A napokban ismét szárnyra kaptak azok a találgatások, hogy vajon a Digitális Állampolgárság Program (DÁP) mobilalkalmazással megfigyelik-e majd az alkalmazást telepítő állampolgárokat a nemzetbiztonsági szolgálatok és/vagy más állami-politikai szereplők?
Ez a felvetés, bár lehet, hogy egyeseknek logikusnak tűnhet, azonban a véleményem szerint szinte teljesen kizárt, és össze is szedtem néhány érvet, hogy miért gondolom így. Ezek közül persze néhány önmagában is kizárja ennek a lehetőségét.
- Tömeges megfigyelési program elindításához óriási informatikai kapacitásokra van szükség, amelyek a magyar költségvetés soraiból nem olvashatók ki. Az ilyen programokhoz olyan erőforrásokra lenne szükség, amit csak néhány állam engedhet meg magának az egész világon.
- Ha rendelkezésre állna tömeges megfigyelést támogató informatikai infrastruktúra akkor is óriási humán erőforrást igényelne az adatok feldolgozása, értékelése. Ennek költségei ugyancsak nem olvashatók ki a költségvetés soraiból. Ezt nyilvánvalóan csökkenthetné Mesterséges Intelligencia alkalmazása, ami viszont épp az előző pont költségét növelné még tovább.
- Számtalan jogi normát sértene egy ilyen, készletező jellegű, tömeges megfigyelés Magyarországon, miközben a NAIH irányadó állásfoglalása szerint még nemzetbiztonsági okból is visszás lehet ilyen jelleggel személyes adatokat gyűjteni, kezelni.
- A Digitális Állampolgárság Program (DÁP) mobilalkalmazás – feltételezem – egy nagyobb fejlesztési projekt eredményeként jött létre. A fejlesztője, az Idomsoft saját vagy épp külső erőforrások, vagyis piaci cégek segítségével fejlesztette ki az alkalmazást, akár minőségbiztosítók, tanúsító szervezetek bevonásával. Ilyen széles körben lehetetlen lenne eltitkolni tömeges megfigyelést célzó, vagy titkosszolgálati funkciókat.
- Az alkalmazás a Google Play-ből letölthető, a telepítőfájlok elérhetők és még obfuszkálva sincsenek, vagyis a kód könnyen elemezhető. Ilyen keretek között óriási lenne a valószínűsége, hogy az eltitkolni kívánt funkciókra fény derülne egy külső vizsgálat során.
- A rejtett működéshez és funkciókhoz olyan, még nem javított sérülékenységek kihasználására is szükség lehet, melyek önmagukban óriási értéket képviselnek. Az ilyen sérülékenységeket kihasználó kódokat jellemzően nem publikálják és teszik fel a Google Play áruházba az azokat kihasználni kívánó szereplők.
- Az eddig felsoroltak miatt egyénileg sem lehet alkalmas eszköz a megfigyelésre, mert az üzemeltetés vélhetően a nemzetbiztonsági szolgálatokon kívül történik, egy ilyen eljárást nem lehetne titokban tartani, az érintett, egyéni készülékek külső bevizsgálásának eredménye pedig ugyanolyan kockázatokat rejt a lelepleződésre.
- Egy ilyen eljárás lelepleződése pedig óriási belpolitikai botrányt okozna, ami alapjaiban rengetné meg a digitális államigazgatásba vetett bizalmat és lényegében évtizedekre visszavetné a digitális ügyintézés fejlődését, ami egyetlen kormánynak sem lenne érdeke.
- A nemzetbiztonsági szolgálatokkal egyébként is köteles együttműködni az összes infokommunikációs vállalkozás (ez teljesen transzparensen kiolvasható a jogi normákból is), ráadásul léteznek erre tökéletesen működő célszoftverek (mint amilyen például a Pegazus volt).
- De, ha mindezek miatt és mellett is ragaszkodunk ahhoz, hogy a DÁP titkosszolgáltati módon figyel minket és legalább azt feltételezzük, hogy nem tömeges, hanem egyedi (manuálisan, egyedileg aktivált, valamilyen speciális verzióval megvalósított), és nem jogellenes, hanem egyébként a megfelelő eljárásban engedélyezett megfigyelést könnyíti meg a DÁP, akkor annak igazából örülni kellene, mert egyfelől legalább nem kell drága licencdíjat fizetni a megfigyelésért, tehát kevesebb megy el erre a költségvetésből, másfelől meg nem lesz kiszolgáltatva a nemzetbiztonsági okból történő megfigyelés külföldi fejlesztőknek és egyéb „aktoroknak” (emlékezzünk csak a Hacking Team sztorira).
Magyar fejlesztésekről egyébként szinte semmilyen információ nem ismert ezen a területen. Az utolsó ilyen jellegű, magyar fejlesztés talán a BONGO volt még a kétezres évek elejéről, illetve akár ilyennek tekinthető az egyébként publikus elemekből összeálló Szitakötő-projekt.
A fenti gondolatmenet természetesen nem választható el teljesen attól a kérdéskörtől, hogy egyébként az adatok összekapcsolása, a fejlesztés során alkalmazott, harmadik féltől származó kódok vagy épp igénybe vett szolgáltatások milyen kockázatot jelentenek. De ez összességében már egy másik kérdés.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: