-e a kedvemért? Véglegestörlés.hu. Egy kezet látok, nagyon óvatosan, ezt csak az itt nem jelenlévők kedvéért mondanánk, és meg is világítja a helyzetet, hogy miről van szó” – mondta Köböl Anita kormányszóvivő múlt csütörtökön, a kormányülést követő tájékoztatón. Köböl és szóvivőtársa, Magyar Éva ekkor éppen felváltva soroltak olyan, az előző kormány alatt történt, gyanús ügyeket, amik miatt a Miniszterelnökség vizsgálatot indított, majd később feljelentést is tett.

Ilyen volt az, hogy vizsgálatot rendeltek el túlárazás gyanúja miatt az Observer Médiafigyelővel kötött szerződésekkel kapcsolatban; hogy a kormány szerint a Fidesznek dolgozhatott az egyik férfi, akit a tiltakozókra állítottak rá Orbán Viktor országjárásán; és a véglegestörlés.hu ügye is, ahol annak gyanúja merült fel, hogy az ehhez köthető, adattörlésre használt, az évek alatt több tízmilliárd forint közpénzbe kerülő szolgáltatásnál olyan esetekért is fizettek, amikhez nem kapcsolódott valós törlési tevékenység. De mit jelent ez, és egyáltalán mi ez az amúgy Köböl szerint is rendkívül összetett ügy?

Adattörlés minek van?

Kezdjük az egészet egy gondolatkísérlettel. Képzelje el, hogy most vett egy új telefont, de nem azért, mert az előző már használhatatlanná vált, hanem mert éppen úgy érezte, hogy erre van szüksége. Az előző telefon is teljesen jó állapotban van, és ha már ez a helyzet, úgy dönt, hogy eladja, annyival is olcsóbb lesz az új. Nyilván senki nem szeretné, hogy az összes képe, személyes adata valaki másnál kössön ki, úgyhogy ezen a ponton elgondolkodik azon, hogy ezeket mind ki kellene törölni. Kézenfekvő megoldásnak tűnik, hogy szépen nekiáll, és kézzel elkezdi törölgetni a képeket, videókat, alkalmazásokat, ezzel azonban az adatok nem tűnnek el nyomtalanul, nagyon könnyen vissza lehet állítani őket.

A telefonoknál szerencsére elég könnyen elérhető egy ennél sokkal jobb alternatíva: az ember csak fogja magát, és visszaállítja a telefonját a gyári beállításokra. Ez az új telefonba költözés folyamatának is szerves része, sok gyártó külön fel is hívja rá a figyelmet. Egy fokkal kevésbé egyértelmű az egész, ha az ember egy laptoptól vagy asztali számítógéptől akar megszabadulni, és egy laikusnak ennél is nehezebb, ha önmagában egy adattárolót, mondjuk egy merevlemezt vagy egy SSD-t adna tovább vagy hajítana ki a kukába. Márpedig az ezeknél sem elég, ha simán csak rányomunk a törlés gombra, vagy a Lomtárba húzogatjuk a fájlokat. Ha valaki ezzel tisztában van, az már fél siker, ugyanis pár percnyi guglizással simán találhat olyan módszereket, amikkel a manuális törölgetésnél sokkal megbízhatóbban távolítják el az adatokat.

Androidon ilyen megoldás a gyári beállítások visszaállítása, iOS-en és MacOS-en az Összes tartalom, beállítás törlése, windowsos gépeken pedig egy átlagembernek a sima, beépített formázás is simán elég lehet. Persze ha tényleg biztosra akar menni valaki, akkor a telefonját ezután feltöltheti random adatokkal, aztán visszaállíthatja megint, az asztali gép vagy laptop SSD-jére vagy merevlemezére pedig ott van a formázásnál opcióként, hogy rögtön írja is felül a törölt adatokat rengeteg 0-val. Vagy használhatja az ember mondjuk a ShredOS-t vagy a DBAN-t, ami egy pendrive-ra kiírva még alaposabb törlésre képes, és akár többszörös, random adatos felülírást is tud – a felülírásról azért van ennyi szó, mert nagyon leegyszerűsítve a sima törléssel ellentétben ez tudja garantálni, hogy az adat nemcsak látszólag tűnt el, hanem a merevlemezünk bugyraiból sem lehet előbányászni.

Az igazán paranoiások – vagy azok, akiket az előírások erre köteleznek – pedig fúrhatnak lyukakat az eszközökbe, szétverhetik őket kalapáccsal, vagy hívhatnak egy megsemmisítésére szakosodott céget, ami egy speciális berendezéssel úgy elpusztítja az adathordozókat, hogy azokról semmilyen eszközzel nem lehet kinyerni többé semmit.

Persze attól még, hogy ezek a lehetőségek viszonylag könnyen elérhetőek, nem biztos, hogy fel is fog merülni valakiben, hogy talán nem kellene csak úgy kidobálni merevlemezeket vagy elajándékozni egy számítógépet. És hát őszintén, nehéz is ilyen szintű tudatosságot elvárni az egyszerű felhasználóktól, mikor Magyarországon pár éve egy kukából kihalászott számítógépről kerültek elő több ezer magyar páciens érzékeny egészségügyi adatai, a Morgan Stanley pedig 35 millió dolláros sérelemdíjat fizetett az Egyesült Államokban, miután teljesen szakszerűtlenül szabadult meg egy csomó adathordozótól, és ezzel milliók személyes adatait eresztette szélnek.

Honnan jött az állami adattörlés?

Mindezek alapján nem tűnik ördögtől való ötletnek, hogy az állam biztosítson az embereknek egy ingyenes adattörlő szolgáltatást, és erről tájékoztassa is őket, elvégre így talán több embernek jut eszébe, hogy ilyenkor is oda kell figyelnie a személyes adatai védelmére. Ezért amikor az előző kormány 2020. december 31-én kormányrendeletben határozta meg egy ilyen alkalmazás eljárási szabályait, legfeljebb amiatt lehetett szemöldököt vonogatni, hogy miért éppen szilveszterkor jelenik meg egy ilyen rendelet egy 122 oldalas Magyar Közlönyben elrejtve. De hát ez legyen a legkisebb probléma – gondolhatná az ember.

A rendeletben részletesen leírták, hogy ez az egész hogy fog kinézni: röviden úgy, hogy ha az ember vesz egy adathordozót, akkor ahhoz kap majd egy adattörlő kóddal ellátott matricát, amivel szükség esetén szakszerűen letörölhet mindent az eszközről. Az is kiderült, hogy alapvetően a Nemzeti Média- és Hírközlési Hatóság (NMHH) és a kormányhivatalok fognak felelni érte. A rendelet végül 2021. február 1-jén lépett hatályba, az NMHH akkor május 1-re ígérte, hogy a program rendelkezésre fog állni. Az akkor még állami tulajdonban lévő Antenna Hungária által üzemeltetett véglegestörlés.hu domént április 6-án be is jegyezték, magukat a matricákat pedig végül december 1-jével kezdték el kiosztani a vevőknek, akik adattárolókat vásároltak. Az, hogy ennyi idő telt el a kettő között, elő is irányozza, hogy mennyire volt átgondolt az egész, és

mennyire örülhettek a kormányhivatalok, az NMHH és a kereskedők az extra tehernek, ami a nyakukba szakadt – eleinte volt is némi fejetlenség, egy olvasónk még 2021-ben arról írt, hogy nem tudott kódot szerezni.

Azt, hogy a logisztikai rémálmot előidéző matricák nem éppen ideálisak, az NMHH is észrevette, ezért 2024. január 1-jével kivezették őket, a kereskedők azóta csak elektronikus adattörlő kódot adhatnak át a fogyasztóknak. De ennyire még ne szaladjunk előre, mert nem ez volt az egyetlen érdekesség.

2021 decemberében derült ki az is, hogy az állami adattörlő alkalmazást a Certus Software Zrt. nevű cég szállítja. A Certus egy nemzetközi cég, egy Ruud de Wildt nevű holland férfi alapította 2016-ban, a magyar leágazása 2019 óta létezik. A honlapja alapján a cég számos tanúsítvánnyal és engedéllyel rendelkezik, a világ több országában használják.

Ez alapján a Certus teljesen megbízhatónak tűnik, a törlésre használt megoldását, a véglegestörlés.hu oldalon elérhető adatkezelési tájékoztató alapján nálunk is alkalmazott Certus Erasure Software-t a NATO is akkreditálta. Emellett rendelkezik a nemzetközileg elismert Common Criteria EAL3+ tanúsítványával is, amit, ahogy arra 2021-ben a Jogalappal.hu felhívta a figyelmet, Spanyolországban kapott meg. Ez nem kirívó, az viszont mindenképpen érdekes, hogy a hitelesítésről szóló dokumentumból az is kiderül, hogy a tanúsítványt egy román cég, a Nera Computers kérte, és gyártóként is ők vannak feltüntetve.

Hol itt a probléma?

Eddig igazából sehol. Oké, az állami adattörlő alkalmazás indulása láthatóan nem volt zökkenőmentes, és abba is bele lehet kötni, hogy miért nem hazai fejlesztőcégtől rendeltek meg egy ilyen szolgáltatást. Már csak azért is, mert amúgy van releváns magyar cég ezen a területen: a 2011-ben alapított V-Detect Antivírus, ami az adattörlésben régóta élen járó Blancco magyar disztribútora, azaz gyakorlatilag ugyanazt kínálja, amit a Certus, de emellett adathordozók fizikai megsemmisítését is vállalja. Ettől még persze simán előfordulhat, hogy az állam a komoly tapasztalat és a bizonyítottan megbízható szoftver ellenére nem őket választja egy tenderen,

csakhogy itt nem írtak ki tendert, és azt sem lehet tudni, hogy valójában miért is került a Certushoz az állami adattörlés.

Ez úgy derült ki, hogy a V-Detect Antivírus ügyvezetője, Petrányi-Széll András 2024 őszén közérdekű adatigényléssel fordult az NMHH-hoz, amiben többek közt arra is rákérdezett, hogy milyen beszerzési eljáráson választották ki a Certus Software Zrt.-t. Az NMHH válasza szerint a közbeszerzésekről szóló törvényben foglalt kivétel alapján közbeszerzési eljáráson kívül, a feltételeket már eredeti formájában is részletesen taglaló kormányrendelet alapján adták a Certusnak a feladatot, de a kiválasztási eljárásról és a döntés-előkészítésről ennél többet nem árultak el. És ez még csak az egyik dolog a sok közül, amiről igazából semmit sem lehet tudni.

Ezek szétszálazásához érdemes visszatérni egy kicsit ahhoz, hogy valójában hány szereplő is van ebben az elsőre egyszerűnek tűnő sztoriban. A rendelet nevesítette

  • az NMHH-t, ami az adattörlő alkalmazás használatát biztosítja;
  • a kormányhivatalokat, amik lebonyolítják és koordinálják az adattörlő kódok szétosztását – később ezt a feladatot a Nemzeti Adó- és Vámhivatal (NAV) vette át;
  • a kereskedőket, amik a címkéket átadják a fogyasztóknak; és
  • a fogyasztóvédelmi hatóságot, ami ez utóbbit ellenőrzi;
  • ezekhez jött hozzá az adattörlő szolgáltatást biztosító Certus; és
  • az NMHH-val szerződő Antenna Hungária, ami a véglegestörlés.hu oldalt üzemelteti.

Ezek közül az Antenna Hungária tűnik a legérdekesebbnek, hiszen a kormányrendelet eredetileg úgy rendelkezett, hogy az NMHH-nak a hivatalos honlapján kell letöltéssel elérhetővé tennie az adattörlő alkalmazást. Az NMHH-val valamiért leszerződő Antenna Hungária szerepe minimum megkérdőjelezhető, a jelek szerint annyi a dolga, hogy üzemelteti a véglegestörlés.hu-t, és afféle közvetítőként van jelen az NMHH és a Certus között, rajta keresztül licencelik az adattörlő szolgáltatást. Mindezért kódonként 1990 forint licencdíjat kap az NMHH-tól, azaz gyakorlatilag az állami költségvetésből, ami 2021 óta több tízmilliárd forintos tételt jelent.

Az Antenna Hungária egyébként még a 4iG-s összeolvadás előtt jött be a képbe, a szerződést is úgy írták alá, hogy a cég még állami tulajdonban volt. Ez azért érdekes, mert így ez nem az Orbán-rendszer csúcsvállalatának biznisze, csak megörökölték, és az Antenna Hungária beolvadása után sem nyúltak hozzá. A háttérben inkább az informatikát a 2020-as évek elején Pintér Sándor elől végleg elhappoló Rogán Antal sejlik fel. A szerződés megkötésekor az Antenna Hungáriát a volt miniszter bizalmi embere, Sárecz Zsolt vezette, a Hvg.hu áprilisi cikke alapján pedig a Certus Software Zrt.-t birtokló Verzasca magántőkealap is egy olyan alapkezelő tulajdonában van, ami rendre Rogán érdekei mentén tűnt fel az elmúlt években.

Rosszul hangzik, van még valami?

Hát, igen. A magyar állam lassan öt éve biztosít egy adattörlő szolgáltatást, aminek a használata egy laikusnak tulajdonképpen értelmezhetetlen – itt van például a windowsos törlés folyamata, amitől egy átlagos felhasználó valószínűleg azonnal kiszalad a világból –, a működése indokolatlanul szövevényes, és az állam olyan konstrukcióban fizetett érte, aminek igazából semmi értelme, pláne nem úgy, hogy a kódok csak öt évig érvényesek.

Az NMHH ugyanis nem törlésenként fizetett 1990 forintot, hanem az eladott eszközök után, hiszen a licencdíj a jelek szerint nem a beváltott, hanem a kibocsátott kódok után jár.

Köböl Anita a múlt csütörtöki tájékoztatón azt mondta, hogy a 2021 decemberétől 2026 júniusáig terjedő időszakban megközelítőleg nettó 31,2 milliárd forintot fizetet ki az állam, összesen több mint 15 millió darab adattörlő kódért. Köböl azt is mondta, hogy a szerződéskötés során az NMHH költségvetésében évente külön megjelent további tételként 10 milliárd forint, amit adattörlésre szántak. Petrányi-Széll NMHH-hoz benyújtott adatigénylései is megerősítik, hogy nagyságrendileg erről lehet szó, ezek alapján a 2021-től 2026 első félévéig terjedő időszakban összesen 14 974 269 adattörlő kódot adtak ki, amiért összesen 29 798 795 310 forintot fizettek ki.

Azt, hogy ebből mennyi került az adattörlő szolgáltatást biztosító Certushoz, nem lehet tudni, de az az Optenben elérhető pénzügyi adatokból jól látszik, hogy a 2019-ben alapított, két évig nulla forint árbevétellel rendelkező cég 2021-ben, amikor megkapta ezt a bizniszt, rögtön közel 1,5 milliárd forint nettó árbevételt ért el, tavaly pedig 6 milliárdot, de 2024-ben volt 12 milliárd is. Ekkor az adózott eredménye is 1,5 milliárd forint fölött volt, de 2021 óta még a profit szempontjából legszerényebbnek mondható tavalyi évében is 89 millió forintot termelt a cég, ahol amúgy jelenleg 7 ember dolgozik.

Összehasonlításképp az említett, adattörléssel (is) foglalkozó, magyarországi állami és közigazgatási szervezeteknek is értékesítő V-Detect legmagasabb nettó árbevétele a nyilvánosan elérhető információk alapján 136 millió forint volt ebben az időszakban, a 2022-es pénzügyi beszámolója alapján pedig konkrétan a V-Detect által forgalmazott adattörlő megoldást gyártó nemzetközi cég, a számos országban jelenlévő Blancco Technology Group árbevétele is 16 milliárd forintnak felelt meg, azaz nagyságrendileg annyi volt, mint amit a magyar Certus Software Zrt. produkált 2024-ben.

Vagyis a pontos számok ismerete nélkül is valószínű, hogy a Certus óriásit kaszált az állami adattörlésen.

Ezt azért is fontos kiemelni, mert azt sem lehet tudni, hogy a gyakorlatban hány kódot váltanak be. Egy olvasónk korábban próbálkozott ennek kiderítésével, de a közérdekű adatigényléseiből annyi derült ki, hogy sem az NMHH, sem az Antenna Hungária, sem a Certus Software Zrt. nem tárol ilyen adatot. Az NMHH Petrányi-Széllnek is azt írta, a felhasználásra vonatkozó adatokkal nem rendelkeznek. Köböl arról beszélt, hogy fennáll a gyanú, hogy olyan esetekért is fizettek, amikhez nem kapcsolódott valós törlési tevékenység, ami amúgy teljesen logikus, hiszen minden egyes adathordozóért vagy azzal szerelt termékért fizetni kellett, és életszerűtlen, hogy azóta mindegyiken túl is adtak, és mindegyiknél használták is előtte az adattörlési szolgáltatást.

A Certus Software Zrt.-nek kérdéseket küldtünk, hogy hogyan választották ki őket az állami adattörlés szolgáltatójának, rendelkeznek-e adatokkal arról, hogy hány adattörlő kódot váltottak be a veglegestorles.hu oldalon, és az 1990 forintos licencdíjból mekkora összeget kaptak ők. Amennyiben válaszolnak, beszámolunk róla.

Mi értelme ennek az egésznek?

Ránézésre nem sok. Attól, hogy valaki vett egy telefont vagy egy pendrive-ot, nyilván nem biztos, hogy visszaállíthatatlanul törölni is akarja majd róla az adatokat, pláne nem öt éven belül. Aztán ott van a tény, hogy az állam azon túl, hogy különböző hivatalok, a kereskedők és a végén a felhasználók nyakába varrta a rendszer megteremtését, működtetését, ellenőrzését és használatát, szépen ki is vonta magát az egészből, és nem nagyon tett semmit, hogy az átlagember megértse, miért fontos, hogy ne hajigálja ki vagy ajándékozza el az adathordozóival együtt az adatait is.

Illetve de: ahogy azt Hadházy Ákos is kiposztolta tavaly, a JóKor nevű, közpénzből megrendelt, nyugdíjasoknak szánt propagandalapban egyszer külön oldalt szenteltek neki.

Emiatt van az is, hogy rengeteg ember amúgy valószínűleg nem is hallott az állami adattörlésről, nekem legalábbis biztosan újdonság volt, pedig három éve amúgy vettem is egy SSD-t, amihez valóban kaptam adattörlő kódot – az emailben küldött számlára biggyesztve, amit természetesen soha nem nyitottam meg. Azaz ott tartunk, hogy az állam kifizetett több tízmilliárd forintot, hogy biztosítson egy papíron jól hangzó, a gyakorlatban szinte teljesen értelmetlen megoldást, amit senki nem kért, amiről senki nem hallott, és ami magánembereknél egyébként ilyen állami rendszer nélkül is simán kivitelezhető lenne, ha értenék, hogy miért van rá szükség.

Petrányi-Széll egyébként a Telexnek azt mondta, szerinte az adattörlésnek nem az lenne a jogszabályi megoldása, hogy a magánszemélyekre terheljük ezt a feladatot, ezt a szolgáltatóknak, felvásárlással foglalkozó cégeknek kellene megoldaniuk, mert ők rendelkeznek a megfelelő kompetenciákkal ehhez. Magyarán ha beviszem valahova a telefonomat, hogy eladnám, akkor ne nekem kelljen a törléssel bajlódnom, hanem csinálja meg ezt az adott üzlet, és adjon róla ő egy jegyzőkönyvet, hogy megtörtént.

Azt olvasónknak és Petrányi-Széllnek is megírta a hatóság, hogy a jelenlegi szerződés 2026. november 30-ig hatályos. Azt, hogy ezután mi lesz, egyelőre nem lehet tudni. Ahogy azt sem, hogy milyen hatása lesz majd rá a jelenlegi kormány feljelentése nyomán esetleg elinduló hatósági eljárásnak.

Kedvenceink
Partnereinktől
Állítsd be a Telexet megbízható forrásnak!
Kövess minket Facebookon is!