2019. szeptember 19. csütörtökVilhelmina
Kolozsvár >> Más város
kolozsvári események >> Más város

Mindent túlél a CNP, és ez baj

Timár Norbert Timár Norbert 2019. május 02. 15:16, utolsó frissítés: 15:32

A digitalizálódással a megfigyelhetőségünk esélye is nagyobb. Hogyan jutunk el a személyi számtól a SRI titokzatos kémprogramján át a problémás térfigyelő kamerákig?


A technológia fejlődésével egyre több embert lehet majd nyomon követni, ami egy két élű fegyver: egyrészt növeli a közbiztonságot, másrészt viszont az emberekről szükségtelenül sok adatot meg lehet tudni.

Sokszor mi magunk járulunk hozzá ahhoz, hogy "megfigyeljenek" bennünket. Például azzal, hogy olyan cégeknek, mint a Facebook, hozzáférést biztosítunk egy sor érzékeny adathoz, hogy ingyen használhassuk a szolgáltatásaikat. Az ilyen cégeket elméletben akár könnyebben számon lehet kérni, mint az államot, de a legtöbb embert nem izgatja a kérdés, hiszen a megfigyelés lényegéhez tartozik, hogy ne legyen észrevehető.

Ennek ellenére lenne amin morfondírozni, hiszen úgy a cégek, mint az állam életünk egyre több szegmensére kíváncsi.

Az adataink már a rendszerváltást követően sem voltak biztonságban


Magyarországon a rendszerváltás egyik első eredménye volt, hogy betiltották az úgynevezett személyi számot, azt az egyedi azonosítót, amit mindenféle ügyintézéskor elkértek, még akkor is, ha nem is feltétlenül volt erre szükség. A betiltása elsődleges oka az volt, hogy ne legyen lehetőség arra, hogy minden egyes adatkezelésnél, minden adatbázisban ugyanazokkal az adatokkal lehessen valakit beazonosítani, mert ezeket nagyon könnyű lehet összekapcsolni, így pedig valakinek a családi és egészségi állapotától kezdve a vagyoni helyzetéig a hatóságok megdtudhattak mindent.

A HVG szerint az 1991-es magyar alkotmánybírósági határozat kimondta, hogy “tilos minden olyan közös azonosító kód általános használata (beleértve például a személyi igazolvány számát), amely alkalmas lehet arra, hogy szabad átjárást tegyen lehetővé a különböző hatóságok, állami szervek adatbázisai között”. Alkotmányellenesnek mondták ki továbbá, hogy bármilyen szolgáltatást a személyi szám megadásához kössenek.

Igazoltatás a Hősök terén 1982-ben. Forrás: FortepanIgazoltatás a Hősök terén 1982-ben. Forrás: Fortepan


Jelenleg Magyarországon külön azonosító szám szolgál az egészségbiztosítási ellátások igénybevételére, ez közismertebb nevén a TAJ-szám, és külön adószám is van, illetve a családi adatokat is külön kezelik, hogy ne lehessen egyetlen emberről se teljes profilt alkotni. Ezt a profilalkotást egyébként az egész EU-ra kiterjedő új GDPR (Általános Adatvédelmi Rendelet) is tiltja.

Nem így Romániában, ahol a 13 számjegyből álló CNP (cod numeric personal), vagyis személyi szám mindent túlélt. A CNP-t 1978-ban vezették be az 59-es számú államtanácsi határozattal, amelyet Nicolae Ceauşescu ellenjegyzett, mint államelnök, ám az országban a rendszerváltást követő években dacolva a fent említett biztonsági kockázatokkal, vagy éppenséggel figyelmen kívül hagyva őket, a személyi szám továbbra is használatban maradt, sőt további törvényi rendelkezésekkel erősítették meg a használatát. Így továbbra is fennmaradt a gyakorlat, hogy az élet minden területén a vásárlástól kezdve, a különböző pénzügyi tranzakciókon át egy utolsó kérés leadásáig kérik a CNP megadását.

Román személyi igazolványRomán személyi igazolvány


A helyzet azonban Magyarországon is változóban van. Az elektronikus ügyfélkapu bevezetésével, illetve az összes adatbázis elektronikussá tételével sokan úgy gondolják, hogy az adatok összekapcsolhatóvá válhatnak. További változás, hogy három évvel ezelőtt bevezették az e-személyiket, amivel a kormány egyszerűsítette az ügyintézést, de így az adatok könnyebb összekapcsolhatóságát is erősítette.

Magyar e-személyiMagyar e-személyi


Romániában még messze állunk az e-személyik bevezetésétől, habár idén a román EU-elnökségnek sikerült meggyőznie a tagállamokat, az Európai Parlamentet és az Európai Bizottságot, hogy egységes, több biztonsági elemet tartalmazó személyazonossági igazolványokra van szükség. Ennek ellenére az ország nem jár elől az e-személyik bevezetésével. Évek óta próbálkoznak a személyazonossági igazolványok megújításával, de a legutóbbi 2017-es kezdeményezést is elfektették a törvényhozásban. A fentiek fényében azonban lehet, hogy ez nem is akkora baj.

Egy román e-személyi tervezetEgy román e-személyi tervezet


Románia az e-kormányzat terén is lassú lépésekkel halad. Azon túl, hogy létezik már ennek elősegítését hivatott ügynökség és adót például lehet online befizetni, csak egy 2000-es évek elejének webdizájnját magán hordozó e-kormányzati felület létezik, amely inkább egy hasznos linkgyűjtemény, mint használható felület. Azonban itt is változások vannak, habár nem a legjobb irányba.

A SII Analytics

A Román Hírszerző Szolgálat (SRI) 2016 nyarán kapott megbízást a Távközlési és Informatikai Minisztériumtól, hogy 2018-ra hozzon létre egy informatikai rendszert “a nagy adatmennyiségek integrálására és operatív, illetve elemzési felhasználására”. A projekt hivatalosan az e-kormányzat és a csalás elleni küzdelem előmozdítására irányul, azonban súlyos aggályokat is felvet.

A SII Analytics névre keresztelt 142.071.000 lej (közel 30 millió euró) értékű informatikai rendszert az Európai Regionális Fejlesztési Alap (ERFA) társfinanszírozta közel 120 millió lejjel, a maradékot pedig az állami költségvetésből fizették ki.

A projekt pályázati kiírásában szerepel olyan hardver és szoftver megvásárlása, amellyel hozzá lehet férni az internetes adatforgalomhoz a kommunikáció megfigyelésének érdekében - hívja fel a figyelmet a Technológiáért és Internetért Egyesület (APTI) jelentése. Magyarul a kiírásban szereplő eszközök számát tekintetbe véve lehetőség van saccperkábé az egész romániai internetes adatforgalom elemzésére, így az e-mailek, a melléklettel küldött videók vagy akár a Facebook beszélgetések (legalábbis ami a kapcsolatfelvétel tényét illeti) elemzésére is. A gond az, hogy ennek semmi köze az e-kormányzat vagy a Big Data projektekhez.



Továbbá a kiírás szerint a rendszernek képes kell lennie nagy táblázatos adatbázisok kezelésére, amelyet az olyan “kedvezményezett intézmények” bocsátanak rendelkezésre, mint az adóhatóság (ANAF), a belügyminisztérium vagy az Országos Egészségbiztosítási Pénztár (CNAS). Mindezek a kapcsolt adatbázisok bármilyen módon kereshetők - az egyszerű keresésektől (szöveg, földrajzi hely) a bonyolultabb kérdéseken át (az emberek, tárgyak, autók, telefonok stb.), eseményekig vagy bármilyen más információig, illetve ezeknek a kapcsolatoknak az időben és térben való elhelyezéséig. Sőt még a célpontok viselkedését is meg lehet becsülni ezen információk és elemzések alapján.

Ezzel meg az a probléma, hogy így eljárni teljesen illegális, ugyanis az Európai Bíróság a Bara kontra CNAS és ANAF-ügyben kimondta, hogy a személyes adatok védelméről szóló 677/2001. sz. törvény értelmezése során a közintézmény nem adhatja át az összegyűjtött adatokat egy másik közintézménynek, csak azért, mert azok „hasznosak” lehetnek. Ellenkezőleg, ennek vagy az érintett beleegyezésére, vagy személyes tájékoztatására kell alapulnia, ha a törvény szerint fennmaradnak további korlátozások.

Szerverpark. A kép illusztrációSzerverpark. A kép illusztráció


A tenderfüzetben szerepel az a kitétel is, hogy a rendszernek rendelkeznie kell egy olyan arcfelismerő komponenssel, amely képes egy 3 millió képből álló adatbázist összevetni egy másik, kb. 50-60 millió képből álló adatbázissal. A megadott paraméterek alapján az APTI arra következtet, hogy a személyazonosító igazolványban és az útlevélben szereplő képek kezeléséről lehet szó. Ezzel viszont megint az a probléma, hogy az égvilágon semmi köze nincs a projekt deklarált céljához, vagyis a csalás elleni küzdelem előmozdításához. Az sem tiszta, hogy a SRI-nek milyen körülmények között van hozzáférése a folyamatosan növekvő számú személyazonosságiban és az útlevélben szereplő képekhez, és az sem világos, hogy mire használhatják őket.

Aggályos, hogy a hírszerző szolgálat az arcfelismeréssel például képes lehet arra, hogy egy szoftverrel automatikusan átnyálaztassa a Facebookot és a profilképeket valós, az adatbázisban szereplő személyekhez társítsa. Vagy mondjuk tüntetésekkor, ha a csendőrök vagy a SRI lefilmezik a tömeget, később képesek lesznek a szoftver segítségével felismerni a felvételen szereplő személyeket, és részletes adatokat megtudni róluk, illetve adott esetben büntetéseket is kiszabni.

Az SII Analytics körüli bonyodalmak

2017 márciusában a SRI tevékenységét ellenőrizni hivatott parlamenti bizottság arra kérte a szolgálatot és egyéb intézményeket, hogy szolgáltassanak adatok a SII Analyticsra vonatkozóan, miután öt civil szervezet az év januárjában az Európai Csalás Elleni Hivatalt (OLAF) kérte, hogy vizsgálja ki, miért a SRI-re bízták a projekt kivitelezését. Az OLAF-vizsgálatnak azóta sincs eredménye.

Az Akadémiai Társaság (Societatea Academică) megkereséséhez csatlakozó Egyesület az Emberi Jogokért Romániában - Helsinki Bizottság (APADOR CH), a már említett APTI, az Active Watch és a Jogi Erőforrás Központ (Centrul de Resurse Juridice), illetve a Lelki Milícia (Miliţia Spirituală) a tömeges megfigyelés kockázatán túl arra mutattak rá, hogy a SRI előnyben részesülhetett az ERFA által finanszírozott projekt pályázati eljárása előtt és alatt, amelyen valójában egyetlen ajánlattevőként indult. Szerintük azzal adódott gond, hogy a hírszerző szolgálat a projekt meghirdetése után egy nappal nyújtotta be a megvalósításhoz szükséges dokumentációt, amelyet csak úgy állíthatott össze ilyen rövid idő alatt, ha már előre tudomása volt az egészről.

A SRI országos terrorizmus megelőzésére és leküzdésére szolgáló rendszere (SNPCT). Fotó: SRI/FacebookA SRI országos terrorizmus megelőzésére és leküzdésére szolgáló rendszere (SNPCT). Fotó: SRI/Facebook


Az egyesületek képviselői arra is rámutattak, hogy a tenderfüzetben nem említik mit takar az a 36 életesemény, amelynek digitalizálását finanszíroznia kellett volna a projektnek. Szerintük pontosan ezért sorolták fel, hogy miről is lenne szó: anyakönyvi adatok (házasság, válás, elhalálozás); a gazdasági szereplők tevékenysége (egy vállalkozás létrehozása vagy bezárása); polgárok jogai és kötelezettségei; munka, család és szociális védelem; külügyek; oktatás (általános iskola, egyetem vagy akár egy könyvtári beiratkozás); orvosi szolgáltatások; utazási információk.

Az APADOR CH még 2016 nyarán bejelentette, hogy négy civil szervezet nyílt levelet küldött számos nemzeti és európai intézménynek, amelyben kérte a SRI által finanszírozott projekt leállítását, annak tömegmegfigyelési képességei miatt. Az Európai Bizottság a bukaresti képviseletén keresztül 2016 decemberi válaszában annyit közölt, hogy a kohéziós politikában alkalmazott megosztott irányítás elvével összhangban a tagállamok irányító hatóságai felelősek a társfinanszírozott projektek végrehajtásáért és ellenőrzéséért. Vagyis mosták kezeiket.

Adrian Țutuianu a SRI tevékenységét ellenőrző parlamenti bizottság volt elnöke még 2017 júniusában jelentette be, hogy a SII Analytics projekt megvalósítását a Siveco Románia - Nova Tech Integrated Solutions Kft. cégcsoportra bízták, mivel az Asseco SEE Kft. olcsóbb ajánlatát szabálytalannak ítélték.

Adrian Țutuianu, a SRI tevékenységét ellenőrző parlamenti bizottság volt elnökeAdrian Țutuianu, a SRI tevékenységét ellenőrző parlamenti bizottság volt elnöke


Az ellentmondásos projekt ára 94,7 millió lej volt, az akvizíciót pedig két részre osztották: az első etapban a Big Data platform létrehozása szerepelt, a másodikban pedig a helyi (LAN) és a tároló (SAN) hálózatok összekötése.

A Nova Tech Integrated Solutionst 2015-ben alapították, tulajdonosi köre pedig jelentősen kötődik az épp Szerbiában szökésben lévő Sebastian Ghiţă üzletemberhez, volt PSD-s képviselőhöz. A cég azonban tagadta, hogy köze lenne az üzletemberhez, vagy hogy Ghiţă kontrollálná őket.

Sebastian GhiţăSebastian Ghiţă


A nyerő páros másik tagjának, a Siveco Romániának többségi részvényese a Siveco Netherlands, 63,7%-kal. 2016-ig fontos részvényesnek bizonyult a vállalatban az az Irina Socol, akit 2014-ben informatikai programok értékesítése terén elkövetett adócsalásért tartóztatták le korábbi partnerével, Aurora Ecaterina Crustival együtt. 2016 májusában a Socolt két év és hat hónap börtönbüntetésre ítélték adócsalás miatt, azzal vádolva őt, hogy több mint 50 kereskedelmi vállalat felhasználva bűncselekményi kört hozott létre, amelyen keresztül 4 év alatt 10 millió euró értékben fiktív ügyleteket bonyolított le. 2016 júliusában a prahovai törvényszék bírái elrendelték Socol feltételes szabadon bocsátását.

A SRI a sajtóban megjelent találgatásokra reagálva kijelentette, hogy a közbeszerzési eljárás során minden törvényi előírást betartva jártak el, ezzel pedig az ügy azóta nyugvóponton van.

Ám nem csak e-kormányzati programoknak álcázott kémszoftverekkel lehet megfigyelni a lakosságot, hanem sokkal konkrétabban, térfigyelő kamerákkal segítségével is.

A térfigyelő kamerák

Egyes híresztelések szerint miután Budapesten a térfigyelő kamerák nem tudtak megfelelően lekövetni a Teréz körúti robbantás elkövetőjét, a kormányzat úgy döntött, hogy az ún. szitakötőprojekt keretén belül a Belügyminisztérium olyan hardvereket és szoftvereket fog beszerezni, amikkel a hatóságok másodpercek alatt képesek lesznek kideríteni egy keresett személyről vagy autóról, hogy pillanatnyilag benne van-e az országos rendszer valamelyik kamerájának látóterében, vagy hogy az illető korábban hol járt. Ez csak Budapesten 5 ezer, legalább 16 megapixeles kamera felszerelését feltételezi. Ehhez képest a nyilvánosan elérhető és az önkormányzatoktól kikért adatok szerint a rendőrség, a Fővárosi Közterület-felügyelet és az önkormányzatok közterület-felügyeletei által üzemeltetett kamerák száma jelenleg közel 2.500, azonban nem minden önkormányzat válaszolt a közérdekű adatigénylésre.

Térfigyelő kamerák a Kossuth térenTérfigyelő kamerák a Kossuth téren


A helyzet Bukarestben közel sem ilyen előrehaladott, habár sok mindent nem lehet tudni a romániai térfigyelő kamerák helyzetéről. A Libertatea tavalyi cikke szerint a fővárosban jelenleg 1.700 önkormányzatok által működtetett térfigyelő kamera üzemel. A cikk szerint a fővárosi polgármesteri hivatal 302 kamerát üzemeltet, de további 100, a forgalom megfigyelésére alkalmas kamerát terveztek 2018-ban felszerelni. Elmondásuk szerint akkor 220 útkereszteződés volt beépítve a központosított forgalomirányítási rendszerükbe, de további száz bekapcsolását tervezték.

Bukaresti forgalomirányító központBukaresti forgalomirányító központ


A Libertatea cikke alapján a bukaresti térfigyelő kamerák helyzetéről elmondható, hogy a kamerák számát ugyan szeretnék bővíteni, de nem törekednek arra, hogy egységes rendszerbe foglalják őket, sőt sokszor akár egy-egy kerületen belül is több különböző rendszer van működésben. Emögött egyrészt az állhat, hogy a különböző kerületek polgármesteri hivatalai véletlenszerűen jutnak hozzá a térfigyelő rendszerek kiépítését célzó hol EU-s, hol kormány támogatásokhoz, másrészt minél több rendszerre lehet közbeszerzést kiírni, annál több juthat a baráti cégeknek.

Ugyanakkor előfordul olyan, például a 3. kerületi önkormányzat esetében, hogy az általuk működtetett 69 kamerából rendszerhez hozzáférést biztosítanak a bukaresti közlekedésügyi dandárnak (Brigada Rutieră Bucureşti), a helyi rendőrség főigazgatóságának, sőt a honvédelmi minisztériumnak is a Román Katonai Hírszerzés Főigazgatóságán keresztül, ami kissé megmagyarázhatatlannak tűnik.

Nyitókép: A SRI országos terrorizmus megelőzésére és leküzdésére szolgáló rendszere (SNPCT). Fotó: SRI/Facebook

Ha tetszett a cikk, lájkold a Transindexet!

ItthonRSS