Nem elég az omikron variáns terjedése, vagy éppen a tavaly különös körülmények között elhallgató kínai teniszező miatt kibontakozó nyugati diplomáciai bojkott, a február 4-én startoló 2022-es téli olimpia szervezőinek további gondokat okozhat egy frissen nyilvánosságra hozott biztonsági jelentés.
A problémát a MY2022 elnevezésű alkalmazás jelenti, amelynek használatát a helyi hatóságok elsősorban a koronavírus-járvány szükséges monitorozás miatt teszik kötelezővé a sporteseményen résztvevők (sportolók, edzők, újságírók stb.) számára. Az utazási információkat, egészségügyi dokumentációt és egyéb érzékeny személyes adatokat egyaránt kezelő app kódját még tavaly alaposan átvizsgálták a Torontói Egyetemhez tartozó kiberbiztonsági központ, a Citizen Lab szakértői.
Kiderült, a szoftver több szempontból sem felel meg sem a nagy alkalmazásáruházak szabályzatának, sem a Kínában érvényes jogszabályoknak. Az adattovábbítás ugyanis számos érzékeny adat esetben hiányos titkosítási protokollal, vagy éppen a titkosítás teljes mellőzésével történik, ami értelemszerűen nagyon megkönnyíti az ezekre az információkra esetlegesen pályázók dolgát. Az már szinte csak hab a tortán, hogy a program tartalmaz egy cenzúrázandó kifejezéseket tartalmazó állományt is (a Tienanmen tértől a dalai lámáig). Igaz, a jelek szerint ez a funkció nincs élesítve.
A feltárt problémákról a Citizen Lab még december elején értesítette a pekingi szervezőbizottságot, ám onnan azóta sem kaptak semmiféle visszajelzést. A MY2022 app közben januárban frissült, ugyanakkor a feltárt hiányosságok ebben az új verzióban továbbra is tetten érhetők.
Kérdés, mi következik most, hogy a problémákat nyilvánosságra hozta a kanadai szervezet. Azok ugyanis nem csupán az Apple App Store és a Google Play Áruház alkalmazásokra vonatkozó biztonsági előírásait sértik, de az érvényben lévő helyi rendelkezésekkel is szembe mennek.
A kutatók egyébként úgy tippelik, ezúttal inkább hanyagságról, mint tudatos akcióról van szó. A kínai államapparátust gyakran éri külföldről az a vád, hogy jogsértő módon igyekszik minden fellelhető adatmorzsára rátenni a kezét, keletkezzen az házon belül, vagy éppen kívül. Ebben az esetben viszont az érintett adatok alapból a hatóságoknál landolnak, tehát nincs sok értelme a titkosítási eljárások elhanyagolásának.
Volt már máshol is gond
A koronavírus miatt egy sor másik országban is sietve kezdtek bevezetni kontaktkövetést, a járvány megfékezését segítő mobil alkalmazásokat. A gyorsaságnak azonban több esetben oda vezetett, hogy a fejlesztés során háttérbe szorultak a biztonsági kritériumok, illetve a potenciálisan felmerülő jogi következményeket sem mérlegelték kellő alapossággal.
Norvégiában például már 2020 áprilisában elindították a Smittestopp (kb. fertőzésstop) nevű appot, amely a felhasználókat figyelmeztette, amennyiben fertőzött egyénnel találkoztak. Júniusban azonban az adatvédelmi hatóság már arra jutott, hogy az alkalmazás potenciális, nem bizonyított előnyeit messze meghaladják a szoftverhez kötődő, személyiségi jogokkal kapcsolatos aggályok. Mindez pedig egy hónappal később már az app felfüggesztését eredményezte.
Digitalizáció a mindennapokban: hogyan lesz a stratégiai célból napi működés?
A digitális transzformáció sok vállalatnál már nem cél, hanem elvárás – mégis gyakran megreked a tervezőasztalon. A vezetői szinten megfogalmazott ambiciózus tervek nehezen fordulnak át napi működéssé, ha hiányzik a technológiai rugalmasság vagy a belső kohézió.
a melléklet támogatója a One Solutions
CIO KUTATÁS
AZ IRÁNYÍTÁS VISSZASZERZÉSE
Valóban egyre nagyobb lehet az IT és az IT-vezető súlya a vállalatokon belül? A nemzetközi mérések szerint igen, de mi a helyzet Magyarországon?
Segítsen megtalálni a választ! Töltse ki a Budapesti Corvinus Egyetem és a Bitport anonim kutatását, és kérje meg erre üzleti oldalon dolgozó vezetőtársait is!
Az eredményeket május 8-9-én ismertetjük a 16. CIO Hungary konferencián.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak