Ez itt az on the other hand, a portfolio vélemény rovata.
A vállalkozók digitális biztonsági paradoxona
Alapvetően mindenki biztonságra törekszik: nem akasztjuk a táskánkat egy étterem teraszán a szék háttámlájára, nem hagyjuk a laptopunkat a kocsiban a műszerfalon, buszon nem a farzsebünkből lógnak ki a bankók. Jellemzően nagyon vigyázunk az értékeinkre a való (értsd: offline) életünkben, miközben kevesebbszer törnek be autó szélvédőt, vagy találkozunk zsebtolvajjal, mint amennyi online támadási, csalási kísérletről hallunk. Ebből az látszik, hogy (tíz)évezredek alatt megtanultunk biztonságosan létezni a normál életben, az online világban ezzel ellentétben viszont az elmúlt 20-30 év kevés volt ahhoz, hogy össztársadalmi szinten kialakuljanak a hasonlóan körültekintő reflexek. Jó példa erre az a bevett gyakorlat, amikor kiadjuk a jelszavunkat, sőt még a kétfaktoros azonosítás második faktorát is harmadik félnek. Kevés szó esik erről, de az elmúlt időszak egyik nagy vihart kavaró digitális átállása, az Ügyfélkapu+ bevezetése igazából erről az ellentmondásról szól.
A digitalizáció és az offline gondolkodás ütközése
A digitális átállás közepén járunk: a régi világ találkozik az újjal, de még nem sikerült teljesen átemelnünk a korábban kialakult biztonsági elveket az online térbe. Egy vállalat vezetőjének ma már digitálisan kell teljesítenie bevallási és adatszolgáltatási kötelezettségeit, ugyanakkor sokan még mindig az offline világ logikájával gondolkodnak.
A fent említett bizotnsági paradoxon része az is, hogy a vállalkozók, vállalatvezetők ezrei adják át az összes ügyfélkapujukhoz tartozó belépési azonosítójukat számukra idegen személyeknek azért, hogy helyettük mások végezzék el az előírt feladatokat, ne nekik kelljen ezzel fáradozni. Ez a kényelem, a könyvelő kvázi „postásként” történő értelmezése valójában hátrányos minden félnek, de az egyszerűség gyakran csábítóbbnak tűnik, mint a biztonság érdekében vállalt plusz feladatok – például a meghatalmazás kezelése vagy az önállóan elkészített bevallások és adatszolgáltatások.
Miért veszélyes a belépési adatok megosztása?
Maradva a gyakori, való életből merített példánál, óriási kockázatot jelent, hogy semmi garancia nincsen arra, hogy az adott könyvelő cég, vagy azok az online alkalmazások, amelyek elkérik és eltárolják a belépési azonosítóinkat, olyan biztonsági protokollok szerint őrzik a vállalkozó legérzékenyebb adatait, mint amit egy ilyen fontosságú azonosító esetén elvárnánk. Természetesen tudjuk, hogy a könyvelő a vállalkozó legjobb barátja, és abszolút bizalmi pozícióról van szó, de ne felejtsük el, hogy ezzel az azonosítóval az, akinek ezt átadtuk, kiválthatja a receptjeinket a gyógyszertárban, megnézheti milyen betegségeink vannak, átírhatja a közüzemi számláinkat. Nem véletlen, hogy a korábban sokak által használt dokumentumok digitális aláírására használt „Azonosításra visszavezetett dokumentum hitelesítés- AVDH” megszüntetésre került, mert az átadott belépési adatokkal közhiteles dokumentumok elkészítésére, így jelentős visszaélésekre volt lehetőség. És ha a könyvelőnk esetleg nem helyezett óriási hangsúlyt az adatok biztonságos tárolására, könnyen csalás áldozataivá válhatunk.
Az, hogy ezzel mennyien éltek vissza, nem tudható, de saját fülemmel hallottam egy pizzériában, amikor egy „úriember” arról mesélt a társaságának, hogy havi X ezer forintért átadta a belépését valakinek, aki „valami céget visz, amiről ő nem túl sokat tud”. Ezt nevezem félelem nélküli száguldásnak.
Mi a megoldás?
A szabályozók is felismerték a problémát, ezért nem csupán az Ügyfélkapu belépési szabályait szigorították, bár sokan csak ezzel szembesültek eddig, és ez okoz turbulenciát a közvéleményben, különösen a könyvelők körében.
Az igazi megoldás, ami már nem csak terv, hanem konkrétan zajló folyamat, az az adózási és könyvelési folyamatok digitális átalakulása, amely egyre inkább arra törekszik, hogy a vállalkozások számára egyszerűbb, gyorsabb és biztonságosabb megoldásokat kínáljon. Az egyik fontos irány a manuális bevallások kiváltása automatizált adatszolgáltatásokkal.
Az eÁFA rendszer például már most lehetőséget ad arra, hogy az adóhatóság az elérhető számlaadatok alapján előzetesen elkészített ÁFA-bevallást biztosítson a vállalkozásoknak. Így a cégeknek nem kell mindent manuálisan rögzíteniük, hanem egy előkészített adatbázisból dolgozhatnak.
Egy másik fontos NAV fejlesztés az úgynevezett M2M (Machine-to-Machine) API, amely lehetővé teszi, hogy a vállalkozások ügyviteli, könyvelési rendszerei közvetlenül, emberi beavatkozás nélkül kommunikáljanak a NAV rendszereivel. Ez azt jelenti, hogy nem személyes ügyfélkapus belépésekkel és manuális feltöltésekkel kell bajlódni, hanem az információk közvetlenül a megfelelő NAV rendszerekbe kerülnek át. Friss, február elején megjelent újítás, hogy ehhez a felhatalmazást már cég nevében is lehet adni, nem csak a képviselő magánszemély nevében.
A jövő pedig még ennél is tovább megy: az EMAP (Eseményalapú Adatszolgáltatási Platform) célja, hogy bizonyos bevallásokat teljesen kiváltson, és az állami szervek az események bekövetkezésekor automatikusan rögzítsék a szükséges adatokat. Ez például a foglalkoztatással kapcsolatos adminisztrációs terheket is jelentősen csökkentheti, hiszen a megfelelő szervek azonnal hozzáférhetnek a releváns információkhoz, anélkül, hogy a cégeknek külön bevallásokat kellene készíteniük.
Az ilyen digitális fejlesztések teszik lehetővé, hogy a vállalkozásoknak ne az adminisztráció vigye el az energiájukat, hanem a tényleges üzleti tevékenységükre koncentrálhassanak. Az eÁFA, az M2M API és az EMAP mind olyan kezdeményezések, amelyek ezt a célt szolgálják, és egyre közelebb visznek ahhoz a jövőhöz, ahol az adózási folyamatok sokkal egyszerűbbé és automatizáltabbá válnak.
Mit tehet egy vállalkozó ma a saját digitális biztonsága érdekében?
Szabályozói, törvényhozói és hatósági oldalról van az elsődleges felelősség, hogy olyan szabályok, és ezeket kiszolgáló rendszerek álljanak rendelkezésre, ahol megfelelő jogosultság megadása után már nem szükséges a személyes azonosítók átadása. Szerencsére látható az ezirányú elmozdulás, közös érdekünk, hogy erre megfelelő erőforrás és szaktudás, fókusz kerüljön. Ennek lesz az az eredménye, hogy helyére kerül, a kétfaktoros autentikáció fontossága, amit már amúgy megszoktunk pl. a Gmailben, és a DÁP is egy biztonságot és digitális szolgáltatásokat támogató alkalmazásként lesz pozícionálva, nem pedig úgy, mint egy ránk kényszerített felesleges bonyolító tényező. Nemzetközi példákban is látszik, hogy ez a jó irány, az EU eIDAS rendelete is ezt kényszeríti ki. Pl. Ausztriában az „ID Austria” hasonló funkcionalitást ad, mint a DÁP-os azonosítás. Ellenpéldaként Nagy-Britannia hozható fel, ahol minden rendszerhez egyedileg kapott azonosító szükséges, amelyet postai levélben kapott aktiváló kóddal lehet létrehozni, amely folyamat jóval nehézkesebb.
Ezt követi a támogató IT-szereplők felelőssége, hogy ügyfeleiket ne a szürke zóna felé tereljék, ne abban segítsék őket, hogy a biztonság feladásával tudják egyszerűen megoldani a feladataikat, hanem abban, hogy mielőbb biztosítsák azokat a lehetőségeket, amelynek köszönhetően külön erőfeszítés nélkül rendelkezésre állnak a biztonságos, modern módszerek a megszokott munkafolyamatokban.
Legnehezebb a felhasználói oldalnál normává tenni a biztonságot. A folyamatos edukáció mellett ezt segítheti az, hogy a rendelkezésre álló rendszerek segítségével a végfelhasználóknak is könnyű legyen biztonságosan működni, és ne csak a szabályozói szigor kényszerítse ezt ki, amivel szemben sokszor inkább az ellenállás jelenik meg, mint az látható volt az Ügyfélkapu+ bevezetése során is.
A digitális átállás nem csupán új eszközökről, hanem a gondolkodásmód megváltoztatásáról is szól. Ezen változás megszokására nemhogy további évtizedeink, de még éveink sincsenek, emiatt itt az ideje, hogy a vállalkozók és könyvelők minél hamarabb felismerjék: az online biztonság nem kényelmetlenség, hanem alapvető szükséglet. A piac szereplőinek pedig nemcsak feladata, hanem felelőssége is, hogy ebben segítséget nyújtsanak.
Mi az MFA, mire jó a QR-kód, és mi az az Authenticator alkalmazás?
Sokan információhiány, kényelem vagy felelőtlenség miatt megosztották a QR-kódjukat másokkal a kétfaktoros hitelesítés során. Ezzel azonban nem növelték a rendszer biztonságát, hanem épp ellenkezőleg: kiszolgáltatták azt. Érdemes tisztázni, mit jelentenek ezek a fogalmak, és miért fontos, hogy helyesen használjuk őket.
Mi az MFA, és miért van rá szükség?
A többfaktoros hitelesítés (MFA, Multi-Factor Authentication) egy biztonsági megoldás, amely legalább két különböző tényező használatával azonosítja a felhasználót. Ez általában egy jelszóból és egy dinamikusan generált kódból áll, amelyet egy mobilalkalmazás hoz létre. Mivel egy támadónak nem elég csupán a jelszót megszereznie, az MFA jelentősen csökkenti az illetéktelen hozzáférések esélyét.
A legtöbb rendszerben az első tényező egy jelszó – például az Ügyfélkapus jelszavunk –, míg a második tényező egy SMS-ben, e-mailben vagy egy Authenticator alkalmazásban generált kód. Ez az egyszer használatos kód csak rövid ideig érvényes, így ha valaki meg is szerzi, később már nem tudja újra felhasználni.
Hogyan működik az Authenticator alkalmazás?
Az Authenticator alkalmazás (például Google Authenticator, Microsoft Authenticator) képes időalapú egyszerhasználatos jelszavakat (TOTP) generálni. De honnan tudja az alkalmazás, hogy az adott rendszer – például az Ügyfélkapu+ – milyen kódot vár?
A TOTP-módszer lényege, hogy egy titkos kulcs (secret) és az aktuális idő alapján állítja elő a kódokat. Az Ügyfélkapu+ ezt a TOTP-alapú rendszert használja: az alkalmazás az aktuális időt és a titkos kulcsot felhasználva állítja elő azt a kódot, amelyet a rendszer ellenőriz.
Mi van a regisztrációs QR-kódban?
A QR-kód egy egyszerű módja annak, hogy az Authenticator alkalmazás megkapja a szükséges beállításokat. Sokan tévesen azt gondolják, hogy ez egy dinamikusan változó kód, pedig valójában egy statikus szöveges adatot tartalmaz, amely a titkos kulcsot és a szolgáltatás nevét kódolja. Ha szövegként nézzük, például így nézhet ki:
otpauth://totp/minta.peter@ugyfelkapu.gov.hu?secret=UEYSIERUCI2BENB
Ebben az OTP nem a bankot jelenti, hanem a One-Time Password (egyszer használatos jelszó) rövidítése. A titkos kulcs (secret) az az adat, amely alapján az alkalmazás és a rendszer az időfüggő kódokat generálja.
Ha valaki megosztja ezt a QR-kódot, azzal lényegében kiadja a titkos kulcsot is. Ennek következménye, hogy bárki, aki ezt birtokolja, saját eszközén generálhat MFA-kódokat, így az MFA nem nyújt további védelmet. Ezért tilos megosztani vagy elmenteni a QR-kódot képernyőképként, és nem szabad beírni nem megbízható webes alkalmazásokba vagy böngészőbővítményekbe sem.
Biztonságos alternatíva lehet egy hiteles jelszókezelő alkalmazás (például 1Password), amely a titkos kulcsot biztonságosan tárolja és automatikusan generálja a második faktoros kódokat. Azonban a legbiztonságosabb megoldás továbbra is az, ha a jelszót és a második faktor titkos kulcsát fizikailag elkülönítve tároljuk.
Miben különbözik a DÁP-os belépés?
A Digitális Állampolgár (DÁP) mobilalkalmazás egy új, biztonságosabb azonosítási módszert kínál. Az MFA-val ellentétben itt minden belépéshez egyedi QR-kód generálódik, amely az adott belépési kérést azonosítja. A DÁP alkalmazás ezt a QR-kódot beolvassa, majd egy zárt csatornán keresztül küldi el a hitelesítési adatokat a telefonról.
Ez a módszer biztonságosabb, mert:
- minden egyes belépéshez új azonosító kódot használ,
- az érzékeny hitelesítési adatok rejtve maradnak,
- a kódokat titkosítva tárolja a telefon, így azokat nem lehet egyszerűen ellopni.
Míg az Authenticator alkalmazásoknál egy kompromittált titkos kulcs hosszú távon veszélyt jelenthet, addig a DÁP minden belépéskor új azonosítót generál.
Összegzés
A többfaktoros hitelesítés elengedhetetlen az online biztonság növelése érdekében, de csak akkor működik hatékonyan, ha megfelelően kezeljük. A QR-kód megosztása és tárolása veszélyes, mert lehetőséget ad illetékteleneknek a második faktoros kódok generálására. Az Authenticator alkalmazások megfelelő használata növeli a biztonságot, de a legmagasabb védelmet az olyan rendszerek nyújtják, mint a DÁP, ahol minden hitelesítési folyamat egyedi és titkosított csatornán keresztül zajlik.
A címlapkép illusztráció. Címlapkép forrása: Getty Images
