Információbiztonsági hiányosságokat tárt fel az Állami Számvevőszék vizsgálata a Magyar Államkincstárnál

Államkincstár

Nehéz feladat egy 129 oldalas Állami Számvevőszéki (ÁSz) jelentés áttekintése és bemutatása, hiszen egy bejegyzés keretei között könnyedén ki lehet emelni problémákat, vagy épp a megfelelőnek nyilvánított területeket, miközben a jelentés másik oldala háttérbe szorul. Talán ezért a média is óvatosan közelített a dokumentumhoz, amely egyébként “a Magyar Államkincstár közigazgatási hatósági tevékenységének és a központosított illetmény-számfejtési rendszerének szabályszerűségi ellenőrzésének” eredményét tartalmazta.

A jelentés azért is tűnhet már első olvasatra is ambivalensnek, mert három főbb feladatcsoportot vizsgálva az ÁSz azt állapította meg, hogy két területen a szabályozás, egy területen a feladatellátás nem volt megfelelő. Viszont azt is megállapította, hogy egy területen a szabályozás, két területen a feladatellátás megfelelő volt. Vagyis a szervezet jól is és rosszul is működött, ha sommás ítéletet szeretnénk mondani.

A kritikus hangok azt emelték ki, hogy az ellenőrzés megállapította, hogy a közigazgatási hatósági feladatok végrehajtásához nem alakítottak ki megfelelő kontrollkörnyezetet a családtámogatás, a fogyatékossági ellátások, a törzskönyvi nyilvántartás, és a jogorvoslati eljárások területén. A feladatok ellátásához vagy nem adtak ki belső szabályzatot, vagy a kiadott belső szabályzatokat nem módosították a jogszabályváltozásokat követően.

A Magyar Államkincstár a sajtóközleményében viszont azt emelte ki, hogy számos területen, így például  a nagycsaládos kedvezmény, az önkormányzati alrendszer, a nem állami fenntartói körbe tartozó humánszolgáltatók, a lakáscélú támogatások, a kampányfinanszírozás, a jogalap nélkül felvett ellátások, a jogosulatlanul igénybe vett támogatások esetében a feladatokat a Magyar Államkincstár a jogszabályi előírásoknak megfelelően látta el.

Ami szerintem fontos és talán nem kapott elegendő figyelmet, az az ÁSz ellenőrzési metodikája, illetve módszertana. Az ellenőrzést végző intézmény ugyanis ,,Megfelelőnek”  értékelt  egy  ellenőrzött  területet,  amennyiben 95%-os bizonyossággal  a  teljes  sokaságban  a  hibaarány  legfeljebb  10%, nem megfelelőnek, amennyiben 10%-nál magasabb arányt képviselt. Ebben a jelentésben tehát, ha egy területet nem talált megfelelőnek, az nem pusztán annyit jelentett, hogy voltak problémák, vagy találtak egy-két nem megfelelő döntést, hanem, hogy 10-ből legalább egy eset problémás volt, vagy az adott szabályozás legalább ilyen arányban nem volt megfelelő.

Az ellenőrzést érdekes aspektusba helyezi az a tény is, hogy a Magyar Turizmus Zrt.-hez hasonlóan ez az ellenőrzés is szorosan illeszkedik a Kormány terveihez, miszerint a Magyar Államkincstár körül átalakításokat tervez. Pár nappal a jelentés nyilvánosságra hozatala előtt, 2016. március 10-én Lázár János úgy nyilatkozott, hogy a Magyar Államkincstárt úgy fejlesztik, hogy az lesz az állam kifizető ügynöksége. Hozzátette: a gyermektámogatás, a nyugdíj és a szociális támogatás kifizetése is az államkincstárhoz kerül.

Számomra éppen ezért a jövőre nézve aggályos, hogy a panaszok és közérdekű bejelentések kezelése sem volt megfelelő a Magyar Államkincstárnál, továbbá az integritási és korrupciós kockázatok csökkentése érdekében tett intézkedések nem feleltek meg a jogszabályi előírásoknak. Az integritás-irányítási rendszer belső szabályozását nem végezték el és csak 2014. év végén jelöltek ki az integritás tanácsadót. A jelentésben foglalt legnagyobb problémák mégsem ezek voltak az én olvasatomban.

Súlyos hiányosságok voltak ugyanis az informatikai rendszerek biztonsági besorolásában is. Egy 2015. május 6-án kiadott összesítés szerint 75 darab elektronikus információs rendszer osztályba sorolását végezték el, miközben a 2015. évi alkalmazás leltár 131 alkalmazást tartalmazott. Sőt, még az 1.500.000.000 forintnyi EKOP támogatásból megvalósított, 2014. novemberében átadott KIRA rendszer biztonsági besorolását sem végezték el.

Egyébként az egész szervezet informatikai biztonsági szintjének meghatározása is téves volt. A Magyar Államkincstár intézménye ugyanis nem felelt meg még a legalapvetőbb, azaz 1. biztonsági szintnek sem, mert nem rendelkezett informatikai biztonsági stratégiával, illetve kockázatelemzési eljárásrenddel sem.

A biztonsági osztályba sorolás alkalmával – az érintett elektronikus információs rendszer vagy az általa kezelt adat bizalmasságának, sértetlenségének vagy rendelkezésre állásának kockázata alapján – 1-től 5-ig számozott fokozatot kell alkalmazni, a számozás emelkedésével párhuzamosan szigorodó védelmi előírásokkal együtt. A hiányosságok kapcsán pedig a határidőt 51 nappal túllépve dolgoztak ki egy cselekvési tervet.

Talán még fontosabb, hogy a törzskönyvi nyilvántartással kapcsolatos hatósági feladatokat támogató informatikai rendszerre, a KTÖRZS-re vonatkozó szabályozott elektronikus ügyintézési szolgáltatás (a továbbiakban: SZEÜSZ) kapcsán nem voltak biztosítottak az informatikai rendszerében kezelt adatok esetében a törvényes adatkezelés, a bizalmasság, sértetlenség, rendelkezésre állás követelményei, az informatikai rendszer vonatkozásában pedig nem biztosította azt sem, hogy érvényesüljenek a zárt, teljes körű, folytonos és a kockázatokkal arányos védelem követelményei.

Ha a Kormány szándéka szerint a Magyar Államkincstárt valóban úgy fejlesztik, hogy a magyar állam kifizető ügynöksége legyen, úgy meglehetősen súlyos problémáknak tekinthetőek az információbiztonsággal és integritás-irányítással összefüggő hiányosságok, amik már a jelenlegi feladatellátás kapcsán is komoly kockázatokat jelentenek, különös tekintettel a napokban a kormányzati informatikai infrastruktúrát érintő IT szolgáltatás-folytonossági problémák fényében.

Ha tetszett az írás, akkor ne maradj le a következőről: