Két évvel ezelőtti CIO Hungary konferenciánk nyitó előadását Vitézy Dávid, a Budapesti Közlekedési Központ (BKK) korábbi vezetője tartotta, aki akkor még az NFM miniszteri biztosaként a közösségi közlekedés szolgáltatásfejlesztési koncepciójának kidolgozásáért felelt. A szakember arról a jövőbiztos szemléleteről beszélt, amelynek révén az informatikai struktúrák sikeresen hasznosíthatják az esetenként már régóta meglévő, de ki nem használt adatforrásokat, és feloldhatják a működésükre jellemző komoly ellentmondásokat, alkalmazkodva a felhasználók aktuális és jövőbeni elvárásaihoz.

A fővárosi közlekedésben az elmúlt években valóban tapasztalható volt a fejlődés, köszönhetően mondjuk a Vitézyhez köthető BKK Futár mobil alkalmazás és utastájékoztató rendszer vagy akár a Budapesti Kerékpáros Közösségi Közlekedési Rendszer elindításának. Mindezek mellett az elektronikus jegyrendszer bevezetése jelentene lényegi változást, amire a korábbi tervek szerint ugyancsak mostanában kellett volna sort keríteni, a gyakorlatban viszont még várnunk kell a napi rutint megkönnyítő plasztik kártyákra.

Mobilra költöztek a jegyek és bérletek

Ennek ellenére az elmúlt napokban ismét egy érdemi fejlesztést élesített a BKK, nevezetesen az online jegyértékesítő és a jegyek vagy bérletek bemutatását is lehetősvé tévő rendszerét. Ez gyakori félreértések ellenére nem azonos az elektronikus jegyrendszerrel, mégis minőségi ugrást jelent az eddigi gyakorlathoz képest, és ebben a tekintetben mindenképpen az innovatív nagyvárosok közé emeli a magyar főváros közösségi közlekedését.

A múlt csütörtök óta publikus rendszerbe egy személyazonosításra alkalmas okmánnyal lehet regisztrálni, ahol aztán az ügyfél kiválaszthatja a megfelelő terméket, beállíthatja az érvényesség kezdő dátumát, és a webes felületen bankkártyával fizethet. Első lépésben teljes árú és tanuló, félhavi és havi Budapest-bérletek, illetve a 24 órás, a 72 órás és a heti jegyek vásárlására van lehetőség, amit a BKK később más termékeire is kiterjeszt majd.

A dolog lényege, hogy aki a vásárlásnak ezt a formáját választja, annak nem kell papíralapú bérletet vennie, sőt kinyomtatnia sem kell semmit. Csupán internetkapcsolatra van szükség annyi ideig, hogy a webes felület frissítésével letöltődjön a mobil eszközre az adott napra szóló utazási jogosultság és "a csalások megelőzésére szolgáló biztonsági elemek". Az ellenőröknek a képernyőn megjelenített QR kódot kell ellenőrizniük az erre a célra szolgáló kézi leolvasóval.

Az online értékesítési rendszert a Futár és a BUBI komplett integrációját is végző Magyar Telekom, illetve a csoporton belül a T-Systems fejlesztette, amely egyébként a BKK automatahálózatát is üzemelteti. Maga a vásárlás az OTP felületén keresztül zajlik. A BKK múlt heti közleménye szerint szeptemberig egy bevezetési időszak zajlik, amelynek során elemzik a rendszer működését, hogy azt a tapasztalatok és a felhasználók véleménye alapján fejlesszék tovább.

A továbbfejlesztésre tényleg szükség lesz

A rendszer indulását követően nem sokkal megjelentek az első beszámolók, amelyek felhívták a figyelmet az online jegyértékesítő megoldás hiányosságaira. Ilyen volt például, hogy a regisztrációnál megadott email-címet nem kellett visszaigazolni, vagyis semmi sem biztosította, hogy a későbbi levelek valóban ugyanahhoz a felhasználóhoz érkeznek, aki a profilt létrehozta. Ilyen volt továbbá, hogy az applikáció ergonómiailag elég döcögős, vagyis ebből a szempontból sem tesztelték rendesen a felhasználói felületet. 

Éles üzemről lévén szó, a szolgáltatást tesztelők az ellenőrök felkészületlenségére is felhívták a figyelmet, ami arra utal, hogy a rendszer indítását nem előzte meg az ilyenkor elvárható gyakorlati oktatás – kezdve egészen azzal, hogy hogyan kell leolvasni egy QR kódot. A praktikus szempontok mellett aztán azonnal feltűnt egy valódi, stigmatikus hiba: a jelszóemlékeztető funkcióval levélben kiküldik a felhasználónevet és a jelszót, egyszerű szöveges formátumban, bármilyen titkosítás nélkül.

Ez utóbbi azért lényeges, mert így az adatcsomaghoz valamilyen módon hozzáférők a felhasználó személyes adataihoz is hozzáférhetnek a BKK online shopjában. Ugyancsak felmerült, hogy a termékek ára is manipulálható: ahogy a kísérletek leírásában olvasható volt, a jegyek vagy bérletek árát a böngésző küldte a szervernek, így szerverhez továbbított kérésben elég volt átírni egy számot, hogy a rosszhiszemű felhasználó határozza meg, mennyit szeretne fizetni. Ehhez képest csak érdekességként említjük, hogy közben a regisztrációkor használt Captcha rendszerről kiderült, mennyire egyszerű algoritmikusan kijátszani.

A hibákat a lapokban megjelent tudósítások mellett a felhasználók is jelezték a BKK-nak. A jegyek árának manipulálhatóságára például egy 18 éves diák hívta fel a figyelmet, aki próbaképpen megvásárolt egy 50 forintos havi bérletet, majd az egészet azonnal jelezte a BKK-nak – külön kiemelve, hogy a bérletet nem használta, a célja pedig az, hogy az információval segítse a hiba mielőbbi kiküszöbölését. És a történet innentől lesz igazán tanulságos, talán a Hungarikum Bizottság érdeklődését is felkelti majd: az illetékesek szerint nincs különösebb probléma a kapkodva élesített, félkész rendszerrel, sőt büntetőfeljelentéssel fenyegetik a hibákat feltáró felhasználókat.

Ők nem izgulnak, akkor mi sem izgulunk

Amikor a BKV vezérigazgatója június végén elnézést kért az aktuális metróleállás nyomán az "utaskellemetlenségekért", még ugyanabban a mondatban hozzá is tette, hogy mindössze negyedórás fennakadásról és pánikkeltésről volt szó. Az ilyen bocsánatkérés természetesen annyira hiteles, amennyire a Pizza Hut olasz, és sugárzik belőle az indolencia. Nagyjából ezt tapasztalhattuk most is, amikor a BKK és a T-Systems vezetői igyekeztek kapufára menteni a helyzetet.

Kiderült, hogy az értékesítési rendszerbe az első napokban 5 ezren regisztráltak, közülük 800 felhasználó vásárolt jegyet vagy bérletet 6 millió forint értékben. Keddi sajtótájékoztatóján Dabóczi Kálmán, a BKK vezérigazgatója beszámolt róla, hogy a T-Systems szervezett támadássorozatot, összesen 600 támadást regisztrált a rendszer ellen, de azt a különféle, esetenként csak a trollkodás szintjén lévő próbálkozások ellenére nem sikerült feltörni.

Bár mind a a BKK, mind a T-Systems elismerte a fent is említett amatőr hibákat, sikeres visszaélésre nem került sor, a mérsékelten felhasználóbarát rendszer állítólag jelezte és érvénytelenítette a töredék áron vásárolt bérletet is. Az üzemeltető ugyanakkor rosszindulatú támadásnak tartja az 50 forintos bérlet megvásárlását és a probléma azonnali jelzését a BKK felé, amiért büntetőfeljelentést tett. (Közben kiderült, hogy a rendőrök az éjjel már elő is állították az otthonából a fiatalembert, aki azóta szabadlábon védekezik.)

Ahogy azt az elmúlt évek informatikai trendje mutatja, ez a hozzáállás legjobb esetben is kontraproduktív. A hackereket a nagy (nem feltétlenül technológiai) cégek esetenként akár több tízezer dolláros nagyságrendben jutalmazzák, ha érdemleges sérülékenységet fedeznek fel rendszereikben, és erről őket tájékoztatják először. Bár a hackerkedés támogatásának nyilvánvalóan vannak bizonyos korlátai, ezek azért messze túlmutatnak a mostani eseten.

A rendszer éles indulását követően a BKK az Index egyik vonatkozó kérdésére is képes volt azt válaszolni, hogy sajnálattal tapasztalja az új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát befolyásolni próbáló informatikai támadásokat. Ezt egy vákuumkamrában naivitásnak, egy 2017-es informatikai projekt esetében viszont inkompetenciának nevezik.

Már Dabóczi Kálmán csütörtöki nyilatkozata is vicces, aki az MTI szerint éppen azon döbbent meg, hogy egyesek "blőd, erkölcstelen nevekkel regisztrálnak be a webshopba, hogy terheljék a rendszert", és a BKK algoritmusainak már 150 ilyen felhasználót kellett törölniük. A HWSW tökéletes megfogalmazása szerint viszont egészen szürreális belegondolni, hogy a legnagyobb hazai rendszerintegrátor az internetet nem kezeli potenciális támadási felületként, sőt váratlanul éri, hogy ott esetleg rosszindulatú szereplőkkel is érdemes számolnia.

Az sem teljesen érthető, hogy az e-jegyrendszer jövőre esedékes bevezetéséig miért volt szükség egy online jegyértékesítő rendszer látszólag kapkodó és elsietett beindítására, ami a BKK-nak egy apróbb PR-katasztrófa, de a fejlesztő T-Systems sem teheti ki az ablakba. Főként, hogy a regisztrációs és vásárlási rendszer érdekességei mellett az ellenőrzési rendszer sem mindenki szerint alkalmas rá, hogy kiszűrje a csalásokat.

A Közlekedő Tömeg blogja például arról számolt be, hogy a díjtermék minimális informatikai képességekkel is élethűen lemásolható és terjeszthető, miközben azt továbbra is mindenféle technológiai segítség nélkül, ránézésre ellenőrzik a buszvezetők vagy a metró biztonsági őrei. (Arról nem beszélve, hogy a QR-kódos azonosítást egyszerűen nem ilyen célokra találták ki, és önmagában, a személyazonosító okmányok felmutatása nélkül alkalmatlan a bliccelők kiszűrésére.)

Várunk az elektronikus jegyrendszerre

Az elektronikus jegyrendszer ötlete már több mint 10 éves, a legelső elképzelések szerint a szolgáltatást már 2006-ban bevezették volna.  A Fővárosi Közgyűlés végül 2011-ben bízta meg a BKK-t az elektronikus jegyrendszer kidolgozásával és megvalósításával. 2015 novemberében a Világgazdaság értesüléseire hivatkozva mi is beszámoltunk róla, hogy hamarosan megkezdődhet a RIGO névre keresztelt szolgáltatás tényleges bevezetése.

Az akkori hírek szerint 2016-ban a 65 éven felüliek, utána az éves és a havi Budapest-bérlettel utazók kaphatták volna kézhez a kártyát, végül 2017-ben a bérlettel és a jeggyel utazók számára is megnyílt volna a lehetőség az e-jegy használatára. A dolgok jelenlegi állása szerint idén nyáron kezdik telepíteni az e-jegyrendszerhez szükséges beléptető kapukat a megállókban, a rendszer pedig 2018 elejétől fokozatosan áll a közlekedők szolgálatába.

Ahogy korábban már leírtuk, a főváros körülbelül 1,5 millió névre szóló, és nagyjából 9 millió név nélküli, rövid lejáratú chipkártyát bocsátana ki, az első kártya pedig minden budapestinek ingyenes lenne. A rendszer használatához nagy csomó beléptetőkapura lesz szükség a metróállomásokon, máshol pedig falra, oszlopokra helyezhető érvényesítő berendezéseket terveznek, sőt a járműveken is tízezres nagyságrendben kell elhelyezni az eszközöket.

A RIGO oldalán egyébként részletes tájékoztatás olvasható az elektronikus jegyrendszerről, leszámítva, hogy konkrét határidőket még véletlenül sem jelölnek meg. A GYIK szekcióban például arra a saját maguk által feltett kérdésre, hogy "A teljes beruházás mikor fejeződik be?", a következőt válaszolják:

"A körülbelül 800 kapu telepítését követően az elektronikus jegyrendszer használói be tudnak lépni a metróállomások területére. Azonban nem lehetséges mindenhová kapukat felszerelni; a HÉV-eknél például zömében oszlopokra helyezett készülékek lesznek csakúgy, mint a járműveken. Csaknem 2500 járművet látnak el mintegy 10 ezer ilyen készülékkel."

Ebben annyi a megnyugtató, hogy a 2500 nem egy évszám, hanem a járművek darabszáma.  Okosabbak viszont akkor sem leszünk, ha kíváncsiak vagyunk rá, "Mikor kezdődik az elektronikus jegyrendszer tesztidőszaka?" A BKK erre is nyugodtan mondhatná, hogy legyen meglepetés, de helyette a következő választ adja:

"Elsőként a kártyakibocsátási rendszert alakítja ki a BKK, valamint a szakemberek az ahhoz szükséges szoftverelemeket tesztelik. Mivel a rendszer teljes bevezetésével több millió kártya lesz forgalomban, ezért ez a momentum a folyamatban kiemelt jelentőségű."

Frissítés: a cikk frissítgetésére ezúttal nem vállalkozunk, mert gyakorlatilag óránként bukkan fel valamilyen érdekes újdonság. Ezt itt mégis idetesszük, egyszerűen muszáj.