AZ ELEKTRONIKUS KÖZIGAZGATÁS ALAPJAI, SZABÁLYOZOTT ELEKTRONIKUS ÜGYINTÉZÉSI SZOLGÁLTATÁSOK, IT BIZTONSÁG

AZ ELEKTRONIKUS KÖZIGAZGATÁS ALAPJAI, SZABÁLYOZOTT ELEKTRONIKUS ÜGYINTÉZÉSI SZOLGÁLTATÁSOK, IT BIZTONSÁG

A KORMÁNYABLAK ÜGYINTÉZŐ SZAKIRÁNYÚ TOVÁBBKÉPZÉSI SZAK 5. (E-KÖZIGAZGATÁS ÉS ÜGYINTÉZÉSI GYAKORLAT) MODUL

Budapest, 2014

Szerzők Péterfalvi Norbert dr. Budai Balázs Benjámin PhD. dr. Rátai Balázs dr. Ligeti Ágota Erdei Csaba Lektor dr. Rupp Zoltán

Tartalomjegyzék 1. Az e-közigazgatás, e-ügyintézés elméleti alapjai, története, jelenlegi helyzete és fejlesztési irányai................................................................................................... 9 1.1 Bevezetés ..................................................................................................... 9 1.1.1 Az e-közigazgatás fogalma, az e-közigazgatás és környezete ....................... 10 1.1.2 A hatékony e-közigazgatás által elérhető eredmények ................................. 14 1.2 Alapvető elektronikus közszolgáltatások, az elektronikus ügyintézés szintjei ......... 16 1.3 Az e-közigazgatás fejlesztések átfogó célterületei: back-office, front-office .......... 20 1.3.1 A back-office jelentése az e-közigazgatásban ............................................. 21 1.3.2 A front-office jelentése az e-közigazgatásban ............................................. 26 1.4 Az e-közigazgatás alakulásának történeti bemutatása ........................................ 29 1.4.1 Az Európai Unió stratégiáinak rövid bemutatása ......................................... 29 1.4.2 A magyar valóság… ................................................................................. 32 1.4.3 … és a magyar nemzeti stratégiák alakulásának bemutatása ........................ 36 1.5 Az e-közigazgatás aktuális rövid- és középtávú fejlesztési irányai ....................... 40 1.5.1 E-közigazgatási szolgáltatások fejlesztése .................................................. 40 1.5.2 Elektronikus közigazgatás háttér infrastruktúra fejlesztései .......................... 41 1.5.3 Szabályozott elektronikus ügyintézési szolgáltatások (SZEÜSZ) megvalósítása, alkalmazásuk elterjedése ................................................................................ 41 1.5.4 Interoperabilitás (IOP)............................................................................. 42 1.5.5 Nyílt forráskódú szoftverek alkalmazása a közigazgatásban ......................... 44 1.5.6 Az elektronikus aláírás közigazgatási használatának elterjedéséről ................ 45 1.5.7 Az e-közigazgatási irányítása, a fejlesztések két nagy szereplője .................. 46 2. Szabályozott elektronikus ügyintézési szolgáltatások elmélete és gyakorlata ............ 49 2.1 A magyar elektronikus ügyintézés átalakításának főbb lépései ............................ 49 2.1.1 Történeti áttekintés ................................................................................. 49 2.2 A hatályos jogi szabályozás ............................................................................ 52 2.2.1 Az e-közigazgatásra vonatkozó törvényi és rendeleti szabályozás ................. 52 2.2.2 Kitekintés: az e-közigazgatáson kívül eső, elektronikus kapcsolattartást vagy szeüsz alkalmazását/nyújtását előíró ágazati szabályozás ................................... 59 2.3 Elektronikus ügyintézés ................................................................................. 63 2.3.1 Az elektronikus ügyintézés fogalma ........................................................... 63 2.3.2 Az elektronikus ügyintézéssel kapcsolatos szolgáltatások (eüsz) fogalma ....... 63 2.3.3 A szabályozott elektronikus ügyintézési szolgáltatás (SZEÜSZ) rövid áttekintése .................................................................................................... 63 2.4 Az elektronikus ügyintézés új modellje ............................................................ 66 2.4.1 A hatóság és az ügyfél ............................................................................ 66 2.4.2 A papír alapú és az elektronikus ügyintézés kapcsolata ................................ 67 2.4.3 Automatizálás, egyszerűsítés ................................................................... 69 2.4.4 Hatósági szolgáltatás .............................................................................. 70 2.4.5 Kormányablak ........................................................................................ 70 2.4.6 Telefonos ügyfélszolgálat ......................................................................... 72 2.5 Szabályozott elektronikus ügyintézési szolgáltatások ......................................... 73 2.5.1 Az ügyfél ügyintézési rendelkezésének nyilvántartása (ÜR) .......................... 76 2.5.2 Az iratérvényességi nyilvántartás (INY) ..................................................... 76 2.5.3 Az összerendelési nyilvántartás (ÖNY) ....................................................... 77 2.5.4 Azonosítási szolgáltatás ........................................................................... 80

2.5.5 Központi azonosítási ügynök szolgáltatás (KAÜ) ......................................... 82 2.5.6 Az ügyfél időszaki értesítése az elektronikus ügyintézési cselekményekről: .... 82 2.5.7 Elektronikus dokumentumtárolási szolgáltatás (EDT): ................................. 83 2.5.8 Kézbesítési szolgáltatás ........................................................................... 83 2.5.9 Biztonságos kézbesítési szolgáltatás .......................................................... 83 2.5.10 Elektronikus tájékoztatási szolgáltatás....................................................... 84 2.5.11 Interaktív virtuális ügyfélszolgálat............................................................. 84 2.5.12 Személyre szabott ügyintézési felület ........................................................ 84 2.5.13 Központi kézbesítési ügynök (KKÜ) ........................................................... 85 2.5.14 Központi érkeztetési ügynök (KÉÜ) ........................................................... 85 2.5.15 Elektronikus űrlapok kezelése/ ÁNYK űrlap benyújtás támogatási szolgáltatás 86 2.5.16 Konverziós SZEÜSZ-ök: ........................................................................... 88 2.5.17 Azonosításra visszavezetett dokumentumhitelesítés (AVDH): ....................... 88 2.5.18 Elektronikus fizetési és elszámolási rendszer (EFER) ................................... 89 2.5.19 Iratkezelő rendszerek közötti iratáthelyezés szolgáltatás ............................. 89 2.5.20 Kormányzati hitelesítés-szolgáltatás (GOV CA) ........................................... 89 2.5.21 Kormányzati elektronikus aláírás ellenőrzési szolgáltatás ............................. 89 3. IT biztonság, adatvédelem alapok és gyakorlati példák .......................................... 92 3.1 Bevezetés .................................................................................................... 92 3.2 Alapfogalmak ............................................................................................... 93 3.3 Jogszabályi háttér ......................................................................................... 94 3.3.1 Törvényi szabályozás ................................................................................ 94 3.3.2 Rendeleti, határozati szabályozás ............................................................. 96 3.3.3 További kapcsolódó szabályozás ............................................................. 100 3.4 A kibervédelem szervezeti felépítése hazánkban ............................................. 101 3.4.1 Kibervédelmi Koordinációs Tanács .......................................................... 102 3.4.2 Nemzeti Kiberbiztonsági Fórum .............................................................. 102 3.4.3 Munkacsoportok ................................................................................... 102 3.4.4 Hatóságok ........................................................................................... 103 3.4.5 Cert szervezetek ................................................................................... 105 3.4.6 Kibervédelmi oktatás ............................................................................. 105 3.5 Kibervédelmi fenyegetettségek ..................................................................... 106 3.5.1 Tendenciák a világban és hazánkban – incidensek az elmúlt évekből ........... 106 3.5.2 Jogosulatlan adathozzáférést elérő illetve adat módosítást elérő támadások . 111 3.5.3 Botnet (robot network) .......................................................................... 113 3.5.4 Célzott támadások (APT - Advanced Persistent Threat): ............................ 115 3.5.5 Kéretlen levelek (spam), adathalászat (phishing) és kapcs. fenyegetések .... 116 3.5.6 Social engineering ................................................................................ 118 3.5.7 Rossz jelszó használati szokások ............................................................ 120 3.5.8 Hordozható eszközök és adathordozók ellopása, elvesztése ....................... 121 3.5.9 Okos eszközök biztonsági kockázatai ....................................................... 123 3.6 Megelőzési lehetőségek a felhasználók számára .............................................. 124 3.6.1 Tudatosítás, oktatás .............................................................................. 124 3.6.2 Tudatos számítógép használat ................................................................ 124 3.6.3 Adatok rendszeres mentése ................................................................... 125 3.6.4 A felhasználói munkaállomások védelme.................................................. 126 3.6.5 Személyes és hivatali adatok megosztása közösségi portálokon .................. 126 3.6.6 Vezeték nélküli internet (WiFi) használat kockázatai .................................. 127

1

Az e-közigazgatás, e-ügyintézés elméleti története, jelenlegi helyzete és fejlesztési irányai

alapjai,

1.1 Bevezetés Rendkívül leegyszerűsítve az e-közigazgatás azt jelenti, hogy különböző közigazgatási ügyeink elintézéséhez nem kell személyesen felkeresni az adott hivatalt: az ügyintézés az interneten, otthonról vagy akár külföldi tartózkodásunk során is történhet. Az e-közigazgatás és az e-ügyintézés két egymással szoros összefüggésben álló, de nem feltétlenül egymást fedő fogalom. Az e-közigazgatást szűken értelmezve beszélhetünk e-ügyintézésről. Ez klasszikusan a közigazgatás és az ügyfél kapcsolattartásának elektronikus módjára utal, beleértve a közigazgatási szervezetek ennek megvalósítása érdekében történő esetleges egymás közötti folyamatait is. Az e-ügyintézés a tágabb e-közigazgatás fogalomrendszer része. E-közigazgatás alatt minden olyan tevékenységet, tárgyi és jogi feltételrendszert értünk, amely a közigazgatás belső működésének, illetve a közigazgatás és az ügyfél kapcsolatának elektronizálására, az elektronizálás adta lehetőségek kihasználására irányul. A közigazgatás célja általában az állami/önkormányzati feladatellátás támogatása, az ebben résztvevő szervezetek belső működésének biztosítása, ide értve a külső kapcsolatok kezelését is. A modern világban a közigazgatás akkor tölti be megfelelően feladatát, ha jól, gyorsan, egyszerűen, hatékonyan és az ügyfelek által könnyen elérhetően működik. jól

= problémamentesen, „észrevehetetlenül”

gyorsan

= csak a legszükségesebb időráfordítással

egyszerűen = minden ügyfél által közérthetően (hangsúlyos elvárás az uniós belső határok kinyitását követően) hatékonyan

= felesleges folyamatok nélkül

elérhetően = mobilan, az ügyintézés módjától (platformjától) függetlenül, illetve a lehető legkevesebb függéssel. A közigazgatás belső és ügyfélkapcsolati (ügyintézési) folyamatainak elektronizálása a fenti „általános” célok irányába hatnak, de közben természetesen számos jogi problémát át kell hidalni, adatvédelmi garanciákat kell teremteni, valamint fel kell lazítani idejétmúlt hagyományok kizárólagosságát és a széttartó technológiai megoldásokat közös irányába kell terelni. A közigazgatás elektronizálásának elmaradása az élet egyéb területeinek, különösen és kumuláltan a gazdaság működésére képes negatív hatást gyakorolni. Ezt úgy is lefordíthatjuk, hogy a korszerű e-közigazgatás a gazdasági élet egyik nélkülözhetetlen stabil építőeleme tud lenni, ezért nem önmagában, önmagáért létező, vagy az általánosan vett ügyfelek érdekeit szolgálja, hanem mindannyiunkét. A hatékonyabb és

9

egyszerűbb állam megteremtéséhez nélkülözhetetlenek az e-közigazgatási szolgáltatások: segítségükkel enyhülhetnek a vállalkozások adminisztratív terhei, csökkenthető a bürokrácia, és javítható a közszolgáltatások minősége. Az e-közigazgatás sikertényezői:  felhasználóbarát, jól működő szolgáltatások, 

stabil, megbízhatóan működő informatikai infrastrukturális háttér,



felkészült közszolgálati tisztviselők,



nyitott és motivált állampolgárok és vállalkozások.

A tananyag bemutatja az e-közigazgatás, e-ügyintézés elméleti alapjait, történetét, az e-közigazgatás jelenlegi helyzetét, fejlesztési irányait. Megismerteti a tanulót az eközigazgatás jogszabályi környezetét, kiemelten a szabályozott elektronikus ügyintézési szolgáltatásokra (SZEÜSZ-ök) tekintettel. Végezetül bevezeti a munkavégzéshez szükséges IT biztonsági, adatvédelmi alapok témakörébe.

1.1.1

Az e-közigazgatás fogalma, az e-közigazgatás és környezete

Az e-közigazgatás fogalom definiálására több példát is találunk. A bevezetésben meghatároztuk az e-közigazgatás fogalmának végletekig leegyszerűsített magyarázatát: távoli, személyes jelenlétet nem igénylő ügyintézés. Egy tankönyv célja azonban a közérthetőség mellett a részletes tudásátadás, ezért a továbbiakban ennél tudományosabb megközelítésből is meghatározzuk az e-közigazgatást. A Magyary Zoltán Közigazgatás-fejlesztési Program szerint az e-közigazgatás nem önálló fejlesztési terület, vagy önálló közigazgatási ágazat, hanem a közigazgatás működésének fejlesztésére vonatkozó törekvések eszköze.

10

Elméleti, tudományos meghatározás alapján „Az e-közigazgatás a közszféra kapcsolatrendszerének tudás alapú átalakítása és racionalizált, szolgáltató jellegű újraszervezése jelenti, az infokommunikációs technológiai alkalmazások közműszerű használata révén”1. A következőkben a könnyebb megértés érdekében röviden bemutatjuk ennek a meghatározásnak a három pillérjét. A kapcsolatrendszer tudás alapú átalakítása Az e-közigazgatás olyan infrastrukturális átalakulást eredményez, mely hatással van a szervezet működésére, az alkalmazott technológiákra, az ügymenetekre. Az új szolgáltatások tartalmi menedzselése, az egyablakos szolgáltatások kialakítása hatékony együttműködés (adat-, információ- és tudásmegosztás) nélkül nem működhet megfelelően. Márpedig a közigazgatás jellegéből és funkcióiból fakadóan főként adat-, információs és tudástárakkal foglalkozik. Racionalizált, szolgáltató jellegű újraszervezés A közigazgatási folyamatok és működés újjászervezése és módosítása a felmerülő igényekhez történő adaptálása folyamatos feladatot jelent. A racionalitás alatt hatékonyságot, és szolgáltató jelleget értünk. Todd Ramsey ide vonatkozó műve négy állomást különböztet meg a szolgáltató állam kialakításának folyamatában. /1. Online közigazgatás2 – „a megjelenés” Az online közigazgatás célja, hogy az ügyfelek minél több információt és szolgáltatást érhessenek el valós időben. Például hivatali tartalmak weben történő elhelyezése. Eredményét tekintve hasznos, hiszen az állampolgárok túlnyomórészt információért fordulnak a közigazgatáshoz. /2. Interaktív közigazgatás – „a kibontakozás” A második mérföldkőnél az interakciók virtuális térbe helyezése és mennyiségi növelése a cél, aminek érdekében az intelligens infrastruktúra és az online ügyintézés kialakítása kap jelentőséget. Ehhez a háttéralkalmazások fejlesztése és a front office elemek kialakítása is szükséges. /3. Integrált közigazgatás – „az összekapcsolódás” A harmadik szakaszban megtörténik a hivatalok és háttéralkalmazásaik összekapcsolása, adatbázisaik összefésülése, tisztítása (ellentmondások megszüntetése, hiányos adatok feltöltése, redundáns– többszörös – adatkezelések rendezése stb.). Ezt követően valósulhat meg a folyamatok hatékony integrációja, az ügyfél nézőpontjából az egyablakos ügyintézés létrejötte. Gazdaságosabb, hatékonyabb, egységesebb arculatú,

1

Budai B., Az e-közigazgatás elmélete, Akadémiai Kiadó, Budapest, 2009. p. 43. Todd Ramsey a kormányzás szót használja, azonban hazai kontextusban közigazgatást kell értenünk alatta, így inkább ezt a kifejezést használom a továbbiakban. 2

11

egyszerűbb struktúrájú közigazgatást eredményez. szolgáltatásokat több csatornán is elérhetővé tesz.

Ügyfélorientált

és

értéknövelt

/4. Szolgáltató állam – „a bővülés” A szolgáltató állam proaktív. Az igények és elvárások figyelmen kívül hagyása nem megengedhető, ezért az ügyfél elvárásainak felismerésére törekszik, és igény szerinti szolgáltatást nyújt Az információs társadalom Az információs társadalom fejlődése párhuzamban áll a technológia fejlődésével. Egyre több, egyre sokfélébb, egyre komplexebb eszköz egyre gyorsabb fejlődése generálja. A technológiai fejlődés gyökeres társadalmi átrendeződéssel jár. A technológiai fejlődés csak a lehetőséget szabja meg, a felhasználókon múlik, hogy élnek-e ezzel a lehetőséggel, és ha igen, mikor és milyen módon. A különböző tudományági megközelítések szintéziseként az információs társadalom következő összetett definícióját fogalmazta meg egy tananyag: „olyan társadalmi együttélési forma, melynek során az infokommunikációs eszközök, az eszközökhöz rendelt tartalom, az ezeket működtetni képes ismeret olyan tudást, majd innovációt generál, mely katalizálja, és újraszervezi a gazdasági-társadalmi és kulturális folyamatokat (a társadalmi egyenlőtlenségek sajnálatos újratermelése mellett), s ezekhez új tartalmi és formai szabályozást és igazgatást (gyakori, dinamikus korrekcióval) követel. A valamennyi szférát érintő átalakulásban a közigazgatás elé támasztott kihívásokat az e-közigazgatás tágan értelmezett eszközrendszere (szervezési-vezetési módszerei, technológiai megoldásai, jogi szabályozása) oldja meg, új alapokra helyezve a közigazgatást.”3 A diffúziós elméletet kidolgozó Everett Rogers szerint az innovációs diffúzió olyan folyamat, amely során a társadalom egy bizonyos csoportjában egy innováció ismertté válik, majd fokozatosan elterjed a többi szegmensében is. Elterjedése, adaptálása függ az adott innováció jellegzetességeitől (relatív előny, kompatibilitás, komplexitás, kipróbálhatóság, megfigyelhetőség), továbbá a társadalom összetettségétől, szerkezetétől. Az információs társadalom nyertesei azok, akik az infokommunikációs technikákat napi rutinnal használják és hasznosítják, képesek olyan új készségeket elsajátítani, mint az új információs és kommunikációs készség, vagy akár a tanulás elsajátításának készsége. A vesztesei pedig azok lesznek, akik ezeket a technológiákat nem érik el, a készségeket nem alakítják ki. A digitális szakadék számos dimenzió mentén kialakulhat: fiatal és idősebb korosztályok, fejlett vagy központi települések és kisebb települések illetve szórványok, eltérő anyagi helyzetű csoportok, magasabb és alacsonyabb végzettségűek, írástudó és az írástudás valamely formájának hiányával küzdők, eltérő nyelvismereti szintek, igény vagy igényhiány, etnikai helyzet. A diffúziós görbe az alábbi „megtérülését” szemlélteti.

3

ábrán

az

innováció

elterjedésének

sebességét

és

Budai B., Az e-közigazgatás elmélete, Akadémiai, Budapest, 2009. p. 85.

12

forrás: http://hu.wikipedia.org/wiki/Everett_Rogers A szolgáltató állam által irányított e-közigazgatási megoldásoknak az említett digitális egyenlőtlenségek csökkentését kell eredményeznie, újrateremtődésének gátját kell jelentenie. Egyéb befolyásoló tényezők A közigazgatás átalakításának és ezen belül az igényeket kielégítő e-közigazgatás megteremtésének (a szolgáltató állam kialakításának) további markáns befolyásoló körülményei címszavakban az alábbi egyértelmű fogalmak köré csoportosíthatók: 

finanszírozás (juttatások céltévesztése, a korrupciós ügyek, hatékonyságvesztés, költségvetési nyomás, a kiépített rendszer hosszú távú üzemeltetésének kérdései);



ügyféloldali várakozások (a kereskedelmi és civil szolgáltatáshoz hasonló, folyamatosan növekvő mértékű elvárások, a személyiségi jogok kérdése, biztonsági kockázatok);



Európai Uniós tagsági státusz (közigazgatási, szervezési és informatikai követelmények, a rendszerek összekapcsolása és együttműködése);



öndefiníciós probléma (az állam túlburjánzása, hivatalorientáció ügyfélorientáció helyett, az intézmények gyakran nem összehangolt működése).

A szolgáltató állam –az állam által kötelezően nyújtandó e-közigazgatási szolgáltatások A szolgáltató állam felfogásban úgy zsugorodik az állam szerepvállalása, hogy eközben a hatékonysága és eredményessége növekszik.

13

A szolgáltatások az ügyfelekről szólnak, azaz számukra kell biztosítani a lehető legkönnyebb, legegyszerűbb, legkevesebb problémával járó ügyintézést. Ennek érdekében a szolgáltató állam megpróbálja redukálni: 

távolsági akadályokat (kormányhivatalok, járási hivatalok, kormányablakok, telefonos ügyfélszolgálat - contact center);



kommunikációs akadályokat (a szolgáltató közigazgatás ügyintézői felkészültek az ügyfelek kommunikációs problémáira);



elektronikus hozzáférési akadályokat (a hozzáférés egyéni támogatása, a felhasználói gyakorlat kialakulásának segítése);



digitális és fizikai akadályok (a vakok és gyengénlátók számára biztosított akadálymentesítés, illetve a megközelítés fizikai akadálymentesítése személyes ügyintézés választása esetén).

és

közösségi

Az akadályok elbontásának egyik eszköze az elektronikus, automatizált szolgáltatások kialakítása.

1.1.2

A hatékony e-közigazgatás által elérhető eredmények

Az eddigiek alapján egyértelműen látszik, hogy szükségessé vált egy egészen új alapokon álló közigazgatás kialakítása. Új szabályok, új törvényszerűségek, új tudású (korszerű kompetenciákkal bíró) személyi állomány, új célrendszerben működő szervezetekkel. A jól működő e-közigazgatás a következő pozitív hatásokat generálhatja. 1. A kormányzás (közigazgatás) hatékonyságának javulása hosszú távon Az infokommunikációs technológia (IKT) alkalmazása a nagy mennyiségű ügyintézést, az ipari méreteket teszi hatékonnyá: 

az adatátvitel olcsóbb és gyorsabb;



adatbázisok megosztása az intézmények között költségcsökkentéshez, a komplexitás és bonyolultság csökkenéséhez és a feleslegesen redundáns megoldások kikerüléséhez vezet;



archiválás és visszakereshetőség egyszerűbbé és olcsóbbá válik.

A hatékonyságról azonban csak hosszú távon beszélhetünk, hiszen a nem elektronikus (azaz offline) szolgáltatásokat mint a személyes ügyintézés és a papír alapú ügyvitel addig kell egymás mellett párhuzamosan biztosítani, amíg azt az ügyfelek igénylik. Az arány az évek során várhatóan fokozatosan billen majd át az e-közigazgatás javára. Az állam kiadásainak csökkenése mellett bevételei is nőhetnek, amennyiben az új technológiai megoldásokra épülő alkalmazások prémiumszolgáltatásaiért az ügyfél hajlandó fizetni is. A hatékonyságot a kivitelezés is befolyásolhatja. Amíg a közvetlen megvalósítási modellben egy központilag meghatározott, fejlesztett és üzemeltetett közigazgatási

14

informatika jön létre, addig a közvetett megvalósítási modellben megmarad az egyes szervek e-közigazgatási infrastruktúrájának önállósága, az egységesítést az állam indirekt módon (jogszabályokkal, szabványokkal, minőségi kritériumokkal foglalja keretbe, pénzügyi és szakmai támogatással) segíti. 2. Fogyasztóorientált szolgáltatások kialakítása Az „egyablakos” ügyintézés kialakításával az ügyfél csupán egy felülettel (ablakkal) találkozik, ahol tetszőleges szolgáltatást vesz igénybe. A rendszerek integrálásának eredménye, hogy az ügyfél előtt bármely ügyintézési helyszínen vagy formában egységes szervezetként jelenik meg a közigazgatás. Az ügyfelek az ügyintézési kényelem mellett időt is megtakaríthatnak, információkat gyorsabban, akár időkorlát nélkül (non-stop) érik el.

ha

az

3. Gazdasági fejlődés fokozódása A közigazgatás hatékonyságának fejlődése az állami kiadások mérséklődését eredményezheti. A kisebb és olcsóbb állam egyre kisebb adminisztrációs kötelezettséget, kisebb adóterheket, hatékonyabb újraelosztási rendszert, élhetőbb államot hoz létre. Az automatizált és követhető folyamatok okozta átláthatóság és elszámolhatóság erősödésével a kormányzat szavahihetősége nő, csökkenthető a korrupció, mely a gazdasági folyamatok stabilizálódásával járhatnak. Az információs írástudás, műveltség növekedése kedvezően hat az e-gazdaságra is. 4. A közigazgatási reform gyorsulása Az e-közigazgatás eszköztára olyan tervezési, döntési, szervezési, irányítási és ellenőrzési mechanizmusok bevezetését teszi lehetővé, melyek révén a közigazgatás lépést tud tartani a gazdasági-társadalmi modernizációs folyamatokkal. 5. Az állam és az állampolgárok kapcsolatrendszerének javulása, átfogó társadalmi célok könnyebb elérése Az információáramlás, így a szakpolitikai területekkel (pl. egészségügyi, oktatási, környezetvédelmi stb.) történő kapcsolattartás is hatékonyabbá válik. A jobb kommunikáció erősítheti a bizalmat, a részvételi szándékot, a vélemények kinyilvánításának hajlandóságát, a párbeszédet. 6. Hatékonyabb, nyitottabb helyi igazgatás Az állampolgár-önkormányzat közötti viszonyt alapvetően az az alkotmányban is megfogalmazott törekvés határozza meg, hogy az önkormányzatnak a helyi közösség akaratának megfelelően kell működnie, a helyi közösség önigazgatását kell megvalósítania. Az infokommunikációs technológiák segítségével a helyi hivatal-lakosság kapcsolati háló is jelentős mértékben átalakulhat: 

a hivatalok és a helyi közigazgatás működésének átláthatóvá tétele,

15



egységes közigazgatás képének megteremtése az ügyfelek felé,



a közigazgatási szolgáltatások térbeli és időbeli korlátainak csökkentése,



a hatékonyabb lakossági mechanizmusában,



közvetlen kapcsolatteremtés a vezetőkkel,



az állampolgár kiszolgáltatottságának csökkentése, a helyi kezdeményezések, javaslatok, indítványok eddiginél hatékonyabb kezelése,



a közvetlen demokrácia gyakoriságának fokozása.

részvétel

kiszélesítésének

az

önkormányzat

lehetősége,

a

döntéshozatali

helyi

népszavazás

1.2 Alapvető elektronikus közszolgáltatások, az elektronikus ügyintézés szintjei Az eEurope 2002 akciótervben az Európai Bizottság (COM (2000) 330 final) az elektronikus közszolgáltatások elterjedésének mérésére meghatározta a 20 leggyakrabban igénybe vett elektronizálható szolgáltatást és definiálta az ezek fejlettségi szintjeinek jellemzőit. Az ügyek gyakorisága alapján felállítottak egy sorrendet, amely mentén a tagállamoknak haladni ajánlott. A leggyakoribb ügyeket az alábbiak szerint csoportosították:  okmánykiállítással kapcsolatos szolgáltatások, 

adó-, járulék- és vámszolgáltatások,



egészségügyi és szociális szolgáltatások,



oktatási szolgáltatások,



munkavállalással kapcsolatos szolgáltatások,



elektronikus fizetéssel járó szolgáltatások,



állampolgári azonosítást biztosító (kapcsolódó) szolgáltatások,



egyéb szolgáltatások.

Ennek tükrében készült el az azóta is hivatkozott 20-as lista,4 mely az állampolgárok (12) és vállalkozások (8) számára javasolja a legalapvetőbb közszolgáltatásokat a kormányportálon elérhetővé tenni. Nálunk ez 27 ügytípust jelent, mert az EU-s csoportosítás hazánk ügycsoportjaival nem egyezik. Például okmányoknál külön csoportot jelent a gépjárművel és az útlevéllel kapcsolatos ügyintézés, azaz hazánkban a 12+8 gyakorlatilag 27-et jelent. A CLBPS 20-as listája az elektronizálandó közszolgáltatásokról az alábbi ügytípusokat jelentik Magyarországon.5

4

Common list of Basic Public Services követelményjegyzék, vagy másként 12+8-as lista.

16

Szolgáltatás Leírás Vállalkozóknak nyújtott (BUS) szolgáltatások BUS 1/a Munkavállalók és foglalkoztatók számára nyújtott szolgáltatások (munkáltatók bejelentési kötelezettségének elősegítése, munkavállalók számára betekintési lehetőség a róluk benyújtott információkba) BUS 1/b

Munkáltatók bejelentése nyugdíjbiztosítási adatokról

BUS 2 BUS 3

Társaságiadó-bevallás, értesítés ÁFA: bevallás, értesítés

BUS 4 BUS 5

Korlátolt felelősségű társaságok és bejegyzése, változásbejegyzése Adatközlés a statisztikai hivataloknak

BUS 6

Vámáru-nyilatkozatok benyújtása, kezelése

BUS 7

Környezetvédelemmel összefüggő engedélyek szerzése

BUS 8

Közbeszerzési eljárás

részvénytársaságok

Állampolgároknak nyújtott (CIT) szolgáltatások CIT 1 CIT 2/a

Jövedelemadó-bevallás, értesítés a kivetett adóról Álláskeresés interneten keresztül az ÁFSZ6 állásajánlataiban

CIT 2/b CIT 3/a

Állásbejelentés interneten állásadatbázisába Munkanélküli járadék igénylése

CIT 3/b

Munkavállalók gyermekei után járó pótlékok igénylése

CIT 3/c

Kötelező egészségbiztosítás ellátásai

CIT 3/d

Tanulói ösztöndíj megpályázása

CIT 4/a

Útlevéligénylés és útlevéllel kapcsolatos egyéb ügyintézés

CIT 4/b

Gépjárművezetői engedély ügyintézése, jogosultság megszerzése

CIT 5

Járművek nyilvántartásával kapcsolatos ügyintézés, járműigazgatás (új, használt és importált gépjármű forgalomba helyezése, műszaki vizsgáztatása, járműigazgatási ügyek)

CIT 6

Építési engedély iránti kérelem

CIT 7

Rendőrségi on-line bejelentések, feljelentések

CIT 8

Közkönyvtári katalógusok lehetőségek elérése 1954-ig

CIT 9/a

Születési anyakönyvi kivonat ügyintézése: kiadás Házassági anyakönyvi kivonat ügyintézése: kiadás

kérvényezés,

Felvételi

felsőoktatási

CIT 9/b CIT 10

jelentkezés

keresztül

az

ÁFSZ

illetőleg vezetési

hozzáférhetősége,

(középiskolákba,

keresési

kérvényezés,

5

BUS = business, gazdálkodó szervezeteknek, vállalkozásoknak nyújtott szolgáltatások. CIT = citizen, állampolgároknak illetve természetes személy ügyfeleknek szóló szolgáltatások 6 Nemzeti Foglalkoztatási Szolgálat http://www.afsz.hu/

17

intézményekbe) CIT 11

Lakcímváltozás bejelentése (lakcímigazolvány-pótlás, -csere)

CIT 12

Egészségüggyel összefüggő szolgáltatások (pl. interaktív tanácsadás kórházi szolgáltatások elérhetőségéről, kórházi bejelentkezések)

A CLBPS listájának csoportosítása, a fő szolgáltatáscsoportok mentén. Forrás :Az eközigazgatás fejlesztése, az EKOP stratégiai koncepciója 2007-2013

A CLBPS listájának csoportosítása, a fő szolgáltatáscsoportok mentén. Forrás :Az e-közigazgatás fejlesztése, az EKOP stratégiai koncepciója 2007-2013 A költségvetési bevételt eredményező szolgáltatások a legösszetettebb, legnagyobb infrastrukturális igényű szolgáltatások. Eredményük azonban az automatizált ügymenet lehet, mely jelentős erőforrás-megtakarítást, valamint az e-közigazgatás ügyféloldali elfogadottságának növekedését éri el. A nyilvántartások célja az ügyfelekkel összefüggő adatok, események tárolása, és azok elérésének biztosítása. Az adatbázis alapú szolgáltatásoknál a papír alapú igazolásokat a közhiteles adatbázis naprakész elérése váltja fel. A közvetlen segítséget nyújtó e-szolgáltatások pénzügyi és természetbeni – életminőséget javító – segítséget (információt és online ügyintézési lehetőséget) biztosítanak. Az igazolványok és engedélyek kiadását támogató szolgáltatások állampolgári státuszokat, és ezek feltételeinek meglétét vizsgálják. Közös jellegzetességük, hogy mindegyik csoport infrastrukturális erőforrásigénye nagy, magas szintű titkosítási és azonosítási igényt támasztanak, azonban jelentős elektronizálási és automatizálási lehetőséget biztosítanak, aminek révén jelentős értéknövelt szolgáltatásokat képesek létrehozni. Az EU a szolgáltatások nyújtásának négy szintjét különböztette meg, a hagyományos és az ügyfél jelenlétét egyáltalán nem igénylő – teljesen elektronizált – eljárások között.

18

Ezeket az e-ügyintézési szolgáltatási szintek kategorizálására az uniós stratégiai dokumentumok alapján azóta is egységesen használjuk, és azóta kiegészült egy ötödik szinttel. Szolgáltatási szint

Szolgáltatási szint leírása

1. szint: „Információ” (tájékoztatás)

A közigazgatási szerv weboldalán csupán alapvető információkat (pl. elérhetőség), ügyleírásokat közöl, leírja, hogy milyen dokumentumok szükségesek az ügyintézéshez. (statikus weboldalak)

2. szint: „Egyirányú kapcsolat”

A közigazgatási szerv weboldaláról (Word, PDF stb.) dokumentumokat lehet letölteni az ügyintézéshez, de azokat nem lehet elektronikus formában visszaküldeni, csak hagyományos (postai levél) módon. A közigazgatási szerv honlapján a dokumentumokat ki lehet tölteni online, a kitöltés ellenőrzése is megtörténik ilyenkor, illetve a letöltött dokumentumokat azonosítási eljárás mellett vissza is lehet küldeni elektronikus formában (űrlapok visszaküldéséhez és fogadásához az elektronikus aláírás alkalmazására van szükség, ugyanakkor lakossági bejelentésekhez elegendő egyéb digitális azonosítás, pl.: regisztráció). Interaktivitást növelő szolgáltatások is segítik a felhasználók tájékozódását, például: kérdezés, visszacsatolás lehetősége, online segítségnyújtás, fórum. Az ügy indításához (intézéséhez, okmányok leadásához) személyes megjelenés nem szükséges, de az ügyhöz kapcsolódó közigazgatási irat (igazolvány, határozat stb.) átvétele, valamint a kapcsolódó illeték- vagy díjfizetés hagyományos úton történik.

3. szint: „Kétirányú interakció”

4. szint: „Tranzakció”

Teljes körű elektronikus ügyintézés (ide értve a döntés közlését, a kézbesítést és a fizetést is), amely azt jelenti, hogy az elektronikusan visszaküldött dokumentumok (pl.: űrlapok) feldolgozása is automatikusan történik. Megvalósul a dokumentumok, ügymenetek elektronikus nyomon követése, lehetővé válik az illetékek, díjak elektronikus úton történő befizetése. Ennek feltétele egyrészt az elektronikus aláírás széles körű elterjedése, másrészt, hogy olyan integrált rendszer jöjjön létre, amely hatékonyan kapcsolja össze a közigazgatás front-office (kapcsolat az ügyféllel) és back-office (háttérben működő, az ügyintéző munkáját támogató) rendszereit.

5. szint: „Perszonalizáció”

A 4. szint kiegészítése az ügyfél maximális bevonásával. Személyre szabott, ügyfél-központú, automatizált és proaktív szolgáltatások. Szolgáltatási szintek bemutatása Az egyes szolgáltatási szintek közötti feljebb lépést „rések”, kihívások övezik, amelyet a következő ábra szemlélet.

19

A CLBPS szofisztikációs szintjei és rései Forrás: Miniszterelnöki Hivatal, Elektronikus Kormányzat Központ: eKormányzat 2005 stratégia A lista és a szolgáltatási szintek olyan indikátorok, melyekkel az EU saját tagországainak felkészültségét méri (az ún. felkészültségi jelentésekben).

1.3 Az e-közigazgatás fejlesztések átfogó célterületei: back-office, front-office A korábban bemutatott fejlesztési célterületek, valamint az elektronikus ügyintézés minőségi fokát jelentő egyre magasabb szolgáltatási szintek elérését az e-közigazgatási fejlesztések hivatottak segíteni. A fejlesztések jellemző csoportosítása back-office és front-office fejlesztések mentén történik. Egyfajta egyszerű megközelítéssel a back-office az adatok feldolgozásáért, míg a frontoffice az adatok közvetítéséért felel. Az e-közigazgatási célterületek klasszikus felosztását, csoportosítását a back-office és a front-office fejlesztések mentén szokták meghatározni. Mind a back-office, mind a front-office fejlesztések az ügymenet (vagy más néven workflow) áttekintésével kezdődnek. Ez a feltétele annak, hogy ne konzerváljunk rossz és felesleges funkciókat, folyamatokat.

20

Az informatika csupán a modernizáció egy szükséges eszköze, infrastruktúrája. A valódi e-közigazgatás kialakításához szervezési, közigazgatás-technológiai kérdéseket kell megvizsgálni. Rengeteg hivatal esik abba a hibába, hogy anélkül kezd informatikai fejlesztésbe, hogy tisztában lenne saját erőforrásaival: vagy nincs tisztában a rendelkezésre álló kerettel, vagy hiányzó informatikai stratégiája miatt nem tudja, hogy az elkövetkezendő években nagyságrendileg mekkora forrást és milyen formában használhat fel. Ezek kiderítésére több közigazgatás-technológiai eszköz áll a rendelkezéskre. A leggyakoribb technikák az ügymenet-modellezés, az ügyfélforgalmi vizsgálat, a funkciógyakoriság-elemzés és a munkakörelemzés, melyeket gyakran egészítenek ki mélyinterjúkkal (vagy kérdőívekkel), dokumentumelemzéssel vagy akár munkanapfényképezéssel.

1.3.1

A back-office jelentése az e-közigazgatásban

A back-office a közigazgatást (és az e-közigazgatást) kiszolgáló infrastruktúra és folyamatok összessége. Lényegében a háttérben zajló folyamatokat, működő nyilvántartásokat, belső szolgáltatásokat jelenti, az ezekhez szükséges infrastruktúrát (hardver- és szoftverelemek, azaz távközlési gerinchálózat, géptermek, eszközpark, adatbázisok, nyilvántartások, háttérben működő eljárások) amellyel az ügyfelek nem találkoznak. A back-office-ba szokták érteni a következő elemeket és területeket:  gerinchálózat(ok),  nyilvántartások, adatbázisok,  a nyilvántartások és az azok karbantartására szolgáló rendszerek együttműködési képessége (interoperabilitás),  vezetői információs rendszerek (VIR) és döntéstámogatás,  irat- és dokumentumkezelés,  továbbá az ezeket kiszolgáló eszköz és szoftverrendszerek. Jelen fejezetrészben a gerinchálózatokat, a központi rendszert, az adatbázisokat, a VIR-t és az iratkezelés (digitalizálás) jelentőségét emeljük ki, mert napi szinten leggyakrabban ezekkel az ügyintéző. Az interoperabilitás témakörével később külön anyagrész foglalkozik. Gerinchálózatok és kapcsolódó szolgáltatásaik A központi közigazgatás back office-át gyakran állították párhuzamba a „szolgáltatási közmű” koncepciójával. Eredetileg csak a háttéralkalmazások gerincét jelentő gerinchálózatot értették alatta, addig ma már a Nemzeti Távközlési Gerinchálózaton (NTG, korábbi nevén Elektronikus Kormányzati Gerinchálózat – EKG) futó alkalmazások is ide sorolhatók. A szolgáltatási közmű testesítette meg a központi közigazgatás gyakorlati alapját. Az EKG / NTG a nyílt internettől elzárt hálózat, minden központi (és több helyi szolgáltatás) bázisa, és egyben kapcsolat az EU intézményei felé is.

21

Az NTG alapvető feladata kormányzati és közigazgatási adatbázisok, hálózatok és informatikai rendszerek összekapcsolása. A gerinchálózat feladata – ezen felül – az így létrejövő szolgáltatások elérhetővé tétele az ügyfelek számára. A szolgáltatások eleinte szűk, behatárolt kört jelentettek, amely az EKG-n működő Központi Rendszer és elemeinek monopolhelyzetéből adódtak. Jogszabály a központi rendszert (KR) jogosította fel az elektronikus közszolgáltatások nyújtására, illetve igénybevételét támogató központi informatikai és kommunikációs rendszerek befogadására. Elemeiként a következőket határozta meg:  az elektronikus kormányzati gerinchálózat,  a kormányzati portál,  az ügyfélkapu,  a hivatali kapu,  a biztonságos elektronikus dokumentumtovábbító szolgáltatás,  az elektronikus tárhely és a központi rendszer cím,  a központi archiválási szolgáltatás,  az elektronikus fizetéseket és elszámolás lehetőségét biztosító rendszer,  a központi ügyfélszolgálat (ügyfélvonal, kormányzati ügyféltájékoztató központ). A közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2014. évi CXL. törvény (a továbbiakban: Ket.) 2011. évben végrehajtott módosításáig, illetve a végrehajtási rendeleteinek 2012-ben történő kihirdetéséig az elektronikus közszolgáltatások nyújtására a monolit megoldás, és általánosságban véve a kizárólagosság volt jellemző. A KR (központi rendszer) szolgáltatásai megmaradtak, azonban a szabályozás olyan irányt határozott meg, miszerint egyrészt ezek köre szélesedik, illetve bizonyos szolgáltatások kivételével nem állami (piaci) szereplők is megjelenhetnek szolgáltatóként. Az NTG mai rendeltetése:  kormányzati szintű, több felhasználót érintő alkalmazások hatékony működtetése;  egy nagy sebességű, magas üzembiztosságú és biztonsági követelményeknek megfelelő, egységes architektúrájú hálózati infrastruktúra működtetése, ezen keresztül az állami intézmények által nyújtott szolgáltatások elérésének biztosítása;  az elszigetelt (szigetszerű) közigazgatási háttérszolgáltatások elérhetővé tétele;  a kétirányú kormányzati kapcsolatok biztosítása az uniós adminisztráció rendszereihez (TESTA);  védett szolgáltatások (pl. biztonságos dokumentumküldés) biztosítása, elsősorban a minisztériumok és a központi intézmények részére;  a kormányzati szervek közötti kommunikáció, az adatátvitel költségeinek csökkentése (a méretgazdaságosságból fakadóan), minőségi szintjének emelése. Az iratkezelés és a digitalizáció kapcsolata Jelenleg a közigazgatás működése az iratkezelés köré épül. Különösen azt kell látni, hogy az eddig oly jellemző papír alapú ügyintézés mennyire meghatározta az egyes

22

eljárási lépéseket. A beadvány életútját egészen a kiadmányozásig az ügyiratkezelő, iratnyilvántartó rendszerek követik végig, szigorú dokumentációs szabályok mentén. Az utóbbi évek egyik meghatározó trendje a papír alapú ügyintézés mellőzéséről, kiváltásáról szól. Ez igazából már nem a meglévő papír iratállomány feldolgozható formában történő digitalizációját (konverzióját) jelenti, hanem a kizárólag elektronikusan létező hiteles iratok készítését és dokumentált közlését „postázását”. Erre több „pilot”, úttörő próbálkozás történt a papírmentes iroda megvalósítására, de – eddig – olyan igazán komoly átütő siker nélkül, amelyet szélesebb körben alkalmazni lehetne. Egyértelműen látszik, hogy átfogó szemléletváltás, folyamatátszervezés, szabályozás és a felhasználók (a közigazgatás személyi állományának) általi adaptálása szükséges, végül a teljes közigazgatásban történő elterjesztése. A közigazgatás részéről komoly szándék mutatkozik az iratkezelési rendszerek átjárhatóságának megteremtése, ami óriási lépést jelentene a hatóságok egymás közötti folyamataiban. Fentiek alapján is egyértelmű, hogy az „offline” rendszerek fenntartásának kötelessége a jelenlegi infokommunikációs szokásokat és trendeket figyelve pár évtizedig még élni fog. Ehhez adódik az elmúlt évek és évtizedek fizikailag is kézzel fogható iratanyaga, melyekre kezelési (megismerést biztosító) kötelezettségek ma is érvényesek. A felhalmozott és halmozódó iratanyag elektronikus formába történő átalakítása (konverziója) a digitalizáció, mely a valódi e-közigazgatási működés egyik olyan feltétele, mellyel nem csupán közigazgatási, hanem (nemzet)gazdasági eredmény is elérhető. A tényezők, melyek a digitalizáció mellett szólnak: 

Véges tárolókapacitások (fizikai tárolóhelyiségek és személyzet, aminek a fenntartása is rendkívül költséges).



Modernizációs akadály (a manuális ügymenet az iratok köré szervezett, azaz az átvétel, iktatás, nyilvántartás, ügykezelés, kiadmányozás, irattározás, követés szempontjait helyezi előtérbe, a folyamat működtetése helyett).



Véges költségvetési források (a kisebb és hatékonyabb állam elve csökkentett költségvetéssel számol).



Új munkahelyek (a digitalizációval új munkahelyek jönnek létre, ami a mai modernizációs folyamat kedvező – kiegyensúlyozó – ellenhatása lehet).



Megbízási lehetőségek a versenyszférától (egyes szempontok szerint a közigazgatás által végzett digitalizáció adott méret felett a hazai és nemzetközi versenyszférának is kínálhat olyan szolgáltatási lehetőségeket, és ezek nyereségessé tehetik az adott digitalizációs központok munkáját, de ezzel nem mindenki ért egyet, ugyanilyen módon akár a versenyszféra is vállalhat magára digitalizációs feladatokat).

23

A döntéstámogatás rendszerei (VIR / OLAP) A dinamikus közigazgatáshoz dinamikus vezetők kellenek. Alapelvárás, hogy döntéseikhez a legszükségesebb információk a lehető leggyorsabban – azonnal – álljanak rendelkezésre. A szervezet vezetőjének tisztában kell lennie a szervezet valamennyi folyamatával, a folyamatok alakulásával. A vezető feladata a döntés, mely a döntéshez szükséges információk rendelkezésre állásával arányosan könnyebbül, válik megbízhatóbbá. Ebben segítenek a vezetői információs rendszerek, valamint azok döntéstámogató moduljai. A vezetői információs rendszerek (rövidítve: VIR) olyan - a vállalati rendszerekkel integrált megoldások, melyek egy szervezet vezetési funkcióinak gyakorlásához (tervezés és döntéshozatal, szervezés, közvetlen irányítás és ellenőrzés) nyújtanak információs segítséget. A közigazgatási vezetői információs rendszerek olyan döntéstámogató és elemző rendszerek, melyek átfogó képet adnak a hivatal működéséről. Általánosságban alkalmasak:  tetszőleges adatok (grafikus, alfanumerikus) gyűjtésére, lekérdezésére, megjelenítésére;  statisztikai elemzések elvégzésére: átlagok, trendek, szórások, eloszlások előállítására;  információk aggregálására, azok megjelenítésére;  szöveges lekérdezésekre;  jogi információk biztosítására, változás-követésére;  az elért és létrehozott adatok exportálására;  határidők figyelésére, figyelmeztetésére. A VIR megalkotása előtt fontos, hogy a rendszerrel szembeni elvárásokat rögzítsük. A VIR hatékonysága nagyban múlik azon, hogy az igényfelmérés mennyire volt precíz, a feladatokat helyesen rangsorolták-e, volt-e helyzetfelmérés az adatok rendelkezésre állásával kapcsolatban, ezeket a visszajelzéseket beépítették-e a fejlesztésbe, és végül volt-e tesztelés és oktatás. Azonban minél nagyobb a szervezet, annál kevésbé lenne átlátható az összes folyamat, pláne a folyamatok összefüggése. Ezért jöttek létre a 60-as évektől kezdve a különböző vezetői információs rendszerek, melyek fő technológiai háttere az OLAP (OnLine Analytical Processing – valós idejű elemzés és irányítás). Az OLAP olyan speciális VIR (OnLine Analytical Processing – valós idejű elemzés és irányítás), olyan szoftvertechnológia, melyet napjaink VIR-jeinek felépítésére használnak. Segítségével különböző vizsgálati szempontok és azon belül különböző aggregáltságú adatok alapján elemezhetjük a szervezet működése során keletkező alapadatokat. Ezek integráltsága az évek során egyre erősebb lett, közigazgatási felhasználásuk azonban – hazánkban, a legtöbb helyen – még kezdetleges (nem kellően széles a merítés, korlátozott a gyűjtendő információk köre, korlátozott a felhasználók köre). Az OLAP technológia elsődleges rendeltetése az elemzéshez, tervezéshez szükséges információk lehető leggyorsabb és legegyszerűbb elérésének biztosítása, melyet listákkal, riportokkal, grafikonokkal vagy csak ad hoc keresésekkel támogat.

24

Adatbázisok a közigazgatásban A nyilvántartások meghatározott szempontok szerint gyűjtött, gondozott és menedzselt adategyüttesek, melyekből az érdemi ügyintézés során a közigazgatás kinyeri a döntéshez szükséges adatokat. Az adatok nyilvántartása – azok típusától, jellegétől függően – sokszor korlátozó szabályokhoz kötöttek. A back office egyik legnagyobb feladat-együttesét az adatbázis-kezelő rendszerek és nyilvántartások adják. Az adatok, információk nyilvántartása a közigazgatás egyik legnagyobb feladatát jelenti, tekintve, hogy a közigazgatási feladatok végrehajtása elképzelhetetlen az állampolgárok, szervezetek, a természeti és épített infrastruktúra stb. precíz nyilvántartása nélkül. A nyilvántartások száma és terjedelme igen nagy. Interoperabilitásuk biztosítása a proaktív közigazgatás kulcsát jelentik. A nyilvántartások célja, hogy  áttekintést biztosítsanak a nyilvántartott entitások (személyek, dolgok) fölött;  döntéstámogatási eszközként szolgáljanak;  rögzítsék a nyilvántartott entitások tényleges jogi helyzetét;  valamint az adatok elemzését, statisztikai célú felhasználását lehetővé tegyék. A nyilvántartások lehetséges csoportosítása (Torma András alapján) Jogi hatásuk alapján:  konstitutív hatályú nyilvántartások: ahol valamely jog a nyilvántartásba vétellel jön létre, módosul, vagy szűnik meg (pl. ingatlan-nyilvántartás);  deklaratív hatályú nyilvántartások: ahol a bejegyzés nem keletkeztet vagy változtat jogot, hanem csupán kinyilvánítja azt (pl. anyakönyvi kivonat). A nyilvántartás tárgya szerint:  személyi nyilvántartások (pl. a polgárok személyi adatainak nyilvántartása);  dologi nyilvántartások (pl. ingatlan, gépjármű, közmű stb.);  szellemi javak nyilvántartásai (pl. szabadalmak, találmányok stb.);  jogszabályok nyilvántartásai (pl. hatályos jogszabályok nyilvántartása, jogszabály tervezetek nyilvántartása). A nyilvántartást vezető szerv jellege szerint:  államigazgatási nyilvántartások (pl. Magyar Nemzeti Vagyonkezelő Zrt. ingatlannyilvántartása);  országos nyilvántartások;  ágazati és funkcionális információs rendszerek;  állami statisztikai információs rendszer;  önkormányzati nyilvántartások (pl. az önkormányzati vagyon nyilvántartása);  vegyes nyilvántartások (pl. polgárok személyi adatainak és lakcímének nyilvántartása);  bírósági nyilvántartások (pl. cégnyilvántartás). Közhitelesség szempontjából:

25





közhiteles nyilvántartások: jogszabály által elrendelt nyilvántartás, melynek adatait – ellenkező bizonyításáig – mindenkinek igaznak kell elfogadnia (pl. ingatlan-nyilvántartás); nem közhiteles nyilvántartások: olyan nyilvántartás, melyet az adott szerv döntően saját elhatározásból vezet, munkája megkönnyítése érdekében.

Ezek az adatbázisok informatikai alapúak (bár néhány esetben még párhuzamosan kartotékos háttérrel.) Tekintettel arra, hogy hányféle adatbázis fut hazánkban és az Európai Közigazgatási Térben, az adatok egységes kezelésének (migrációjának, archiválásának, feldolgozásának, egyesítésének stb.) feltétele az interoperábilis közigazgatás. Az adatok sok esetben rendelkeznek, vagy rendelkezhetnek térbeli tulajdonságokkal, melyek a döntéshozatal során felhasználhatók. A térinformatikai megoldások bár kétségtelenül drágábbak, felhasználásuk jelentős hatékonyságnövekedést eredményezhet (elsősorban az ingatlan-nyilvántartás, vagyongazdálkodás, építéshatósági tevékenység, területrendezés, közlekedés, közüzemi szolgáltatások, rendvédelem, területi védelem, környezetvédelem, természetvédelem stb. területén.

1.3.2

A front-office jelentése az e-közigazgatásban

A front-office az ügyfél és a hatóság ügyintézési találkozási pontja, személyes (hivatal) vagy elektronikus webes kapcsolattartási felülete és szolgáltatásai (azonosítás, telefonos ügyintézés, letölthető és beküldhető nyomtatványok online szolgáltatások stb). Szűkebb értelemben a front office az az érintkező felület, érintkezési pont, ahol az ügyfél érintkezik a hivatallal, annak elektronikus ügyintézésével. Lényegében ez a hivatal arca, tükre. Az e-közigazgatási front office-on valamennyi elektronikus kommunikációs csatornát értjük, amelyen a hivatal és az ügyfél adatot cserél az ügyfél fizikai jelenlétét nélkülözve, lehetőség szerint szolgáltatási időkorlát nélkül (non-stop szolgáltatások):  hivatali portálok a kapcsolódó szolgáltatásaikkal, (virtuális hivatalokat),  számítógéppel támogatott CRM-rendszerek (Customer Relationship Management, azaz ügyfélkapcsolat-menedzsment rendszerek, például call-centerek, contactcenterek),  mobilkommunikációs megoldások, WAP és SMS (jellemzően értesítési céllal használja a közigazgatás, pl. tájékoztatás elkészült okmányról),  DiTV terek (Magyarországon még nem létezik, azonban Európában a digitális átállást követően megnyílik: ez a digitális televíziózáson alapuló közigazgatási ügyintézés, a „t-közigazgatás” Ez egy jövőbemutató elképzelés, és számos feltételezésen alapul.).

A tananyag a fentiek közül a hivatali portálokkal és a CRM-rendszerekkel foglakozik részletesebben, mivel a DiTV kora még nem érkezett el, az sms alkalmazása viszonylag szűkkörű, a WAP megoldások pedig a mobil szélessáv elterjedésével teret veszítenek és elhalnak.

26

A szolgáltató jelleg megköveteli, hogy a hivatal az ügyfeleknek a hozzájuk legközelebb álló és egyben legpraktikusabb utakon biztosítson kommunikációs felületet. A többcsatornás ügyintézés és a csatornák közötti választás elvét több jogszabály is rögzíti, ugyanakkor a személyes jelenlét sem kizárható, sőt, bizonyos eljárásokban kötelező, ezért számos fizikai ügyfélpontot érintő fejlesztést is a front-office fejlesztések körében valósítanak meg az e-közigazgatási projektek (l. kormányablakok, egyablakos ügyintézés kialakítása). Jelenleg döntően és arányaiban offline (hagyományos, papír alapú) közigazgatási technikák érvényesülnek. Ezen funkciók jelentős része kerül elektronizálásra, az offline folyamatok– többnyire – párhuzamos fenntartása mellett. A lényeg, hogy az összes lehetséges formában el kell érnünk az ügyfeleket. Többek között erről szól az eközigazgatás. Kormányzati feladat a csatornák biztosítása (a választási lehetőség fenntartásával), és ezáltal is a lakosság felzárkóztatása, beemelése az információs társadalom nyertesei közé. A szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról szóló 83/2012. (IV. 21.) Korm. rendelet (szeüszr.) is tartalmazza az ügyfelek csatorna-választási szabadságát. A szeüszr. részletes szabályairól és a hozzá kapcsolódó egyéb szabályozásokról külön fejezetrész szól. Hivatali portálok, virtuális hivatalok Elektronikus közigazgatás alatt sokan elsőre internetes megoldásokra gondolunk, elsősorban hivatali portálokhoz kötött szolgáltatásokra. A szolgáltatások mennyiségét tekintve valóban ez a legszélesebb felhasználói csatorna. Az internetes ügyintézés portálokon (esetenként micro-site-okon) keresztül történik. Ezért fontos, hogy a portálok alapkövetelményeit számba vegyük:  könnyű elérhetőség;  ügyfélcentrikusság, felhasználóbarát felület, áttekinthetőség, egyszerűség;  tematikusan rendszerezett funkciók, megbízható, aktualizált információk, szolgáltatások (települési portálok esetén alapvetően négy fő témakörben): – információk a településről, településmarketing; – a hivatal működéséhez kapcsolódó intézményi információk (az információs önrendelkezési jogról és az információszabadságról szóló a 2011. évi CXII. tv. és annak 1. számú melléklete); – (e-)közigazgatási szolgáltatások; – üzleti, kereskedelmi (és civil) jellegű, valamint egyéb információk;  hibamentes működés, gyors kommunikáció;  a tartalmak érték szerinti rendezése a felhasználói szokások függvényében;  adatbiztonság, a személyes adatok védelme;  lehetőség szerint többnyelvűség (turizmus, nemzeti etnikai kisebbségek jelenléte, testvérvárosi szövetségek);  W3C WAI ajánlások7 betartása a fogyatékkal élők és hátrányos helyzetűek érdekében;

7

World Wide Web Consortium International, Web Accessibility Initiation. (A W3C konzorcium internethozzáférési kezdeményezése: http://www.w3.org/WAI/) Az ajánlás elsősorban a

27



a KIB ajánlásai az egységesség és szabványosság jegyében 8.

Számítógéppel támogatott CRM-rendszerek9 A CRM rendszerek (Customer Relationship Management) ügyfélkapcsolat-menedzselő rendszerek). Jellemzően ott használnak ilyet, ahol front office feladatokat a back office kellő szintű integrálásával komplett módon lehet kezelni. A CRM egy olyan stratégia megvalósulása, mely az ügyfelet helyezi középpontba és a folyamatokat innen indítja. A CRM egy olyan intelligens adatbank, feladata tehát az információk konszolidálása, eljuttatása az ügyintézőkhöz, illetve az ügyfelekhez, végül az ügyintézőktől kapott válasz ismételt elemzése, feldolgozása. A CRM rendszerek bevezetésének szakmai előnyei röviden a következők:  az ügyfelek számára a gyorsabb, pontosabb és szélesebb körű kiszolgálás, a szolgáltatás színvonalának minőségi emelkedése. (0–24 óráig tartó rendelkezésre állás stb.)  javul a külső és a belső kommunikáció, így az ügyfelek mindig azt a segítséget veszik igénybe, amelyik a leginkább testhez álló számukra, azaz ahol a kérdéses kompetencia megtalálható. (a call centerek szakértelem szerinti bejövő hívásirányítása)  az az automatizálással az ügyintézők érdemi ügyintézésre fordítható ideje nő, így az ügymenetek gyorsulnak.  az érdemi ügyintézés biztosításával (és a mechanikus munkák eltüntetésével) a dolgozói elégedettség is nő. A contact center olyan (CRM) megoldás, amely egy közös platformon képes kezelni az összes, hivatalhoz beérkező telefonhívást, SMS-t, e-mailt, faxot stb. A contact centernek része a call center, mely a hívások menedzseléséért felel. Az ügyfél valamely paramétere alapján (e-mail cím vagy telefonszám) a rendszer azonosítja az ügyfelet és a hozzá tartozó (alkotmányos jogokat nem sértő) információkat rendelkezésre bocsátja. A call centerek az automata telefonalközpontok szolgáltatásának kialakulása után jelentek meg. Ezek a funkciók már alkalmasak voltak arra, hogy az ügyintézők hívásterhelését optimalizálják. Teljes foglaltság esetén a várakozókat sorba állította, és a sort kezelte. A call center azonban valójában egy filozófia. Kiindulópontja az a feltételezés, hogy egyáltalán nem biztos, hogy az ügyfélnek mindenképp az ügyintézővel való párbeszédre van szüksége, ebben az esetben tehát a folyamat automatizálható. Az IVR (Interactive Voice Response – Interaktív Hang információs rendszer, ahol egy automata „élő hangú” szolgáltatásokat nyújthat. (Ilyenek az automata telefonos készülék billentyűinek lenyomásával választjuk ki az igényelt pl. Telebankok)

Válasz) olyan telefonos hierarchikus információs ügyfélszolgálatok, ahol a információt, szolgáltatást,

fogyatékkal élők és hátrányos helyzetűek számára kívánja lehetővé tenni szolgáltatásokat. 8 http://www.etudasportal.gov.hu/pages/viewpage.action?pageId=2850831 9 Budai B.: Az e-közigazgatás elmélete, Akadémiai, Budapest, 2009. pp.: 312-315.

a

webes

28

A közigazgatás számára azért lehet ideális az IVR rendszerek használata, mert segítségével 0–24 óráig tartó folyamatos ügyfélszolgálatot tarthat, ahol egyaránt küldhet és fogadhat információt. Hivatali időn belül az ügyintéző is elérhetővé válik. A közigazgatásban felmerülő kérdések nagyobbik része már régóta jelenlévő – általános – kérdés, így az ezekre adott válaszok könnyen adaptálhatók a helyi viszonyokhoz.

1.4 Az e-közigazgatás alakulásának történeti bemutatása A következő fejezetekben az Európai Unió illetve informatikai vonatkozású stratégiáit mutatjuk be röviden.

1.4.1

Magyarország

közigazgatási

Az Európai Unió stratégiáinak rövid bemutatása

Az Európai Unió felismerte, hogy elengedhetetlen a közigazgatás korszerűsítése, illetve annak elmaradása esetén olyan negatív következmények jelentkezhetnek, amelyek számokkal alátámasztható komoly nemzetgazdasági hátrányokat is okozhatnak. 1994: Bangemann-jelentés, stratégiai megvalósítására 2000 – eEurope 2002 2000 – eEurope+ 2002 – eEurope 2005 2006 – i2010 eGovernment cselekvési terv

javaslat

az

Információs

társadalom

A felsorolt programok azt a célt próbálták elérni, hogy minden állampolgár kapcsolódjon be az információs társadalomba. A kiemelt célok között helyet kapott:  a már korábban prioritásként kezelt közszolgálati információk elérésének biztosítása, információszabadság és elektronikus átláthatóság,  a közigazgatási szervek nemzeti és nemzetközi (uniós) adatcseréjének biztosítása,  a nyílt forráskódú szoftverek bevezetésének támogatása,  az elektronikus aláírás bevezetése a hatósági ügyintézésben,  az elektronikus hatósági ügyintézési formák meghonosítása. 1994-ben az uniós szintű versenyképesség problémájával foglalkozó Bangemannjelentés tíz alkalmazási célterületet jelölt meg az informatikai és hírközlési technológiák alkalmazására és az eredmények elterjesztésére, amelyek között szerepel az elektronikus kormányzati tevékenység is:  távmunka,  távtanulás,  egyetemközi és kutatóközpontok közötti hálózatok,  telematikus szolgáltatások a kis-és középvállalkozások számára,  közúti közlekedési menedzsment rendszerek,  és légi közlekedési ellenőrzés,  egészségügyi hálózatok,  a tendereztetési folyamatok számítógépesítése,  egy egész Európát átfogó kormányzati hálózat,  városi információs szupersztráda kiépítése.

29

Az 1999-ben meghirdetett eEurope 2002 akcióterv egyfelől a közigazgatási szolgáltatások elektronikus úton elérhetővé válását szorgalmazta, másik súlypontja pedig maga a közigazgatás hivatali apparátusának és munkaszervezésének átalakítása volt. A „New Public Management” irányzat elveit tartja szem előtt tudatosan számolt az üzleti igazgatásban kidolgozott szervezési és munkamódszereknek a közigazgatásban való meghonosításával és a magánszektorral való együttműködéssel. Az európai közösségi szintű közigazgatási szolgáltatások kialakítása érdekében stratégiai célként határozta meg a tagállami szabályozási környezetek harmonizálását is. A legfontosabb feladatok közé emelte az általánosnak mondható célkitűzések (hozzáférés, közérdekű adatok és e-közszolgáltatások elérése) mellett a nyílt forráskódú szoftverek és az elektronikus aláírás használatának a közszférában történő támogatását. Az eEurope 2005 akcióterv folytatta az előzményeket. Az alábbi célterületeket emelte ki:  a közigazgatási szervek szélessávú hálózati összeköttetése;  nyílt forráskódú szoftvereken alapuló megoldások;  az alapvető közigazgatási szolgáltatások interaktívak és mindenki számára hozzáférhetőek legyenek;  elektronikus közbeszerzési szabályozás megalkotása és gyakorlati megvalósítása;  nyilvános, közösségi Internet-hozzáférés biztosítása;  a közadatok elérését lehetővé tevő szolgáltatások indítása és ennek szabályozása. A 2006-ban elfogadott i2010 eGovernment cselekvési terv10 abból a feltevésből indult ki, hogy szoros kapcsolat áll fenn a verseny- és innovációs képesség, valamint a közigazgatás minősége között, így a „jó kormányzás” megvalósítása elengedhetetlen a világgazdasági versenyben. Az elektronikus közigazgatás minőségi javulása nagyban segítheti az Unió fejlesztési céljainak megvalósítását. Öt fő célkitűzése:  társadalmi csoportok integrációjának felgyorsítása az elektronikus kormányzaton keresztül;  magas felhasználói elégedettség, átláthatóság, elszámoltathatóság, az adminisztratív terhek csökkentése;  nagy jelentőségű alapszolgáltatások (például közbeszerzés) elektronikus elérése és lebonyolítása;  a közszolgáltatásokhoz történő biztonságos, interoperábilis, hitelesített hozzáférés 2010-re egész Európában;  részvétel és a demokratikus döntéshozatal erősítése. Az EU elektronikus közigazgatással és elektronikus kormányzattal kapcsolatos stratégiai tervei közül az „A 2011–2015 időszakra szóló európai elektronikus kormányzati cselekvési tervről az IKT az intelligens, fenntartható és innovatív kormányzat szolgálatában”11 című dokumentum egyúttal részét képezi a közösség információs

10

i2010 eGovernment cselekvési terv: az elektronikus kormányzat létrehozásának felgyorsítása a társadalom egészének javára COM(2006) 173 11 COM(2010) 743

30

társadalommal kapcsolatos politikáját 2020-ig meghatározó menetrendnek is12: eGovernment 2011-2015 cselekvési terv.

európai

digitális

Kiemelt célokat és ezek teljesüléséhez kulcsfeltételeket állapít meg. Átfogó célterületek:  felhasználók bevonása az interaktív elektronikus közszolgáltatások rendszerébe;  a közszféra adatvagyonának további felhasználása, akár üzleti céllal is;  a közigazgatási átláthatóságának javítása;  akadálymentes közigazgatási szolgáltatások vállalkozások számára;  határok nélküli közigazgatási szolgáltatások, egységes európai közigazgatási tér;  hatékonyságnövelés, ügyfelek adminisztratív terheinek csökkentése. A fenti célkitűzések feltételei:  Interoperabilitás és nyílt hálózati architektúra alkalmazása. Az interoperabilitás az összekapcsolt rendszerek és gépek képessége az adatok cseréjére, feldolgozására és megfelelő értelmezésére. Nem csak műszaki kihívásról van szó, az interoperábilis adatkezelésnek jogi, szervezeti és terminológiai szempontjai is vannak.  Elektronikus személyazonosítási (eID) technológiák fejlesztése és széles körű alkalmazása. Cél a tagállami elektronikus személyazonosítási megoldások kölcsönös elismerését lehetővé tevő európai szintű megoldás kialakítása.  Elektronikus hitelesítés, biztonságos dokumentumkezelés. Az elektronikus dokumentumok közigazgatási célú felhasználása megkívánja azok hiteles kezelésének biztosítását. Az országhatárokon átnyúló vagy éppen tagállamok szervezeti között kialakítandó elektronikus közszolgáltatások biztosítása érdekében biztosítani kell a összeurópai hitelesítési rendszer kidolgozását. Az „Európa 2020” (röviden: EU2020) az Európai Unió 2010-ben indított, tíz évre szóló növekedési és foglalkoztatási stratégiája. Az EU2020 kiemelt kezdeményezései között szerepel az e-közigazgatást is érintő Európai Digitális Menetrend (Digital Agenda for Europe) és Innovatív Unió. Az Európai Digitális Menetrend kezdeményezés a gazdasági és szociális előnyöket (illetve előnytelenségek felszámolását) a nagy sebességű internet elérhetőségére és az interoperábilis alkalmazásokra épülő egységes digitális piacra építi. A technikai lehetőségek kihasználásához a jogi alapok biztosítása, a határok közötti átjárhatóság, és - ez utóbbi érdekében különösen fontos - az egyes rendszerek interoperabilitása, együttműködési képességének megteremtése. A Digitális Menetrend e-közigazgatással kapcsolatos célkitűzései között szerepel, hogy:  2015-ig az uniós lakosság 50 %-a vegyen igénybe e-kormányzati szolgáltatásokat.  2015-ig legyenek online hozzáférhetők olyan határokon átnyúló alapvető közszolgáltatások, amelyek lehetővé teszik, hogy a vállalkozók származási helyüktől függetlenül Európa bármely országában vállalkozást hozhassanak létre és üzemeltethessenek, illetve bármely uniós polgár bármely európai uniós tagállamban tanulhasson, munkát vállalhasson, lakhasson és nyugdíjba vonulhasson.

12

COM(2010) 245

31

Az interoperabilitással összefüggő közösségi szintű célkitűzéseket és elvárásokat az EIS (Európai Interoperabilitás Stratégia) és EIF (Európai Interoperabilitási Keretrendszer) tartalmazza, amelyek bemutatására másik fejezetben kerül sor.

1.4.2

A magyar valóság…

Néhány tényadat a magyar információs társadalom és az e-közigazgatás helyzetéről. Hálózati hozzáférés és internethasználat A magyar háztartások döntő többsége számára elérhető valamilyen (vezetékes, kábeles, mikrohullámú, vagy mobil) szélessávú internet-szolgáltatás. Ennek ellenére a magyar lakosság és vállalkozások internet-használata komoly lemaradást mutat az uniós átlaghoz képest. A szélessávú penetráció mutatója (a 100 lakosra jutó előfizetések száma) 92 % körüli, 5,6 százalékponttal kisebb az Európai Unió átlagánál. Az elektronikus szolgáltatások elterjedése szempontjából meghatározó még a hálózatra csatlakoztatott háztartások száma és a rendszeres internethasználók lakosságon belüli aránya. Az Eurostat 2012. évi adatai szerint a magyar háztartások 68 százaléka, a vállalkozásoknak pedig 85 százaléka kapcsolódik szélessávon az internetre, ami elmarad az EU átlagától. A magyar lakosságnak 69 százaléka használja rendszeresen (legalább hetente) az internetet, a teljes lakosság 26 százaléka azonban még soha nem használta a világhálót, amivel le vagyunk maradva az EU-átlaghoz képest. Ez a mutatónk a legfejlettebb tagállamokénak mintegy négyszerese, tehát a digitális kirekesztettség hazánkban még mindig jelentős problémát jelent:

Internethasználat az európai lakosok körében 2012-ben (kék: rendszeresen; piros: alkalmanként; zöld: soha) 13

13

Digital Agenda Scoreboard – Country Presentation Hungary 2013. http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=2204 (Letöltve: 2014. április 19.)

32

E-közigazgatási szolgáltatások használata A magyar e-közigazgatási szolgáltatások legtöbb kínálati és keresleti mutatója elmarad az európai élvonaltól. Az internet-felhasználók körében is az uniós átlagnál alacsonyabb azok aránya, akik igénybe vesznek bármilyen elektronikus ügyintézést, és a legtöbben közülük is csak információkat gyűjtenek az interneten. Egyelőre a vállalkozások esetében is az egyirányú internetes ügyintézés dominál: a legnagyobb arányban nyomtatványok letöltéséhez veszik igénybe az ügyintézés e módját, míg második helyen az információgyűjtés szerepel.

forrás: NFÜ (Ariosz) A tranzakciós szolgáltatások (például elektronikus banki szolgáltatások, e-kereskedelem) használatát sokan tudatosan, mások ismeretek hiányában kerülik. A lemaradást annak ellenére el kell ismernünk, hogy az infokommunikációs technológiák fejlődésével egyrészt az ügyféligények jelentkeznek egyre határozottabban, másrészt a közigazgatás is felfogta, hogy folyamatainak – megfelelő – elektronizálása révén gyorsabb és takarékosabb (hatékonyabb) működést tud elérni. Az uniós statisztikák is tartalmazhatnak ellentmondásokat. Az Eurostat szerint az állampolgárok közigazgatási hatóságokkal történő internetes kapcsolattartása Magyarországon 37 %-os mutatóval, kicsivel a 41 %-os uniós átlag alatt foglal helyet. A Digitális Menetrend magyar fél által közölt adatai mindkettő számot valamivel 50 % fölé helyezi. Nagyságrendileg kijelenthető azonban az, hogy Magyarország a középmezőnyben foglal helyet.

33

A közigazgatási szervekkel elektronikus interakcióba lépő állampolgárok aránya 2012ben14 A távolmaradás legfontosabb okai  technikai problémák, negatív tapasztalatok;  az elektronikus ügyintézést nem tartják fontosnak;  személyes ügyintézést tekintik megbízhatónak;  felkészültség vélt vagy valós hiánya;  elérhető szolgáltatások hiánya;  biztonsági és adatvédelmi félelmek;  alacsony internet penetráció;  a digitális írástudás alacsony szintje, az internetes rutin hiánya;  idegenkedés a készpénzkímélő fizetési módokkal szemben. Szolgáltatások elérése Az Eurostat adatai szerint 2010-ben a lakosságnak nyújtott elektronikus közszolgáltatások 77 százaléka volt elérhető Magyarországon teljesen online módon (az uniós átlag ezt mintegy 4 százalékponttal haladta meg.) Hazánk a vizsgált 31 ország közül 19. helyen szerepel. A listavezető Ausztria, ahol a teljesen online hozzáférhető szolgáltatások aránya 100%. A vállalkozások számára teljes körűen online nyújtott e-közszolgáltatások aránya a csaknem 90 százalékos uniós átlaggal szemben hazánkban mindössze 50 százalék volt 2010-ben.

14

Digital Agenda Scoreboard – Country Presentation Hungary 2013. http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=2204 (Letöltve: 2014. április 19.)

34

Forrás: Digital Agenda Scoreboard 2012 Magyarországon a tananyag készítésekor interneten (magyarorszag.hu portálon keresztül) 318 közigazgatási szolgáltatás érhető el, amelyek közül 99 igényel Ügyfélkapun keresztül történő azonosítást, hitelesítést. A többi szolgáltatást ügyfélkapu regisztráció nélkül is elérhető. A közzétett statisztikák alapján az ügyfélkapu regisztrációt elváró szolgáltatásokat igénybevevők száma a magyarorszag.hu portálon az elmúlt években emelkedett, például három év alatt 32 %-kal, a 2010-es 73 millióról 2013-ra 97 millióra nőtt az Ügyfélkapun keresztül történő belépések száma, azonban továbbra is az adóügyek intézése történik a legnagyobb számban. A fejlődés feltételei, irányai Ahhoz, hogy elektronikus közigazgatási szolgáltatásaival az állam elérhesse a lakosságot, és a vállalkozásokat, több, egymással is összefüggő alapfeltételnek kell tehát megfelelni:  legyen biztosított az infrastrukturális és informatikai háttér;  kellő számban és minőségben álljanak rendelkezésre e-közigazgatási szolgáltatások;  megfelelő felkészültséggel és motivációval rendelkezzenek a szolgáltatások nyújtásában közreműködő közszolgálati tisztviselők;  a potenciális ügyfelek pedig legyenek tisztában e szolgáltatások elérhetőségével és előnyeivel. Az e-közigazgatási szolgáltatások számának és minőségének bővüléséhez, a minél magasabb szintű elektronikus szolgáltatások nyújtásának feltételeit jelenleg leginkább az elektronikus fizetés elterjedésében, az ügyfél-azonosítási megoldások szélesítésében, a nyilvántartások átjárhatóságának megoldásában láthatjuk. Ezek egy részéhez már kifejlesztette a közigazgatás a saját megoldását, de az esetleg gyerekcipőben jár, egy részük pedig jelenleg tervezés vagy fejlesztés alatt áll. Mégis olyan egymással is összefüggő elemek, amelyek megléte vagy hiánya a másikra kihatással van.

35

Az ügyfél-elégedettség, a vállalkozások életének könnyebbé tétele érdekében, és nem utolsósorban a saját működésének megreformálását célozta a Magyary Zoltán Közigazgatás-fejlesztési Program, amelyről a következő fejezetrészben lesz szó. Érdekességképpen álljon itt egy ábra, amely azért bizonyos területeken az internetes tartalom magas használatát jelzik.

Forrás: Digital Agenda Scoreboard 2012

1.4.3

… és a magyar nemzeti stratégiák alakulásának bemutatása

Nézzük, hogy az aktuális mutatókhoz milyen úton jutott el a magyar közigazgatás, és milyen tervekkel rendelkezik a jövőre nézve. 1990-ig az Elektronizációs Gazdasági Program (EGP) igyekezett a közigazgatás alaptevékenységeit összhangba hozni az informatikával. Ennek eredményeképpen jöttek létre hazánkban az elektronikus alapnyilvántartások, a jelenlegi központi nyilvántartásaink, többek között ilyen a népesség-, bűnügyi-, járműnyilvántartás. A rendszerváltás az első átfogó programot az 1995-ben megjelent NIS (Nemzeti Informatikai Stratégia) jelentette, melyben 22, nagyrészt európai uniós dokumentumokból átemelt cél fogalmazódott meg. Önálló kezdeményezéssel nem igazán találkozhatunk ebben a stratégiában. Az első kormányzati szintű stratégia a Nemzeti Információs Társadalom Stratégia volt (NITS, 2001). A NITS alapelvei az infrastrukturális alapok (biztonság, képzés) ügyében, a jogi és társadalmi háttér alakításában (esélyegyenlőség) valamint a kutatásfejlesztés fontossága mellett is állást foglaltak. A Magyar Információs Társadalom Stratégia (MITS, 2003) részét képezi az eKormányzat 2005 program. A MITS programjai között szerepel a Kiemelt Központi Program (KKP), az Ágazati Kiemelt Program (ÁKP), ekkor történt meg a front-office és a back-office tudatos szétválasztása. Az e-Kormányzat 2005 készítésének alaphangulatát az uniós országokhoz történő felzárkózás szükségessége adta (eEurope 2005), és a belső bizalmatlanság és elégedetlenség a bürokratikus közigazgatási működéssel szemben. Ezek egy rohamosan

36

fejlődő technológiai környezetben a hatékony, olcsó és átlátható szolgáltató állam igényének megjelenése mellett meghatározták a MITS részstratégiájának célrendszerét:  a közigazgatás és az igazságszolgáltatás átfogó szerkezeti és folyamati reformja, ügyfélközpontúság;  technológiai modernizáció;  az elektronikus szolgáltatások mennyiségi és minőségi kiszélesítése (törekvés a korábban bemutatott 3-4. szintű szolgáltatások bővítésére), az innováció ösztönzése a front-office és back-office területeken;  e-demokrácia, civil kontroll és együttműködés, nyilvánosság, hatékonyságnövelés. A fenti célrendszer érdekében végzett tevékenység központi összehangolását a 2003ban létrehozott Miniszterelnöki Hivatal Elektronikus Kormányzati Központ (MEH EKK) látta el. Az eKormányzat 2005 program szolgál alapjául a később elkészült E-közigazgatás 2010 Stratégiának (2007). Ebben először jelennek meg hangsúlyosan a következő hívószavak: ügyfélbarát szolgáltatások, proaktív szolgáltatások, az ügyféligények feltérképezése és ismerete, a háttérrendszerek összehangolása, elosztott – integrált szolgáltatások. A fejlesztési források tekintetében a nemzeti forrásról az uniós források felhasználására tolódott át a hangsúly: az Új Magyarország Fejlesztési Terv EKOP (Elektronikus Közigazgatás Operatív Program) és ÁROP (Államreform Operatív Program) operatív programjaira. A stratégia kihívásai:  a közigazgatás működési problémái (belassult, nem megújuló szervezet- és folyamatrendszer, minőségileg nem megfelelő elektronizáltság);  a leggyakrabban keresett szolgáltatások teljes elektronizálásának kényszere;  az elektronikus fizetés szükségessége ezek megvalósításához;  szigetszerű megoldásokon, egyedi technológiákon futó háttérrendszerek;  alulmotiváltság és szervezeti ellenállás;  a többcsatornás ügyintézés technológiai, szabályozási és ügyviteli kérdései. A stratégia jövőképe által felvázolt fő fejlesztési területek a következők:  ügyfélközpontú megközelítés,  bürokráciacsökkentés,  többcsatornás ügyintézés,  új elektronikus alapú működés a közigazgatásban,  integrált ügyfélszolgálat, integrált központi infrastruktúra. Az elmúlt uniós költségvetési időszak (2007-2013) közigazgatás-fejlesztési forrásait dedikáltan az ÁROP és az EKOP jelentették, ebből az EKOP az e-közigazgatási célú fejlesztésekét. Ezek az operatív programok megpróbálták a közigazgatás-fejlesztés területét és céljait jól körülhatárolni, és kijelölni az alapvető irányokat. ÁROP 1. prioritás ÁROP 2. prioritás EKOP 1. prioritás EKOP 2. prioritás

közigazgatási funkciók fejlesztése humánerőforrás fejlesztése back-office fejlesztések front-office fejlesztések

37

Az ÁROP és EKOP célrendszerét, prioritásait, és az utóbbi időszak jelentősebb projektcéljait az alábbi ábra szemlélteti.

A 2010. év után átfogó ágazati stratégiai programok születtek (Magyary Zoltán Program, Moór Gyula Program, Darányi Ignác Terv). A Magyary Zoltán Közigazgatásfejlesztési Program gördülő tervezéssel a közigazgatás komplex javító csomagját fogalmazta meg, és az e-közigazgatást a közigazgatás-fejlesztés eszközeként kezelte (a Magyary Program 11.0 és 12.0 a továbbiakban: MP 12.0). Az MP 12.0 a Jó Állam fejlesztési program részeként 4 fő területen jelöli meg a beavatkozás szükségességét: 1. szervezet – 2. feladat – 3. eljárás – 4. személyzet. Az MP 12.0-ban nem önálló fejlesztési terület az e-közigazgatás, hanem a közigazgatás működésének fejlesztésére vonatkozó törekvések eszközének tekinti, ezért önálló stratégiát nem rendel hozzá. Az e-közigazgatás alapvető céljait tekintve (az ügyfélbarát, ügyféli igényeket kielégítő szolgáltatások és szükséges központi szolgáltatások nyújtása, hatékonyan, biztonságosan stb.) ez teljes mértékben elfogadható. Az MP 12.0 keretében a „Jó Állam Fórumon” összegyűjtött állampolgári javaslatok három fő igény köré csoportosultak az e-közigazgatás szempontjából: 1. hiteles elektronikus ügyintézés; 2. elektronikus adatigénylés, tájékozódás, nyilvánosság; 3. egyablakos ügyintézés, rendszerek átjárhatósága, rendelkezések/felhatalmazások nyilvántartása.

38

Maga a Magyary-program a fő állampolgári igények mentén az nyolc területen tartotta szükségesnek a közigazgatási működés elektronikus alapú megújítását.

Forrás: MP 12.0 A hatékony közigazgatás érdekében végrehajtott szervezeti és szerkezeti átalakulások, a járási rendszer kialakítása, az állam intézményfenntartó szerepének megerősítése stb. mindegyre folyamatosan új környezetet alakítottak ki a közigazgatási informatika számára. Ezt az infrastruktúra hamar le tudja követni, azonban az új értelemben kezelt e-közigazgatás csak átgondolt fejlesztéseket követően tud hatékonyan támogatni. Különösen igaz ez a forrásszegény időkben, amikor a fejlesztések fő forrása kizárólag közösségi pénzeszköz. A Közigazgatási és Igazságügyi Minisztérium 2011-ben végrehajtotta a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL. törvény (Ket.) reformját, megteremtve az elektronikus ügyintézés szükséges eljárási elemeit, garanciáit. A Ket. végrehajtási rendeletei az elektronikus úton nyújtott szolgáltatások részletszabályait alkották meg, új irányt szabva és tartalmat adva az interoperabilitási törekvéseknek. A Digitális Megújulás Cselekvési Terv (a továbbiakban: DMCST) nem ágazati program, hanem az információs társadalom stratégiája, és mint ilyen inkább horizontális célokat fogalmazott meg. Az MP 12.0 és a DMCST az EU-s stratégiákkal összhangban lévő dokumentumok. Az MP 12.0 az ügyviteli folyamatok oldaláról, a DMCST infrastrukturális oldalról közelítette meg az e-közigazgatás témakörét, de bizonyos átfedéseket tartalmaznak. A DMCST négy fő területre koncentrál stratégiájában 1. Az állampolgárok esélyegyenlőségének biztosítása (digitális írástudás, felnőttképzés, hozzáférhető és széleskörű tartalomkínálat, távmunka, új iparágak, civil kontroll bevonása stb.) 2. A vállalkozások versenyképességének növelése (digitális írástudás, IKT szakemberállomány növelése és új IKT munkahelyek, a KKV-k belső és külső elektronizálása, adminisztrációs terhek csökkentése, innováció támogatása) 3. A modern közigazgatási informatika tényleges megteremtése (bizalom, valós igények teljesítése, csökkenő bürokrácia, többcsatornás szolgáltatások, közhiteles és

39

pontos nyilvántartások, elektronizálás az egészségügyben, a közbiztonság helyreállításában, közbeszerzéseknél). 4. Az informatikai infrastruktúra fejlesztése (teljes szélessávú lefedettség, közintézmények szolgáltatáselérése, mobil szélessávú lefedettség bővítése, logisztikai infrastruktúrák fejlesztése, IKT eszközök a környezetvédelemben, kritikus infrastruktúrák védelme). A terv egyik legfontosabb pillére a fentiek alapján egyértelműen az infokommunikációs infrastruktúra. A DMCST hibájaként azt lehet megemlíteni, hogy készítésekor nem volt mögötte a megalkotó birtokában a konkrét közigazgatási átszervezés tervének, elvárt és megvalósuló eredményének ismerete (mind a szerkezeti-szervezeti, mind a folyamatokat érintő Magyary Program Egyszerűsítési Programja), ezért azokra nem tud reagálni. Az MP 12.0 pedig nevében is jelezve az aktuális évszámot, mégsem tudott az eredeti szándékok szerint a változások gördülő követését éves megjelenéssel dokumentálni. Magyarország aktuális Nemzeti Infokommunikációs Stratégiáját a 1069/2014. (II. 19.) Korm. határozatban tették közzé. A NIS jellemzően nem csak e-közigazgatási, hanem információs társadalmi kihívásokra is választ kíván adni. A Stratégia részben megalapozza a 2014-2020 közötti infokommunikációs célú fejlesztéseket, amelyeket döntően a Gazdaságfejlesztési és Innovációs Operatív Program (GINOP) Infokommunikációs fejlesztések prioritása finanszíroz. Megemlítendő ugyanakkor, hogy a klasszikus értelemben vett e-közigazgatási fejlesztések meghatározó forrásaként megjelenik a Közigazgatás- és Közszolgáltatásfejlesztés Operatív Program (KÖFOP) is, amely egyrészt szintén a NIS-en, másrészt az MP 12.0 tapasztalatain alapul. A GINOP és a KÖFOP a tananyag készítésének idején véglegesítés alatt áll. A Magyary Program új változatának tervezete szerint az elektronikus közigazgatás az egyes ágazatok, szakterületek integrált fejlesztésével valósítható meg. Középtávú tervezés szempontjából a két fő fejlesztési terület:  az interoperabilitás biztosítása a közigazgatásban;  e-közigazgatási szolgáltatások fejlesztése.

1.5 Az e-közigazgatás aktuális rövid- és középtávú fejlesztési irányai A következő fejezet az e-közigazgatás célterületeiről ad átfogó képet, és bemutatja az eközigazgatás meghatározó szereplőit.

1.5.1

E-közigazgatási szolgáltatások fejlesztése

Az e-közigazgatási fejlesztések kiemelt célját (továbbra is) a közigazgatás hatékony és olcsó működtetésére, illetve a lakosság és a vállalkozások bürokratikus terheinek csökkentésére vonatkozó igények alkotják. Ezekre a célokra az elmúlt évtizedben hazánk is jelentős költségvetési és uniós forrásokat fordított. A jól kialakított e-közigazgatási szolgáltatások valamennyi érintett (állam, vállalkozások, lakosság) számára előnyösek, ezeknek a fejlesztéseknek a versenyképességre, esélyegyenlőségre és életminőségre gyakorolt hatása egyaránt pozitív lehet.

40

Az elsődleges cél megteremteni a hatékony szolgáltatások lehetőségét, valamint felhasználóbarát elektronikus szolgáltatásokat fejleszteni és bevezetni. Egységes, minden digitális platformon hozzáférhető e-közigazgatási szolgáltatásoknak kell létrejönniük: 

magas szintű és korszerű lakossági és vállalati e-szolgáltatások bevezetése (eügykövetés, elektronikus számlázás, felhő alapú központosított ügyintézési rendszerek, e-demokrácia megoldások);



back-office (központi és területi államigazgatási rendszert) belső folyamatokat támogató informatikai szolgáltatások (belső hatékonyság javítása, informatikai rendszerek konszolidációja);



ágazati intézményrendszerek belső és külső folyamatainak informatizálása;



állami nyilvántartások korszerűsítése szintekre történő besorolása).

(interoperabilitás,

a

nyilvántartások

Az interoperabilitás megvalósítására törekvő fejlesztések bázisán azonban olyan szolgáltatások nyújtására nyílik lehetőség, melyek által elektronikus szolgáltatások magasabb szinten és (költség)hatékonyabb módon valósulhatnak meg. 1.5.2

Elektronikus közigazgatás háttér infrastruktúra fejlesztései

Az e-közigazgatás megszervezéséhez és fejlesztéséhez elengedhetetlenül szükséges az infrastrukturális kapacitások biztosítása. Mind infrastrukturális, mind üzemeltetési, mind pedig fejlesztési szempontból képesnek kell lenni a hagyományos IT-szolgáltatások és a várhatóan egyre több területen elterjedő felhőalapú megoldások stabil és megbízható nyújtására. Alkalmazásszolgáltató központok (ASP, Application Service Provider) és szoftver-szolgáltatások (SaaS, Software as a Service) létrehozása, a meglévő szolgáltatási kör bővítése fontos cél. Az alapvető infrastruktúra fejlesztésével párhuzamosan az informatikai biztonság, a hálózatbiztonság javítása is elengedhetetlen. Fontos szempont még a járási rendszer kialakításának részeként a kormányablakügyfélszolgálatokon intézhető ügyek számának növelését lehetővé tevő infrastrukturális fejlesztések megvalósítása, a hatósági eljárások elektronizáltságának növelése (a hatósági ügytípusok azonnali intézését lehetővé tevő szakrendszerek bevezetése). 1.5.3

Szabályozott elektronikus ügyintézési megvalósítása, alkalmazásuk elterjedése

szolgáltatások

(SZEÜSZ)

Az e-közigazgatás érdemi megjelenése a 2001-es kormányzati portálhoz köthető. Ekkor még csak tájékoztatásról, űrlapletöltésről, ügyindításról beszélhettünk. Az érdemi ügyintézés feltételrendszerét a Ket. tette lehetővé, 2005. november 1-től. A Ket. logikája szembement a korábbi, papír alapú ügyintézési gondolkodással és az elektronikus ügyintézést próbálta bevezetni. 2009 szeptemberéig az elektronikus aláírással próbálták az ügyintézés jogi relevanciáját biztosítani, de ez a kísérlet kudarcba fulladt, az elektronikus aláírás nem terjedt el a hétköznapi ügyintézésben a közigazgatáson belül.

41

Az ügyfélkapu egyenlővé tette a rajta keresztül elektronikusan igénybe vett szolgáltatásokat a papír alapú ügyintézéssel. A 2009. évi szabályozások alapvetően egy központosított modellt kívántak érvényesíteni az elektronikus közszolgáltatások tekintetében. A Központi Elektronikus Szolgáltató Rendszer és a hozzá kapcsolódó „ügynet-modell” az Elektronikus Kormányzati Gerinchálózaton (EKG), és kapcsolódó centrális szolgáltatások központi üzemeltetésén alapult. A Ket. 2011. évi módosítása jelentősen módosította az elektronikus ügyintézésre vonatkozó szabályokat. Az informatikai rendszer helyett az informatikai megoldással biztosítandó szolgáltatást helyezte a középpontba. A Ket. és a 2012-ben kihirdetett végrehajtási rendeletei eljárás-centrikus szabályozást hoztak (szemben a korábbi modellel, amely az informatikai megoldáshoz kívánta igazítani a folyamatokat). A program- és technológia független, illetve decentralizált modellel új irányt adtak az elektronikus ügyintézésnek és a kapcsolódó szolgáltatásoknak. Megalkották a szabályozott elektronikus ügyintézési szolgáltatások (SZEÜSZ) rendszerét, amelyek olyan elektronikus szolgáltatások, amelyek működését az állam maga kívánja szabályozni, és ezek egy részét maga szolgáltatja. Az e-közigazgatás alapvető működéshez szükséges szolgáltatások tartoznak ide. A SZEÜSZ-rendszer a közigazgatás egységes, összehangolt rendszerként történő működését célozza meg, bemutatásával a tananyag külön fejezete foglalkozik. 1.5.4

Interoperabilitás (IOP)

Ha két rendszert összekapcsolunk, elkerülhetetlen annak vizsgálata, hogy a két rendszer együtt tud-e működni, és ha igen, akkor milyen mértékben, milyen szinten. A modulszerűen felépülő e-közigazgatási megoldások csak abban az esetben tölthetik be küldetésüket, ha biztosított az egyes modulok zavartalan, tökéletesen illeszkedő együttműködése. A rendszerek közötti együttműködés a hatékonyság kulcsa. Az interoperabilitás (közkeletű rövidítéssel: IOP) az együttműködés alapja. Az interoperabilitás feltételeinek megteremtéséhez elengedhetetlen az állami nyilvántartások egységesítése, a redundancia (adatok többszörös nyilvántartásának) csökkentése, együttműködési képesség növelése (adatátadás és –fogadás, valamint egyértelmű feldolgozásának, vagyis az egyező módon értelmezés képessége), és etalon közhiteles adatbázisok kialakítása, a technikai és tartalmi feltételek megfogalmazása. A különbözőségek kialakulása szinte már törvényszerű volt, hiszen az informatikai igények az egyes szervezeteknél eltérő időben jelentkeztek (más fejlettségi szint, más technológiai lehetőségek és megoldások), más szervezeteknél, nem összehangoltan, ugyanarra vagy hasonló a problémára más megoldással reagálva. Az interoperabilitás mind az uniós, mind a hazai e-közigazgatási feladatrendszerben kiemelt prioritású terület, hiszen ez garantálja a szabványosságot és az átjárhatóságot mind államon belül, mind tagállamok adminisztrációi és szolgáltatásai között. Az együttműködést a leghatékonyabban szabványok megalkotásával lehet elérni, amelyek rögzítik a minél magasabb szinten történő együttműködés feltételeit. Az eEurope 2005ben fogalmazódik meg először az Európai Interoperabilitási Keret (EIF) felállítása, mely ajánlásokat és irányelveket rögzít az e-kormányzati alkalmazásokhoz. Az interoperabilitás öt szintje az EIF-ben: politikai, jogi, szervezeti, szemantikai, technikai:  politikai szinten a partnerek vagy felek együttműködésének összehangolását;

42

   

jogi kontextusban a partnerek működését meghatározó jogszabályok egymáshoz történő közelítését; a szervezeti szinten az érintettek egyeztetett folyamatait; szemantikai a fogalom- és adatértelmezések egyértelműsítését és műszaki tekintetben az érintett rendszerek kapcsolódásának technikai kérdéseit értjük.

Interoperabilitási szintek Az interoperabilitásnak a jól (együtt)működő rendszerek önösnek tűnő célján kívül számos közigazgatás-technológiai érve van: 

Fontos, hogy a közigazgatási szervek az ügyfelek felé egységes képet mutassanak. Ezt nem csupán a felszínen, hanem a háttérben is biztosítani kell. Az átlátható és kiszámítható közigazgatásban az azonos funkciójú ügymenetek azonosan folynak le.



Jogszabályok kimondják, hogy az állampolgárt nem szabad terhelni indokolatlan adatbekérésekkel. Ha a hatóság számára valamilyen formában rendelkezésre állnak az adatok (számára elérhető és érthető módon), úgy ezt fel kell használnia, és tehermentesítenie az ügyfelet.



A központi interoperabilitási szabványok leveszik a terhet az intézmények válláról, hiszen így nem kell minden egyes intézménynek megállapodást kötnie az adatcserében érdekelt másik intézményekkel, hanem csupán be kell tartania egy központi előírást vagy ajánlást.



Az együttműködő rendszerek az adatmigrálás kérdését is megkönnyítik.

43



Az interoperábilis rendszerek dinamikusabban fejlődnek (a rendszer elemeit egymáshoz igazodó fejlesztési kényszer nyomja), gyorsabbak, ennélfogva üzemeltetésük és fejlesztésük is olcsóbb.



A feladatdelegálás infrastrukturális hátteréhez az interoperabilitás biztosítása nélkülözhetetlen.

Az interoperabilitás a 2014-2020-as uniós költségvetési tervezés során az eközigazgatási prioritások meghatározásának egyik hívószava is. Fő célkitűzés az alapvető elektronikus szolgáltatások határokon átnyúlása, a kölcsönös tájékoztatás. Jelen tananyag készítésekor 11 uniós tagország már képes személyazonosító elektronikus adatokat cserélni egymással, míg akadnak olyan országok is, amelyek fizetési meghagyások és elektronikus számlák cseréjére is képesek. A magyar jogalkotó az állami és önkormányzati nyilvántartások együttműködésének általános szabályairól szóló 2013. évi CCXX. törvénnyel megalkotta az interoperabilitási keretszabályozást. A törvény kialakítja a nyilvántartók és nyilvántartások közötti interoperabilitás szabályozásához szükséges egységes fogalomrendszert, meghatározza a nyilvántartók interoperabilitáshoz kapcsolódó kötelezettségeit és jogosultságait, kialakítja a nyilvántartók és a nyilvántartások interoperabilitási szempontú felügyeletének rendszerét, létrehozza a nyilvántartások interoperabilitási célú nyilvántartását, a nyilvántartások regiszterét és standardizált fogalmak jegyzékét. Már a 2007-2013-as programozási időszakban is kiemelt cél volt a rendszerek átjárhatósága, az EKOP és ÁROP keretében megvalósult projektek részben már hozzájárultak az interoperabilitás megteremtéséhez. Ezt a megkezdett utat kell minden tekintetben folytatni. Az eredeti tervek szerint a 2014-es év során a döntéshozó kijelöli az elsődleges nyilvántartásokat, majd 2015-ben technikailag is felkészül a napi adatmódosítások kezelésére. 2015 folyamán összekapcsolódnának a közigazgatási nyilvántartások. Ennek eredményeképpen a rendszer 1-2 napos átfutási idővel képes lesz szinkronizálni az adatmódosításokat. Az interoperabilitás fejlesztésével összhangban a kormány kinyilvánította szándékát a nyílt forráskódú megoldások magyar közigazgatásban történő elterjedtségének növeléséről is.

1.5.5

Nyílt forráskódú szoftverek alkalmazása a közigazgatásban

A nyílt forráskód lényege a megismerhetőség. A nyílt forráskódú szoftverek felhasználhatóak ugyan kereskedelmi forgalmú termékek kifejlesztéséhez, de az így keletkezett termékek forráskódját is közkincsé kell tennie a fejlesztőnek. A nyílt, vagy más néven szabad szoftverek szabadsága négy dolgot jelent: 1. Jogot arra, hogy a programot bármilyen céllal, bárki futtassa. 2. Jogot arra, hogy a programot bárki tanulmányozza, átalakítsa, ennek érdekében, annak forráskódját elérje.

44

3. Jogot arra, hogy bárki másolatot tegyen közzé a többi felhasználó segítése érdekében. 4. Jogot arra, hogy a programot bárki tökéletesítse, a továbbfejlesztett változatot közzétegye, annak forráskódjával együtt. Napjaink kormányzati szándéka szerint a nyílt forráskódú megoldások elterjedtségét emelni kívánják a közigazgatásban, egyrészt költségcsökkentési céllal, másrészt a zárt rendszerektől és külső szállítóktól való függőség csökkentése érdekében. A deklarált cél elérése azonban lassan tud csak megvalósulni. Kiemelendő, hogy a Közigazgatási és Igazságügyi Minisztérium 2012 végén EU-s támogatással létrehozta az E-közigazgatási Szabad Szoftver Kompetencia Központot, amelynek célja a szabad szoftverek e-közigazgatási, illetve általánosságban intézményi és vállalati felhasználási lehetőségeinek vizsgálata és elősegítése. http://szabadszoftver.kormany.hu/

1.5.6

Az elektronikus aláírás közigazgatási használatának elterjedéséről

Az elektronikus aláírás közigazgatási, hivatali célú használata (a természetes személyek privát ügyeinek intézése során) alacsony mértékű. Csak elszórtan, illetve jellemzően jól automatizálható belső folyamatokban, eljárásokban fordult elő (pl. hivatalos lapok – Közlöny, Értesítő – kiadása), továbbá közigazgatáson kívüli, de „hivatali” szereplők esetében (közjegyzők, ügyvédek, végrehajtók). Ennek több oka is volt, amelyek közül a szolgáltatás költségigényét kell megemlíteni, vagy a papír alapú közigazgatási ügyintézés bürokratikus szemléletének beragadását. A Kormány az elektronikus aláírás közigazgatási használatának elterjedése, elterjesztése érdekében egyrészt az az elektronikus aláírásról szóló 2001. évi XXXV. törvény (a továbbiakban: Eat.) felhatalmazása alapján a 78/2010. (III. 25.) Korm. rendeletben meghatározta az elektronikus aláírás közigazgatási használatához kapcsolódó követelményeket és az elektronikus kapcsolattartás egyes szabályait. A Kormány másrészt felismerte, hogy igény van kormányzati szolgáltatóra a piaci helyett. Az új tanúsítványok a tervek szerint olcsóbbak, egységesebbek és szélesebb körben alkalmazhatóak. Az állam a piaci szolgáltatások igénybe vételétől függetleníteni kívánva magát saját, kormányzati hitelesítés-szolgáltatást valósít meg. A kormányzati hitelesítés-szolgáltatást (GOV CA) mint SZEÜSZ-t tervezetten a NISZ Zrt. fogja nyújtani (szűk körben már jelenleg is nyújtja). A NISZ Zrt. a piaci szolgáltatók kvázi konkurenciájaként azért jelent meg, hogy a jellemzően állami szervezetek és intézményeik számára az Eat-ban meghatározott szolgáltatások közül a következőket nyújtsa:  elektronikus aláírás hitelesítés-szolgáltatás,  aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése,  időbélyegzés szolgáltatás. Erre a NISZ Zrt-t a Ket. végrehajtási rendelete jelöli ki [84/2012. (IV. 21.) Korm. rendelet az egyes, az elektronikus ügyintézéshez kapcsolódó szervezetek kijelöléséről]. Határozott cél a hiteles elektronikus dokumentumküldés megvalósítása, amelynek egyik eszköze a fent említett NISZ elektronikus aláírás és kapcsolódó szolgáltatások széles körű elterjedése lehet.

45

Ugyanakkor jelezni kell azt is, hogy a hiteles dokumentumküldéshez számos SZEÜSZ kapcsolódik. Jellemzően az ügyfelek által történő használat céljából például az azonosításra visszavezetett dokumentumhitelesítés (lásd részletesen a SZEÜSZ-ökkel foglalkozó anyagrészben). 1.5.7

Az e-közigazgatási irányítása, a fejlesztések két nagy szereplője

Az e-közigazgatás célrendszere átalakult a 2010. évi kormányváltást követően, amikor a közigazgatási informatika területét két részre bontották és két külön miniszter irányítása alá rendelték. 2010-től az e-közigazgatás kifejezés elhatárolták az infrastrukturális feladatok ellátásától. Előbbit a Közigazgatási és Igazságügyi Minisztérium (lásd MP 12.0), utóbbit a Nemzeti Fejlesztési Minisztérium (lásd DMCST) irányította. A 2014. évi választásokat követően a kormányzati szerkezet kis mértékben ismét átalakult. A Kormány tagjainak feladat- és hatásköréről szóló 152/2014. (VI. 6.) Korm. rendelet alapján Közigazgatási és Igazságügyi Minisztérium e-közigazgatással kapcsolatos feladatrendszere, illetve a Nemzeti fejlesztési Minisztérium a közigazgatási informatika infrastrukturális feladatai a Belügyminisztériumnál egy helyen összpontosultak. A jelenlegi magyar elektronikus közigazgatási rendszer két bástyája a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala (KEKKH) és a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. (NISZ Zrt.). Ez a két szervezet alaprendeltetése és feladatrendszere okán is meghatározó, de kiemelt szerepet kaptak a SZEÜSZ-ök megvalósításában is.15 Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala 2007. január 1. napjával jött létre a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala. Fő bázisa a Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatal volt. A KEKKH központi hivatal, amelyet a közigazgatási informatikáért (eközigazgatásért) való felelőssége körében jelenleg a belügyminiszter irányít. Rövid általános felsorolással a KEKKH témánkhoz kapcsolódó feladat és hatáskörei a következők:  személyiadat- és lakcímnyilvántartáshoz kapcsolódó ügyek;  elektronikus anyakönyvi rendszer adatkezelő szerve;  útlevélügyek;  bűnügyi nyilvántartások vezetése, adatszolgáltatás és hatósági erkölcsi bizonyítvány kiállítása, hatósági erkölcsi bizonyítványt kiállítása;  választási informatikai feladatok;  közúti közlekedési igazgatási feladatok, közúti közlekedési nyilvántartás, gépjármű-felelősségbiztosítási nyilvántartás;

15

A két kiemelt szereplőn kívül meghatározó még a Magyar Posta a Hibrid kézbesítési és konverziós rendszer kialakítása, illetve a közigazgatási célú biztonságos elektronikus kézbesítés megvalósítása miatt. Ezekkel a Posta olyan szolgáltatásokat teremt, amelyek lehetővé teszik az ügyfelek számára a hiteles kézbesítést a közigazgatási eljárási folyamatokban akár elektronikus, akár hagyományos módon történő postázás során.

46



okmányokkal, hatósági igazolványokkal kapcsolatos további első fokú hatósági feladatok;  informatikai biztonsági és rejtjelezési feladatok;  irányítási és felügyeleti feladatok; fővárosi és megyei kormányhivatal járási hivatalainak szervezeti egységeiként működő okmányirodák feladatai ellátásának felelőssége; szakmai irányítás gyakorlása a fővárosi és megyei kormányhivatalok törzshivatala és szakigazgatási szerveinek, valamint a fővárosi és megyei kormányhivatal járási hivatalainak törzshivatala és szakigazgatási szervei informatikai tevékenysége felett. Mindehhez kapcsolódóan, illetve ezekre épülve a KEKKH számos SZEÜSZ fejlesztési és működtetési feladatát is megkapta. NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. A NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. (rövid nevén NISZ Zrt.) 2011 óta létezik, jogelődje a KOPINT-DATORG ZRt. A vállalat fő tevékenysége teljes körű infokommunikációs szolgáltatások nyújtása. Legnagyobb megrendelői államigazgatási szervek és országos hatáskörű intézmények, de gazdálkodó szervezetek, vállalkozások és magánszemélyek is igénybe veszik egyes szolgáltatásait. A NISZ Zrt. stratégiai feladatai között első helyen a  kormányzati informatikai infrastruktúra működtetése,  e-közigazgatási megoldások támogatása, valamint  kormányzati szintű alap és emelt szintű informatikai szolgáltatások állnak. A NISZ Zrt. által üzemeltetett Központi Rendszer a hazai elektronikus kormányzati szolgáltatások centrális hálózata. A Kormányzati Portál (www.magyarorszag.hu) az elektronikus kormányzati szolgáltatások centruma, melynek főbb profilja:  az ügyfélkapu működtetése, kapcsolódó ügyfélszolgálat támogatása;  köz- és államigazgatási információk gyűjtőhelye;  e-szolgáltatások gyűjteménye;  állampolgári közszereplést biztosító, személyes azonosításon alapuló fórum;  hivatali kapu működtetése, teljes körű infokommunikációs szolgáltatások nyújtása az állami intézmények számára (hivatali kapu). Az Ügyfélkapu a magyar kormányzat elektronikus ügyfélbeléptető és azonosító rendszere. Segítségével a felhasználók biztonságosan és hitelesen léphetnek kapcsolatba a hatóságokkal, közigazgatási szervekkel és ügyeiket elektronikusan intézhetik. A portál felhasználóinak száma milliós nagyságrendű, a Magyarországon nyújtott elektronikus kormányzati szolgáltatások túlnyomó része már elérhető ezen a rendszeren keresztül. A hatóságok egymás közötti és állampolgárokkal történő hiteles elektronikus kommunikációjának megteremtése kiemelt jelentőségű feladat a kormányzat és az egész közigazgatás számára. E feladat megvalósítására a Központi Rendszer kínál megoldást a hivatali kapu segítségével.

47

A NISZ szintén megkapta számos SZEÜSZ fejlesztési és működtetési feladatát, amelyek egyes esetekben fenti szolgáltatási körének átalakulását (kibővítését) is jelentik.

48

2

Szabályozott elektronikus elmélete és gyakorlata

ügyintézési

szolgáltatások

2.1 A magyar elektronikus ügyintézés átalakításának főbb lépései 2.1.1

Történeti áttekintés

Az elmúlt évek számítástechnikai fejlődése, az internet, az infokommunikációs technológiák és eszközök széleskörű elterjedése és alkalmazása megváltoztatta az emberek gondolkodásmódját. Az állampolgárok egyre nagyobb része intézi vásárlásait, banki ügyeit az internet segítségével, tájékozódik online csatornákon. E szemléletváltás hozta magával az elektronikus ügyintézés iránti igény megjelenését a közigazgatási hatósági ügyek vonatkozásában is. A közigazgatás elektronizálása iránti társadalmi elvárás egybeesik az infokommunikációs technológiák fejlődésével, amely lehetővé teszi azt, hogy az állam is megtegye a hatékonyabb, gyorsabb és takarékosabb elektronikus közigazgatás megteremtéséhez szükséges lépéseket. Ezzel nem csupán a lakosság elégedettségét, hanem a vállalkozások hatékonyságát, nemzetgazdasági szinten pedig a versenyképesség növelését is szolgálja. Ezzel összhangban tűzte ki célul a Kormány által 2011-ben elfogadott Magyary Zoltán Közigazgatás-fejlesztési Program a hatékony közigazgatás megteremtését. A program világossá teszi azt is, hogy a hatékony nemzeti közigazgatás megteremtéséhez nélkülözhetetlen az elektronikus szolgáltatások fejlesztése. A magyar kormány több dokumentumban (köztük a Magyary Programban) elkötelezte magát a „jó állam” megvalósítása mellett. Ez a hatékony, költségtakarékos és ügyfélbarát állam elképzelhetetlen e-közigazgatási szolgáltatások nélkül. Az elektronikus közigazgatási szolgáltatások megjelenése nemcsak az állampolgárok és vállalkozások számára nyújt előnyöket a gyorsabb, olcsóbb és átláthatóbb, ezáltal ellenőrizhetőbb ügyintézés miatt, hanem magát a közigazgatás gépezetét is beolajozzák: a hatóságok közötti folyamatok egyszerűbbé és átláthatóvá válnak, így a közigazgatás is képessé válik hatékony és minőségi szolgáltatások nyújtására. Az ügyfélbarát e-közigazgatási szolgáltatások biztosításának jogszabályi hátterét a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló, 2004. évi CXL. törvény (a továbbiakban: Ket.) többszöri módosítása, valamint a kapcsolódó végrehajtási szabályok elfogadása teremtette meg. Az alábbiakban rövid áttekintést adunk az elektronikus ügyintézésre vonatkozó szabályozás kialakulásáról a közigazgatásban. A Ket. szabályozását megelőzően csak kivételes módon volt lehetőség elektronikus ügyintézésre, a Ket.-et megelőző közigazgatási eljárási törvény nem tartalmazott elektronikus ügyintézésre vonatkozó önálló fejezetet. A Ket. elfogadásával kapott hangsúlyt a szolgáltató állam fogalma, azzal a jogalkotói szándékkal, hogy az elektronikus ügyintézést a hagyományos ügyintézéssel egy szintre hozza. Ez jelentős előrelépést hozott az informatika közigazgatási alkalmazásában. A szabályozás szemlélete a korábbiakhoz képest fordulatot hozott annak rögzítésével, hogy főszabályként fogalmazta meg az elektronikus út igénybevételét. Általánosságban mondta ki: törvény, kormányrendelet, önkormányzati rendelet eltérő rendelkezése hiányában a hatóság a közigazgatási hatósági ügyeket elektronikus úton is intézheti. Már

49

itt megjelenik tehát – az Európai Unió irányelvi szabályozásának megfelelően - az ügyfél választási lehetősége, mint főszabály: az ügyfél választhat az elektronikus vagy hagyományos eljárás között, kötelezni pedig nem lehet az állampolgárokat arra, hogy elektronikus utat vegyenek igénybe (néhány kivétel már itt is megjelenik: pl. adózási ügyek). A magyar szabályozás tehát főszabályként tiszteletben tartja az ügyfél önrendelkezési jogát, ami azt is jelenti, hogy mindenki maga döntheti el, milyen mértékben él az elektronikus ügyintézés lehetőségével és ehhez milyen adatokat, milyen céllal, milyen hatóságnak bocsát rendelkezésére. 2010-től kezdve új stratégiai irányvonal körvonalazódott, amely az elektronikus ügyintézés korábbi rendszerét teljesen átalakította. 2012. április 1-jén lépett hatályba a Ket. módosításáról szóló 2011. évi CLXXIV. törvény (a továbbiakban: 2011-es Ket. novella). Az új szabályozás olyan keretjellegű szabályozást teremtett meg, amely lehetővé teszi a közigazgatás számára is a piac által kidolgozott megoldások alkalmazását. A 2011-es Ket. novella hatályba lépését követően megalkotásra kerültek az elektronikus ügyintézésre vonatkozó végrehajtási rendeletek is, amelyek részletesebb ismertetésére a későbbiekben kerül sor. A mai jogszabályi környezet a korábbinál lényegesen rugalmasabb: amellett, hogy több új, korábban nem elérhető szolgáltatás nyújtását és igénybe vételét teszi lehetővé, ügyfélközpontúvá teszi a közigazgatási szolgáltatásokat, amely a jó állam megvalósításához járul hozzá. A változások legfőbb hozadéka, hogy a közigazgatásban is elérhetővé válnak a más területeken (pl. az elektronikus banki szolgáltatásoknál) már megszokott szolgáltatások és biztonsági szintek. Emellett fontos fejlemény, hogy a jogszabályi rendelkezések nem tartalmazhatnak olyan követelményt, amely valamely meghatározott műszaki megoldás alkalmazását írná elő. Az új szabályozás tehát a jól használható szolgáltatásokra helyezi a hangsúlyt, az informatikai rendszerek kialakítását és működtetését ennek rendeli alá. A rendszer újdonsága a „szabályozott elektronikus ügyintézési szolgáltatás” (a továbbiakban: SZEÜSZ) fogalmának bevezetése; ennek jogszabályi definíciójára szintén a későbbiekben kerül sor. Elöljáróban annyit érdemes leszögezni, hogy a SZEÜSZ-ök az elektronikus közigazgatás kisebb-nagyobb építőköveiként foghatók fel; olyan szolgáltatásokról és háttér-rendszerekről van szó, amelyekből a legbonyolultabb ügytípusok elektronikus intézésére is alkalmas rendszer is felépíthető, az ügyfél azonosításától kezdve a dokumentum/irat/kérelem benyújtásán át a nyilvántartásokból történő adatszolgáltatásig. A nyilvántartásokból történő adatszolgáltatás kapcsán érdemes egy rövid kitérőt tenni az interoperabilitás felé. Az interoperabilitás, azaz az állam által a különböző szakrendszerek nyilvántartásaiban tárolt adatok közötti átjárhatóság megvalósítása mögött a közigazgatási eljárás egyik alapelve bújik meg, miszerint hatóság az ügyféltől ne kérjen olyan adatot, amelyet saját maga, vagy más állami szerv valahol már nyilvántart. A közelmúltig (és még jelenleg is) az említett elv alkalmazásának legnagyobb gátja a különféle állami nyilvántartások egymástól eltérő felépítése, amely a hatóságok közötti kommunikációt lényegesen megnehezíti, az eljárási határidőket pedig sokszor indokolatlanul elnyújtja.

50

Az állam által nyilvántartott adatok, adatbázisok közötti együttműködés feltételeinek megteremtése is időszerűvé vált az elektronikus ügyintézés jogi és techológiai feltételeinek megteremtésével párhuzamosan. Az interoperabilitás megvalósítását szolgáló első intézmény az állami és önkormányzati nyilvántartások együttműködésének általános szabályairól szóló 2013. évi CCXX. törvény (a továbbiakban: Iop. tv.), amely 2015. január 1-jétől válik hatályossá, és amely kötelezi a közfeladatot ellátó szerveket arra, hogy biztosítsák nyilvántartásuk más nyilvántartással való együttműködési képességét adatkapcsolat-szolgáltatás keretében, egyszerű vagy automatikus adatátvétel útján. Az interoperabilitás megvalósulásával az ügyfelek által a hatóságok felé szolgáltatandó dokumentumok számán kívül a hatósági eljárás ideje is jelentősen csökken. Az interoperabilitás megteremtése egyben az Európa 2020 stratégiai programba tartozó Digitális Menetrend egyik fontos célkitűzése is. A közigazgatási eljárások egyszerűsítésén kívül a nyilvántartások együttműködésének megteremtésével a törvény célja az állami versenyképesség fokozása, az állami működés költséghatékonyságának növelése. Az Iop. tv. végrehajtási rendelete jelenleg előkészület alatt áll. Az elektronikus ügyintézés új szabályozási kereteinek elfogadása óta eltelt időszak pozitív irányú visszajelzésekkel szolgált. A szabályozás elkezdett beépülni a köztudatba, és más, közigazgatási eljárás hatálya alá nem tartozó eljárások szabályai közé is. Ugyanakkor mind az Európai Unióban, mind Magyarországon érezhető, hogy e terület szabályozásának nincsenek hagyományai, ezért az innováció és a gyakorlati tapasztalatok folyamatos visszacsatolása a jogterület egészére jellemzőek maradnak még hosszú ideig. A koncepció, a főbb irányok azonban sikeresnek bizonyultak az eddig eltelt gyakorlati tapasztalatok fényében.

51

2.2 A hatályos jogi szabályozás 2.2.1

Az e-közigazgatásra vonatkozó törvényi és rendeleti szabályozás

Az előző fejezetben láttuk, hogyan alakult ki az elektronikus közigazgatás hatályos jogi szabályozása. A kodifikációs folyamatot meghatározza, befolyásolja az informatikai és technikai lehetőségek fejlődése, ezért a jogalkotás során, legyen szó jogszabály módosításról vagy új jogszabály létrehozásáról, figyelmet kell fordítani a technikai megoldások fejlődésére. Ugyanakkor a technikai megoldások alkalmazása is csak a jogszabályi előírásoknak megfelelően történhet. Folyamatos kölcsönhatással van tehát egymásra a jogalkotás és az informatikai fejlődés, a gyakorlat és az elmélet. Ezért is fontos, hogy legyenek olyan szabályozási alapelvek, amelyek sormutatóként szolgálnak e kölcsönhatásban. Ezeket az alapelveket törvényi szintű alapelveknek is tekinthetjük, mivel azok a Ket. 160. §-ából következnek. A következőkben ezeket az alapelveket tekintjük át, majd sorra vesszük azokat a jogszabályokat, amelyeknek ismerete nélkülözhetetlen a kormányzati elektronikus ügyintézésben dolgozók számára. Ket.: az elektronikus ügyintézésre vonatkozó törvényi szabályozás Törvényi szintű alapelvek a.) rugalmasság és tartós szabályozás: cél a korábbi túlszabályozottság megszüntetése: A törvény a technikai részletszabályokat nem törvényi szinten, hanem alsóbb, rugalmasabban módosítható jogszabályi szinten, illetve az Elektronikus Ügyintézési Felügyelet (továbbiakban: Felügyelet) által kibocsátott ajánlásokban teszi lehetővé szabályozni. b.) a szerv döntési kompetenciája: Jogszabályi kereteken belül a hatóság dönt arról, hogy milyen körben tesz lehetővé elektronikus kapcsolattartást, valamint arról, hogy egy konkrét eljárási cselekménynél a kapcsolattartás mely formáját alkalmazza. A hatóság nem elektronikus kapcsolattartás esetén is dönthet úgy (jogszabályi kereteken belül), hogy az eljárást vagy annak eljárási cselekményeit elektronikus ügyintézés keretében folytatja le. Az ügyféllel való kapcsolattartás során ilyen esetben is az ügyfél ügyintézési rendelkezését figyelembe véve köteles eljárni. c.) költségtakarékosság és az elektronikus eszközök elsődlegessége: Több igénybe vehető kapcsolattartási forma közöl a hatóság a költségtakarékosság és a hatékonyság szempontjai alapján választ. d.) technológiasemlegesség: Az új szabályozás nem egyetlen informatikai infrastruktúrát jelöl ki, sőt, a Ket. rögzíti, hogy az elektronikus ügyintézés szabályozásával kapcsolatos jogszabályi rendelkezések nem fogalmazhatnak meg olyan követelményt, amely valamely meghatározott műszaki megoldás alkalmazását kötelezővé teszi. e.) ügyfélközpontúság: Az egyedi, ügyfélközpontú fejlesztések engedélyezése. f.) a bevált piaci megoldások alkalmazása: A piac által kidolgozott, elfogadott megoldások igénybe vételét teszi lehetővé a közigazgatásban a SZEÜSZ szolgáltatók által kidolgozott, a Felügyelethez bejelentett szolgáltatások alkalmazásával. g.) az ügyfél igényeinek, rendelkezési jogának minél teljesebb érvényesítése: Az ügyfél rendelkezési jogának általános kimondásán túl a 2011-es Ket. novella számos olyan jogintézményt vezet be, amelyek a rendelkezési jog kiteljesedését szolgálják - különösen az ügyfél elektronikus ügyintézési rendelkezése és az

52

ügyfél időszakos értesítése az elektronikus ügyintézési cselekményekről nevű SZEÜSZ-ökön keresztül. A Ket. 160. §-a alapján kiemelt alapelvek szerint a 2011-es Ket. novella keretjellegű szabályozást teremtett meg, a törvényi szabályozást a későbbiekben ismertetett végrehajtási rendeletek és a Felügyelet ajánlásai töltik meg tartalommal. A közigazgatási szervek hatáskörébe tartozó ügyek nagy száma miatt alapvető fontosságú, hogy a közigazgatás gyors, egyszerű, az állampolgárok számára is áttekinthető eljárás keretében járjon el. A Ket. hatósági ügyként határoz meg minden olyan ügyet, amelyben a hatóság az ügyfelet érintő jogot, kötelezettséget állapít meg, adatot, tényt igazol, illetve jogszabállyal létrehozott nyilvántartást vezet, vagy hatáskörébe tartozó ügyben ellenőrzést végez. Ennek a széles körű tevékenységnek az elektronizálását szabályozza a Ket. X. fejezete. Az alapelvek rögzítése után a Ket. az Elektronikus Ügyintézési Felügyeletről rendelkezik. SZEÜSZ főszabály szerint a Felügyeletnek tett bejelentés alapján nyújtható. A Ket. felhatalmazása alapján kiadott kormányrendelet ugyanakkor – közérdeken alapuló kényszerítő indok alapján – előírhatja, hogy valamely SZEÜSZ csak a Felügyelet engedélye alapján nyújtható. Az EÜF a nyilvántartásba vétel (különös esetben engedélyezés) mellett egyrészt ellenőrzi, hogy az egyes SZEÜSZ-ök működése megfelele a jogszabályoknak, másrészt ajánlásokat bocsát ki a SZEÜSZ-ök nyújtásának megkönnyítése érdekében. A továbbiakban a Ket. a SZEÜSZ-ök szabályozására tér át, az állam által kötelezően nyújtandó szolgáltatások felsorolása előtt néhányat kiemelve külön is szabályoz. Ilyenek az ügyintézési rendelkezéshez, az azonosításhoz, a kézbesítéshez és az iratérvényességi nyilvántartáshoz kapcsolódó szolgáltatások. Ezeknek a SZEÜSZ-öknek törvényi szabályozását az egyes SZEÜSZ-ök leírásánál ismertetjük. A Ket. 167/A. §-a határozza meg az elektronikus ügyintézés során az elektronikus iratok kezelésével kapcsolatos feltételeket. Az elektronikus ügyintézés terjedésének kezdetektől fogva akadályát képezte az elektronikus iratok kezelésére vonatkozó szabályozás elmaradottsága. A 2011-es Ket. novella ezért a Ket. szabályai között (és a kapcsolódó végrehajtási rendeletekben) rendez számos olyan, az elektronikus iratok kezeléséhez kapcsolódó kérdést, amely az elektronikus ügyintézés terjedéséhez szükséges. Ennek keretében a szabályozás lehetővé teszi, hogy a közigazgatási hatóság akkor is elektronikus úton intézzen egy ügyet, ha egyébként az ügyféllel a kapcsolattartás papír alapon zajlik, valamint a hatóság bizonyos esetekben és feltételekkel jogosult az eredeti, papír alapú irat selejtezésére, ha megfelelő elektronikus másolattal rendelkezik az iratról. A következőkben a Ket. felsorolja az állam által kötelezően nyújtandó SZEÜSZ-öket. A felsorolást kiegészíti azzal, hogy jogszabály egyes SZEÜSZ-ök nyújtását más szervek számára is előírhatja, ez esetben tehát akár piaci szereplő is jogosult lehet állam által kötelezően nyújtandó szolgáltatás biztosítására. Ugyancsak lehetővé teszi a Ket., hogy kormányrendelet valamely SZEÜSZ nyújtását vagy igénybevételét kötelezővé teheti, illetve előírhatja, hogy valamely szabályozott elektronikus ügyintézési szolgáltatást kizárólag a jogszabályban kijelölt szolgáltató nyújthatja.

53

Állam által kötelezően nyújtandó szolgáltatások a Ket. szerint: a) az ügyfél ügyintézési rendelkezésének nyilvántartása, b) az ügyfél időszaki értesítése az elektronikus ügyintézési cselekményekről, c) összerendelési nyilvántartás szolgáltatás, d) azonosítási szolgáltatás természetes személy ügyfelek részére, e) biztonságos kézbesítési szolgáltatás, f) elektronikus dokumentumtárolási szolgáltatás, g) a hatóság nyilatkozattételével kapcsolatos elektronikus igazolás szolgáltatása, h) elektronikus fizetési és elszámolási rendszer, i) iratérvényességi nyilvántartás, j) kormányzati hitelesítés-szolgáltatás, k) kormányzati elektronikus aláírás ellenőrzési szolgáltatás, l) központi azonosítási ügynök, m) ÁNYK űrlapbenyújtás támogatási szolgáltatás, n) azonosításra visszavezetett dokumentumhitelesítés, o) elektronikus irat hiteles papír alapú irattá alakítása, p) papír alapú irat átalakítása hiteles elektronikus irattá, q) iratkezelő rendszerek közötti iratáthelyezés szolgáltatás, r) központi érkeztetési ügynök, s) központi kézbesítési ügynök, t)

az

e

törvény

felhatalmazása

alapján

kiadott

kormányrendeletben

kötelezően

nyújtandóként előírt további szabályozott elektronikus ügyintézési szolgáltatás. A Ket. rendelkezései közül az ügyfél-regisztrációs eljárásról érdemes még szót ejteni, hiszen a kormányablakok a Ket. értelmében az ügyfél-regisztrációs eljárás szerveként járnak el. Számos elektronikus ügyintézési szolgáltatás igénybe vétele igényli az ügyfél előzetes regisztrációját. Ilyen például az azonosítási szolgáltatás vagy a kézbesítési szolgáltatás is. A regisztrációhoz szükséges azonosítás nemcsak személyes megjelenéssel, hanem – bizonyos feltételekkel – elektronikus úton is történhet. Ez többek között lehetővé teszi, hogy az ügyfél csak egyszer kényszerüljön személyes megjelenésre, majd az így létrehozott azonosítóit (pl. akár ügyfélkapus azonosítóját) használhassa a további szolgáltatásokra való regisztráció során. A Ket. felhatalmazása alapján a Kormány kormányrendeletben jelöli ki az ügyfélkapu regisztrációs szerveket. A Ket. hatósági szolgáltatásra vonatkozó rendelkezéseit a Kormányablakról szóló fejezetnél ismertetjük. Érdekes végül megjegyezni, hogy a SZEÜSZ-ök felsorolását (melyek között több már szerepelt korábban, az állam által kötelezően nyújtandó SZEÜSZ-ök felsorolásánál) a Ket. az értelmező rendelkezések alatt, a 172. § j) pontjában tartalmazza. A listát ugyanakkor tovább bővítheti a Ket. felhatalmazása alapján kiadott kormányrendelet (ld. lejjebb). A teljes liberalizációnak azonban vannak korlátai, amelyek az elektronikus

54

ügyintézés garantált működése, valamint az ügyféljogok védelme érdekében szükségesek. Ilyen korlátozást jelentenek a Ket. fent ismertetett azon rendelkezései, amelyek bizonyos esetekben korlátozzák a SZEÜSZ szolgáltatók lehetséges alanyi körét, így például előírják, hogy az adott szolgáltatást csak hatóságok, vagy csak a kijelölt állami szolgáltató nyújthatja. Hasonló korlátozásnak tekinthető az az eset, amikor a Ket. előírja bizonyos SZEÜSZ-ök kötelező biztosítását. Végül egyes esetekben a Ket. és a végrehajtási rendelet előírhatja, hogy valamely SZEÜSZ szolgáltatás igénybe vétele kötelező bizonyos alanyi kör (elsősorban hatóságok számára). Ilyen pl. az ügyfél ügyintézési rendelkezésének figyelembe vétele vagy az összerendelési nyilvántartás használata. Ezekről az adott SZEÜSZ-ök ismertetésénél részletesen is szó lesz majd. Végrehajtási rendeletek A Ket. rugalmas keretszabályait a Ket. felhatalmazása alapján kiadott végrehajtási rendeletek töltik meg részletes tartalommal, így:  a szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról szóló 83/2012. (IV. 21.) Korm. rendelet (a továbbiakban: Szeüszr.);  egyes, az elektronikus ügyintézéshez kapcsolódó szervezetek kijelöléséről szóló 84/2012. (IV. 21.) Korm. rendelet (a továbbiakban: Kijelölő rendelet);  az elektronikus ügyintézés részletes szabályairól szóló 85/2012. (IV. 21.) Korm. rendelet (a továbbiakban: Eürszr.). Ezek a rendeletek meghatározzák egyfelől azt, hogy hogyan kell és lehet megvalósítani az elektronikus kapcsolattartást az ügyféllel, másrészt meghatározzák azt is, hogy a közigazgatás háttérfolyamatait milyen módon lehet elektronikus alapra áthelyezni. Ezt a rendszert fogják kiegészíteni a Felügyelet által kiadott ajánlások, amelyek részletes eligazítást adnak majd az egyes SZEÜSZ szolgáltatások megvalósításával kapcsolatban. A szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról szóló 83/2012. (IV. 21.) Korm. rendelet (Szeüszr.) A Szeüszr. tartalmazza az egyes szabályozott elektronikus ügyintézési szolgáltatásokról jelenleg ismerhető legrészletesebb normatív előírásokat. A rendelet meghatározza a szabályozott elektronikus szolgáltatások nyújtásának általános követelményeit, többek között az együttműködési képességre vonatkozó előírásokat, az általános szerződési feltételek szabályozását, a szolgáltatásnyújtásra vonatkozó szervezési és biztonsági feltételeket és követelményeket. Külön fejezetben szerepel az Elektronikus Ügyintézési Felügyelet, a szolgáltatói regisztráció, és a Felügyelet által kiadandó, a szolgáltatásokra vonatkozó ajánlások szabályozása. Önálló fejezet rendelkezik a szolgáltatások bejelentésére illetve engedélyezésére vonatkozó eljárásról. A rendelet V. fejezete az egyes SZEÜSZ-ökre vonatkozó részletes követelményeket, míg a VI. fejezet az állam által kötelezően nyújtandó SZEÜSZ-ök részletes követelményeit tartalmazza. Tekintettel arra, hogy a szabályozás nem következetes a SZEÜSZ-ök felsorolásánál, valamint nincs összhangban az időközben módosított Ket. szerinti szabályozással, a Szeüszr. módosítása indokolt lehet. Végül a hatálybaléptető és átmeneti rendelkezések előtti VII. fejezetben a rendelet a SZEÜSZ-ök igénybevételének feltételeiről rendelkezik.

55

Egyes, az elektronikus ügyintézéshez kapcsolódó szervezetek kijelöléséről szóló 84/2012. (IV. 21.) Korm. rendelet (Kijelölő rendelet) A kijelölő rendelet a Ket.-ben meghatározott, az ügyfél számára nyújtott hatósági szolgáltatás nyújtására kihelyezett ügyintézési pontként kijelöli a Magyar Posta Zrt.-t és a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatalát (KEK KH), valamint elektronikus ügyintézési felügyeletként az e-közigazgatásért felelős minisztert. Az ügyfél ügyintézési rendelkezéseit nyilvántartó szervként a KEK KH-t jelöli ki. Kijelöli az állam által kötelezően nyújtandó szolgáltatások szolgáltatóit. Végül ügyfélkapu létesítésére feljogosított regisztrációs szervként a KEK KH-t, a kormányhivatalokat, a NAV-ot, a Magyar Posta Zrt.-t, valamint Magyarország diplomáciai és konzuli képviseleteit jelöli ki. Az ügyfélkapu regisztrációs adatbázis adatkezelőjeként a KEK KH-t jelöli ki, amely az adatkezelői feladatok ellátása érdekében adatfeldolgozói szerződést köthet. Az elektronikus ügyintézés részletes szabályairól szóló 85/2012. (IV. 21.) Korm. rendelet (Eürszr.) A Ket. felhatalmazása alapján kiadott rendelet meghatározza - az elektronikus ügyintézés feltételeire, - az elektronikus kapcsolattartásra, - az ügyintézési rendelkezésre, - az ügyfél azonosítására és a dokumentumhitelesítésre, - az alkalmazható dokumentumformátumokra, - a képviseleti jog elektronikus ügyintézés esetén történő igazolására, - a papír alapú és az elektronikus ügyintézés kapcsolatára, valamint - egyes papír alapú dokumentumok kezelésére épülő szabályok (például irat bemutatása, hivatalos feljegyzés, jegyzőkönyv készítése, ügyintéző általi aláírás, bélyegző használata) elektronikus dokumentum esetén történő alkalmazására vonatkozó részletes szabályokat. A szabályozás jóval tágabb kört ölel fel, mint a SZEÜSZ-ök, és annak rendelkezéseit valamennyi, a Ket. 172. § d) pontjában meghatározott elektronikus ügyintézési szolgáltatás vonatkozásában alkalmazni kell. A rendelet előírja, hogy a hatóság köteles az elektronikus ügyintézést biztosító informatikai rendszerét olyan módon kialakítani, hogy az ügyfélszolgálatán intézhető ügyek tekintetében az egyablakos ügyintézés lehetősége biztosított legyen, továbbá, hogy a szolgáltatási tevékenység megkezdésének és folytatásának általános szabályairól szóló törvény szerinti integrált ügyintézési és tájékoztatási ponton az elektronikus ügyintézés feltételeit biztosítani kell. Az ügyfél elektronikus kapcsolattartás keretében a hatóság által közzétett tájékoztatásban foglaltaknak megfelelő elektronikus utat alkalmazhatja. A hatóság elektronikus ügyintézése során szükség szerint a papír alapon beérkező iratról hiteles elektronikus másolatot, az elektronikus úton meghozott döntésről hiteles papír alapú kiadmányt vagy másolatot készít vagy készíttet. Ahol az elektronikus kapcsolattartás lehetősége biztosított és az adott kapcsolattartási mód alkalmazását a hatóság biztosítja, az ügyfél eltérő tartalmú ügyintézési rendelkezése hiányában elektronikus kapcsolattartás keretében beadványát benyújthatja - biztonságos elektronikus kézbesítési szolgáltatás igénybevételével,

56

- jogszabályban meghatározott körben a külön jogszabály szerinti ÁNYK űrlap benyújtás támogatási szolgáltatás keretében, - a rendeletben meghatározott feltételekkel elektronikus levelezés útján, - a hatóság által biztosított internetes felületen történő dokumentumfeltöltés útján, vagy - az ügyfél ügyintézési rendelkezésében lehetővé tett további kapcsolattartási módok alkalmazásával. Elektronikus levélben az ügyfél a beadványát a hatóság által az erre a célra megadott elektronikus levélcímre nyújthatja be, ha ügyintézési rendelkezésében a kapcsolattartás e módját nem zárta ki. Fontos garanciális szabály, hogy a hatóság köteles 1 munkanapon belül visszaigazolni az ügyfél által benyújtott beadvány kézhezvételét. A beadvány akkor minősül előterjesztettnek, ha a hatóság a benyújtás tényét visszaigazolta. Az iratok ügyfél részére történő kézbesítése a hatóság eltérő tartalmú ügyintézési rendelkezése hiányában elektronikus kapcsolattartás keretében történhet - biztonságos elektronikus kézbesítési szolgáltatás igénybevételével, - a jogszabályban meghatározott körben a külön jogszabály szerinti ÁNYK űrlap benyújtás támogatási szolgáltatás keretében, az ügyfél által előterjesztett beadványra válaszüzenetként, - elektronikus levelezés útján, vagy - az ügyfél ügyintézési rendelkezésében lehetővé tett további kapcsolattartási módok alkalmazásával. Elektronikus levelezés útján nem kézbesíthető olyan irat, amivel szemben önálló jogorvoslatnak van helye. Az ügyfél köteles visszaigazolni a hatóság által kézbesített irat kézhezvételét. Az irat akkor minősül kézbesítettnek, ha az ügyfél a kézbesítés tényét visszaigazolta. Az elektronikus kapcsolattartás történhet olyan ügyintézési felület útján, amely az eljárási cselekmény végzése során feltételezi az ügyfél és a hatóság közötti kölcsönös és összefüggő adatcserét és kétirányú kapcsolatot (párbeszédre épülő elektronikus ügyintézés), vagy olyan csatlakozási felület útján, amelynek használatával a hatóság az ügyféllel fennálló kölcsönös és összefüggő adatcsere vagy kétirányú kapcsolat nélkül küldi és fogadja az eljárási cselekményekhez kapcsolódó egyes elektronikus dokumentumokat (nem párbeszédre épülő elektronikus ügyintézés). A párbeszédre épülő elektronikus ügyintézés alkalmazhatóságának feltétele, hogy az ügyfél azonosítását igénylő eljárási cselekménynél az alkalmazott technológiai és szervezési megoldás garantálja, hogy a párbeszéd végéig illetéktelen az információcserébe ne léphessen be, a közléseket ne másolhassa le, ne téríthesse el, és a szolgáltatás ügyintézővel történő kapcsolattartás esetében az érintett szervezeti egység elektronikus ügyfélfogadási idejében, a hatóság informatikai rendszerével történő kapcsolattartás esetében folyamatosan elérhető legyen az ügyfelek számára. A rendelet rendelkezik a telefonon és más hangkapcsolatot biztosító elektronikus úton azonosított ügyféllel, illetve a telefax útján történő elektronikus kapcsolattartás, továbbá az elektronikusan elérhető nyilvántartásból hatóság általi elektronikus adatlekérdezés szabályairól.

57

Az Elektronikus Ügyintézési Felügyelet ajánlása, mint szabályozó eszköz A Ket. szabályozásának ismertetésénél már volt szó a Felügyeletről, mint a közigazgatási elektronikus szolgáltatások összehangolt működését biztosító, az egyes szolgáltatásokat engedélyező, ellenőrző szervezetről. Ajánlásaival segíti a szolgáltatókat, ellenőrző tevékenységével pedig biztosítja az új szabályozási terület hatékony, folyamatos működését. A végrehajtási rendeletek több helyen tartalmaznak a Felügyelet ajánlásaira vonatkozó rendelkezéseket. Az Eürszr. 3. § (1) bekezdése a következőket írja elő: „3. § (1) Az elektronikus kapcsolattartás lehetőségét biztosító hatóság az elektronikus kapcsolattartás és elektronikus ügyintézés lehetőségét az elektronikus ügyintézési felügyelet (a továbbiakban: felügyelet) által kiadott ajánlásban meghatározott műszaki követelményeknek megfelelő informatikai rendszer útján biztosítja.” Specifikusabb, a SZEÜSZ-ökhöz kötődő előírást tartalmaz a Szeüszr. 7. § (1) és (3) bekezdése: „7. § (1) A hatóság és más SZEÜSZ szolgáltatók a SZEÜSZ-ök kialakítása és nyújtása során kötelesek figyelembe venni a hatóságok informatikai rendszerei közötti együttműködés követelményeit, valamint – több hatóságot is érintő SZEÜSZ esetén – a többi hatóság igényeit.” „(3) A felügyelet ajánlásokat bocsát ki az (1) bekezdés szerinti követelmények érvényesülése érdekében. Amennyiben az adott információ cserére vagy elektronikus űrlaptípusra nem áll rendelkezésre irányadó ajánlás, úgy a SZEÜSZ szolgáltató köteles egyedi ügyben is biztosítani e követelmények érvényesülését. A felügyelet együttműködik a SZEÜSZ szolgáltatóval a SZEÜSZ e követelményeknek megfelelő kialakítása érdekében.” Ehhez kapcsolódik a Szeüszr. 14. § (1) bekezdése is: „14. § (1) A felügyelet a SZEÜSZ-ök egységes nyújtása és igénybevétele, az együttműködési képesség biztosítása érdekében ajánlásokat bocsát ki.” A felügyeletnek tehát a szabályozott elektronikus ügyintézési szolgáltatások nyújtására, együttműködésük biztosítására is ajánlásokat kell kibocsátania. A jogszabályi rendelkezések alapján a Felügyelet kétféle ajánlást bocsát ki. Az egyik csoport az Eürszr.-ben megfogalmazott cél érdekében az általános elveket tartalmazó általános ajánlások, a másik a konkrét, nevesített SZEÜSZ-ökre vonatkozó ajánlás a Szeüszr.-ben megfogalmazott feladatkörben. Itt fel kell hívni a figyelmet a Felügyelet ajánlásainak ellentmondásos jogi helyzetére. Sem a Ket., sem a végrehajtási rendeletek nem tartalmaznak ugyanis szabályozást a SZEÜSZ-ök pontos műszaki tartalmára vonatkozóan, sőt, a műszaki követelmények tekintetében a Felügyelet ajánlásaira utalnak, mint kötelező jelleggel alkalmazandó útmutatásra. Tekintettel arra, hogy az ajánlás alkotmányjogilag nem tekinthető normatív aktusnak, tehát az ajánlásban megfogalmazott szabályozás nem kikényszeríthető, a SZEÜSZ-ök műszaki tartalmára, de akár a nyújtását megkönnyítő feltételek érvényesítésére vonatkozó felügyeleti ajánlások betartása sem kötelező. A Felügyelet ajánlása tehát formailag ajánlás, tartalmában azonban annál jóval több. Érdemes megvizsgálni e tekintetben az ajánlás meghozatalára vonatkozó eljárásrendet is, amit a Szeüszr. 14. §-a tartalmaz. Ennek alapján az ajánlás tervezetét a Felügyelet a közigazgatási informatikai infrastruktúra megvalósíthatóságának biztosításáért felelős miniszterrel egyezteti, a szolgáltatók számára véleményezésre megküldi, valamint szakmai és társadalmi vitára közzéteszi, és egy előkészítő bizottság indokolt esetben nemzetközi szervekkel is egyeztet. Az ajánlás megalkotásának eljárásrendje tehát a

58

jogszabályalkotás eljárásrendjére hasonlít, hasonlóan komoly politikai, szakmai és társadalmi egyeztetést és elfogadottságot feltételez, ami egy normatív erővel bíró jogi aktus elfogadásához szükséges. Ahogy azonban említettük, alkotmányjogilag az ajánlás nem jogszabály, nincs kényszerítő ereje. Végezetül a Felügyelet működéséről néhány szó: a Kijelölő rendelet elektronikus ügyintézési felügyeletként országos illetékességgel az e-közigazgatásért felelős minisztert jelöli ki. A Felügyelet jelenleg az Igazságügyi Minisztérium Elektronikus Közigazgatásért Felelős Helyettes Államtitkársága alatt működő E-Közigazgatási Főosztály keretein belül működik, 2014. január 1. óta. Tekintettel arra, hogy a Kormány tagjainak feladat- és hatásköréről szóló 152/2014. (VI. 6.) Korm. rendelet értelmében a belügyminiszter a Kormány e-közigazgatásért felelős tagja, várható, hogy a Felügyelet a közeljövőben a Belügyminisztérium struktúrájában működik tovább.

2.2.2

Kitekintés: az e-közigazgatáson kívül eső, elektronikus kapcsolattartást vagy szeüsz alkalmazását/nyújtását előíró ágazati szabályozás

A Ket.-ben szabályozott elektronikus ügyintézés hatása hatósági ügynek nem minősülő eljárások ágazati szabályozásába is beszivárog. Ahogy arról már a korábbiakban volt szó, a szabályozott elektronikus ügyintézési szolgáltatások szabályozásánál a jogalkotó kilépett a Ket. keretei közül. Ágazati szabályozás is lehetővé (vagy kötelezővé) teheti SZEÜSZ igénybevételét az adott ágazatok eljárásaiban, azokban az esetekben is, ha az ügyféllel szemben álló hatóság 16 nem Ket. szerinti hatóság. Első körben (a teljesség igénye nélkül) vizsgáljuk meg, hogy mely jogszabályok írják elő a hatóságok számára kötelező jelleggel az elektronikus ügyintézést. E-ügyintézést hatóságok számára kötelező jelleggel előíró jogszabályok Az anyakönyvi eljárásról szóló 2010. évi I. törvény módosítása 2014. július 1-jétől kezdve az elektronikus anyakönyv használatára való áttérést irányozza elő. Párhuzamosan kerül szabályozásra az elektronikus anyakönyv és a papír alapú anyakönyv használata. Folyamatos adatfeltöltéssel a papír alapú anyakönyvek háttérbeszorulása és teljes felváltása várható az új szabályozással. A papír alapú anyakönyvekben lévő adatok annyiban tekintendők hitelesnek, amennyiben az elektronikus anyakönyvben nem szerepelnek azon adatok. A törvény hatálybalépése után keletkező bejegyzések az elektronikus anyakönyvbe kerülnek felvételre. Az anyakönyvi eljárások sajátságosságaira tekintettel az elektronikus ügyintézési lehetőség azonban csak minimális keretek között megengedett Emellett fel kell hívni a figyelmet arra, hogy a törvény értelmében az anyakönyv vezetése közigazgatási hatósági eljárás, itt tehát az ügyféllel szemben álló hatóság Ket. szerinti hatóság. A felnőttképzésről szóló 2013. évi LXXVII. törvény nagyobb teret enged az elektronikus ügyintézés, kapcsolattartás számára. Bár nem teljes körben, de meghatározott alanyok számára kizárólag elektronikus kapcsolattartás alkalmazását írja elő, beleértve az eljárás kezdeményezését, továbbá a fellebbezési eljárás kezdeményezését is. A felnőttképzési információs rendszerből történő adatszolgáltatás szintén elektronikus úton történik, segítve a folyamatok automatizálását és egyszerűsödését.

16

Ket. 12. § (2). a) alapján hatóság: ügyfelet érintő jogot vagy kötelességet állapít meg, adatot, tényt vagy jogosultságot igazol, hatósági nyilvántartást vezet vagy hatósági ellenőrzést végez.

59

A hitelbiztosítéki nyilvántartásról szóló 2013 évi CCXXI. törvény az elektronikus ügyintézésen túlmenően a szabályozott elektronikus ügyintézési szolgáltatások alkalmazását is előírja. A törvény értelmében egyrészt a hitelbiztosítéki nyilvántartás rendszerében nyilatkozatot tenni kizárólag elektronikus úton lehet, az ettől eltérő módon tett nyilatkozatot úgy kell tekinteni, mintha azt meg sem tették volna. Az elektronikus kapcsolattartás alkalmazása ez esetben kötelező előírás. A hitelbiztosítéki nyilatkozatok megtételére, nyilvántartására és a nyilvántartásba történő betekintésre szolgáló informatikai alkalmazást a Magyar Országos Közjegyzői Kamara (a továbbiakban: MOKK) működteti. A törvény alapján a MOKK a közigazgatási hatósági ügynek nem minősülő hitelbiztosítéki eljárásaiban is lehetővé teheti a Ket. szerinti elektronikus kapcsolattartás szabályainak alkalmazását, valamint a Szeüszr.-ben meghatározott szabályozott elektronikus ügyintézési szolgáltatások igénybevételét. A nyilvántartásba vétel (regisztráció) folyamán pedig a kérelmezőnek a személyazonosító adatainak megadásán túlmenően nyilatkoznia kell a felhasználói szabályzat elfogadásáról, vagy - ha azt a MOKK lehetővé teszi - a Ket. szerinti azonosításra visszavezetett dokumentumhitelesítés szabályai szerint kell hitelesítenie. A regisztrációs eljárás tekintetében - ha azt a MOKK lehetővé teszi - a Ket. szerinti szabályozott elektronikus ügyintézési szolgáltatások igénybe vehetők. A regisztrált felhasználó hitelbiztosítéki nyilatkozatát annak megtételekor minősített elektronikus aláírással és időbélyegzővel látja el, vagy - ha azt a MOKK lehetővé teszi - a Ket. szerinti azonosításra visszavezetett dokumentumhitelesítés szabályai szerint hitelesíti. Ezekben az esetekben tehát már konkrét, illetve egyes SZEÜSZ-ök igénybevételét is lehetővé teszi a törvény. Említést érdemelnek a cégnyilvánosságról, a bírósági cégeljárásról és a végelszámolásról szóló 2006. évi V. törvény elektronikus ügyintézéssel kapcsolatos részei. A számviteli törvény szabályaival összhangban a cégek éves beszámolóinak benyújtása teljes körűen elektronikus eljárásban történik. A szabályozás egyértelmű feltételeket támaszt, milyen úton van lehetőség a benyújtásra, hogyan történik a beszámolók befogadása, közzététele. A cégtörvény mérföldkő volt az elektronikus ügyintézés terén, ugyanis ez volt az első jogszabály, amely kötelezővé tette az elektronikus ügyintézést és ennek keretében az elektronikus aláírás használatát a cégeljárások során. A cégtörvény a fizetési meghagyásos eljárásokban kizárólagossá tette az elektronikus aláírás használatát. Az elektronikus aláírásra, valamint az ilyen szolgáltatásokat nyújtó gazdasági szervezetekkel szembeni követelményekre az elektronikus aláírásról szóló 2001. évi XXXV. törvény rendelkezéseit kell alkalmazni. Fentieken túl számos ágazati jogszabály rendelkezik elektronikus ügyintézésről. Néhány példa: - a nemzeti köznevelés tankönyvellátásáról szóló 2013. évi CCXXXII. törvény, amely értelmében az iskolai tankönyvrendelést az iskola - jogszabályban meghatározottak szerint, elektronikus formában - megküldi a könyvtárellátónak. - a bizalmi vagyonkezelőkről és tevékenységük szabályairól szóló 2014. évi XV. törvény alapján a kérelmező cégkivonatát a Magyar Nemzeti Bank a cégnyilvántartásból elektronikus úton, közvetlen lekérdezéssel szerzi be. - a gondnokoltak és az előzetes jognyilatkozatok nyilvántartásáról szóló 2013. évi CLXXV. törvény értelmében a nyilvántartásokat elektronikusan kell vezetni. A nyilvántartások vezetésére és abból az adatszolgáltatás teljesítésére szolgáló informatikai alkalmazást az Országos Bírósági Hivatal elnöke működteti.

60

a Magyarország 2014. évi költségvetéséről szóló 2013. évi CCXXX. törvény is úgy rendelkezik, hogy a helyi önkormányzatokért felelős miniszter az általa üzemeltetett elektronikus rendszeren keresztül teszi elérhetővé a települési önkormányzatok számára az őket megillető támogatások összegét. A kiragadott példák is mutatják, hogy további eljárások újragondolása, majd szabályozása várható. A gyorsabb és így hatékonyabb eljárás lefolytatásának igénye minden területen jelentkezik, ezzel megindítva az elektronikus eljárások kialakításának folyamatát. -

E-ügyintézést hatóságok számára lehetővé tévő jogszabályok Lássunk egy példát az elektronikus ügyintézési mód választását lehetővé tévő jogszabályokra is: a panaszokról és közérdekű bejelentésekről szóló 2013. évi CLXV. törvény alapján közérdekű bejelentést a közérdekű bejelentések védett elektronikus rendszerében (a továbbiakban: elektronikus rendszer) is meg lehet tenni. A közérdekű bejelentések megtételére és nyilvántartására szolgáló elektronikus rendszer üzemeltetéséről az alapvető jogok biztosa gondoskodik. Az elektronikus rendszeren keresztül benyújtott közérdekű bejelentés rövid, személyes és egyedi intézményi adatok nélküli tartalmi kivonatát és elintézésének állását az egyedi azonosító szám alapján az alapvető jogok biztosa az interneten mindenki számára hozzáférhetővé teszi. Érdemes még említést tenni az egyes, az elektronikus ügyintézéssel kapcsolatos törvények módosításáról szóló 2013. évi LXXXI. törvényről, melyet az elektronikus ügyintézés elterjedésének igénye hívott életre. A jogszabály alapján számos területen, így a közigazgatási hatósági ügyeknek nem minősülő eljárásokban is alkalmazhatóvá válik a Ket. szerinti szabályozás. A közjegyzőkről, a különböző kamarákról (gazdasági, ügyvédi, könyvvizsgálói kamarák), az Állami Számvevőszékről szóló jogszabályok felhatalmazást adnak a szerveknek, hogy egyrészt az elektronikus kapcsolattartás szabályait alkalmazzák saját eljárásaikban, másrészt igénybe vehessenek szabályozott elektronikus ügyintézési szolgáltatásokat. Végül rámutatunk arra, hogy a Ket. szerinti elektronikus ügyintézési szabályozás jelentőségét növeli, hogy utaló szabályok útján jelenleg már más eljárásjogi szabályozás, így a polgári perrendtartásról szóló 1952. évi III. törvény (Pp.) és a büntetőeljárásról szóló 1998. évi XIX. (Be.) is támaszkodik a Ket. által bevezetett modellre. A Pp. XXVIII. fejezete rendelkezik az elektronikus kommunikáció szabályairól. A hatályos szabályozás értelmében 2015. július 1. napjától a polgári perben a gazdálkodó szervezet a keresetlevelet, minden egyéb beadványát és okirati bizonyítékát kizárólag elektronikusan nyújtja be a bírósághoz, és a bíróság is valamennyi hivatalos iratot elektronikusan kézbesíti. Átmeneti időszakként az elektronikus keresetindítás felé, a 2013. január 1. napját követően indult polgári perben a 2013. január 1. és 2015. június 30. napja között a törvényszék elsőfokú hatáskörébe tartozó ügyben beadványát és mellékletét választása szerint elektronikus úton is benyújthatja, ebben az esetben az elsőfokú eljárás folyamán a bírósággal a kapcsolatot elektronikus úton kell tartania és a bíróság is valamennyi bírósági iratot elektronikusan kézbesít a részére. A beadvány és melléklete elektronikus úton való benyújtását az elektronikus úton való kapcsolattartás vállalásának kell tekinteni. Ki kell emelni, hogy a jelenleg még választható elektronikus keresetindítással szemben a Pp. XXVI/A. fejezete alapján indított, nevezetesen a Teljesítésigazolási Szakértői Szerv szakvéleményére alapított per esetén a törvényszék

61

elsőfokú hatáskörébe tartozó perben a beadványokat és azok mellékletét elektronikus úton kell benyújtani. A nem elektronikus úton benyújtott beadványban foglalt nyilatkozat hatálytalan. Fentiekhez hasonlóan a Be. is támaszkodik a Ket. által bevezetett elektronikus ügyintézési és elektronikus kapcsolattartási szabályozási modellre és intézményekre. A Be. 69/A. §-a lehetővé teszi, hogy a bíróság, az ügyészség, a nyomozó hatóság és a büntetés-végrehajtási szervezet egymással az írásbeli kapcsolatot elektronikus úton tartsa. A Be. értelmében azokban az esetekben, amikor elektronikus kapcsolattartásra lehetőség van, arra a Ket. megfelelő rendelkezéseit kell alkalmazni. A törvény a továbbiakban felsorolja azokat a SZEÜSZ-öket, amelyeket a bíróság, az ügyészség, a büntetés-végrehajtási szervezet nyújthat, illetve igénybe vehet a Felügyelet által nyilvántartásba vett szolgáltatótól. Ilyen SZEÜSZ az azonosítási szolgáltatás, a kézbesítési szolgáltatás, az elektronikus irat hiteles papír alapú irattá alakítása, a papír alapú irat átalakítása hiteles elektronikus irattá, az elektronikus iratról hiteles elektronikus másolat készítése, a központi azonosítási ügynök és az összerendelési nyilvántartás.

62

2.3 Elektronikus ügyintézés Joggal merülhet fel a kérdés, hogy mit értünk pontosan elektronikus ügyintézés alatt, milyen tevékenységek, eljárási cselekmények, esetleg szolgáltatások tartoznak e körbe. Az elektronikus ügyintézés fogalmára vonatkozóan a Ket. szigorú definíciót határoz meg: 2.3.1

Az elektronikus ügyintézés fogalma

Az elektronikus ügyintézés definícióját a Ket. 172. §-a tartalmazza, miszerint elektronikus ügyintézés: azok az eljárási cselekmények, amelyek során az ügyfél vagy az ügyintézést biztosító szerv elektronikus nyilatkozatot tesz, vagy az ügyintézést biztosító szerv az ügyfél vagy más ügyintézést biztosító szerv nem elektronikus nyilatkozatát elektronikus nyilatkozattá alakítja át és azt az eljárás során felhasználja. 2.3.2

Az elektronikus fogalma

ügyintézéssel

kapcsolatos

szolgáltatások

(eüsz)

A Ket. ugyanezen szakasza definiálja az elektronikus ügyintézéssel kapcsolatos szolgáltatás fogalmát is, ami azért lényeges, mert e meghatározásra építi fel a szabályozott elektronikus ügyintézési szolgáltatások meghatározását. Eszerint: „d) elektronikus ügyintézéssel kapcsolatos szolgáltatás: da) a hatóság által az elektronikus ügyintézés megvalósítása érdekében kialakított informatikai háttér tekintet nélkül arra, hogy az informatikai háttér biztosítása során harmadik fél szolgáltatásait igénybe vette-e és milyen mértékben, vagy db) a da) pontban meghatározott eseten kívül jogi személy, jogi személyiség nélküli szervezet által a hatóság vagy az ügyfél számára az elektronikus ügyintézés megvalósítása vagy használata érdekében ingyenesen vagy ellenérték fejében nyújtott, információs társadalommal összefüggő szolgáltatás,” Az idézett jogszabályi rendelkezésekből az következik, hogy az elektronikus ügyintézés tágabb köre az elektronikus ügyéntézéssel kapcsolatos szolgáltatás fogalma, amely lényegében minden, az elektronikus ügyintézés megvalósítása érdekében alkalmazott szolgáltatást lefed. 2.3.3

A szabályozott elektronikus ügyintézési szolgáltatás (SZEÜSZ) rövid áttekintése

Fogalommeghatározás A Ket. a szabályozott elektronikus ügyintézési szolgáltatást a 172. § j) pontja szerinti, elektronikus ügyintézéssel kapcsolatos szolgáltatásként definiálja. A felsorolás nem taxatív, azt kiegészítik, és a jövőre nézve kiegészíthetik a Ket. felhatalmazása alapján kiadott kormányrendeletben SZEÜSZ-ként nevesített további elektronikus ügyintézéssel kapcsolatos szolgáltatások. A SZEÜSZ-ök megfogalmazása is igen tág értelmezésű, szabályozott elektronikus ügyintézési szolgáltatásba minden, az ügyintézéshez közvetlenül vagy közvetetten (a hatóság működéséhez szükséges) kapcsolódó, elkülönítetten azonosítható informatikai szolgáltatás beleértendő. A szabályozott elektronikus ügyintézési szolgáltatás olyan, az informatikai háttér biztosításában körülhatárolható rész, amelyre az állam specifikus szabályokat kíván meghatározni. Emellett természetesen az informatikai háttér biztosításánál az általános, nem a szolgáltatások oldaláról megfogalmazható szabályok is érvényesek,

63

alkalmazandók. Például ahol dokumentum elektronikus aláírással történő hitelesítése történik, ott az Eat. előírásai (is) alkalmazandók, az adatvagyon megőrzését érintő feladatoknál az erre vonatkozó külön törvény előírásai is mérvadók. Fontos azonban, hogy a SZEÜSZ-ök szabályozásánál a jogalkotó kilép a Ket. keretei közül. Az elektronikus ügyintézéssel kapcsolatos alapelvek ugyanis nemcsak az ügyfél és a közigazgatási hatóság, ill a hatóságok egymás közötti, hanem Ket. alá nem tartozó eljárások szabályozásánál is irányadónak tekinthetők, különös tekintettel a bírósági, közjegyzői, bírósági végrehajtói eljárásokra. Ahogy fent említettük, ágazati, Ket. felhatalmazása alapján kiadott szabályozás kötelezővé teheti SZEÜSZ igénybevételét az adott ágazatok eljárásaiban, azokban az esetekben is, ha az ügyféllel szemben álló hatóság nem Ket. szerinti hatóság. A jelenleg jogszabályban meghatározott, állam által kötelezően nyújtandó megvalósított vagy fejlesztés alatt álló SZEÜSZ-ök felsorolására és részletes ismertetésére a későbbiekben kerül sor. A szolgáltatás típusai A SZEÜSZ-ök nyújtásuk módja szerint kétfélék lehetnek: kötelezően nyújtandóak (elsődlegesen az állam de kormányrendeleti szabályozás alapján más piaci szolgáltató által), vagy nem kötelezően nyújtandóak (állam vagy piaci szolgáltató által). A kötelezően nyújtandó szolgáltatások esetében a jogszabályban előírt szolgáltatásokat a Kijelölő rendelet szerinti szervezetnek kell biztosítania, de ha több kijelölt szerv van, akkor azt együttesen is biztosíthatják. Amennyiben az adott szolgáltatást a Kijelölő rendelet szerinti kijelölt szervezet nyújtja, értelemszerűen a kormányzati kontroll szerepe nagyobb. Igénybevételük szempontjából is megkülönböztetjük a kötelezően, illetve szabadon igénybe vehető SZEÜSZ-ök körét: a SZEÜSZ-ök nagy része a szabadon igénybe vehető szolgáltatások csoportjába tartozik, azaz a hatóság dönt az alkalmazásról. Két olyan SZEÜSZ van, amelynek igénybevételét jogszabály kötelezővé teszi a hatóságok számára. Ez az összerendelési nyilvántartás és a biztonságos kézbesítés szolgáltatás SZEÜSZ. Áttételesen kötelező a rendelkezési nyilvántartás SZEÜSZ is, hiszen a hatóságnak értelmeznie kell tudni az ügyfél rendelkezéseit. Ezen kívül a kormányzati hitelesítésszolgáltató SZEÜSZ használata is kötelező egyes tanúsítványok esetében. Szolgáltatás bejelentése, ellenőrzése A SZEÜSZ fogalmi meghatározása a szolgáltatás (hatóságok által nyújtott szolgáltatásokra is kiterjedő) ellenőrizhetőségét segíti elő. A Ket. 161. §-a ugyanis kimondja, hogy szabályozott elektronikus ügyintézési szolgáltatás a Felügyeletnek tett bejelentés alapján nyújtható. Közérdeken alapuló kényszerítő indok alapján kormányrendelet a szolgáltatás nyújtását a Felügyelet engedélyéhez kötheti. Jogos igény az állam részéről, hogy előre lássa, a SZEÜSZ-t szolgáltató piaci szereplők rendelkezneke a szolgáltatás nyújtásához szükséges feltételekkel. Ennek ellenőrzésére szolgál a SZEÜSZ-ök bejelentési (különös esetben, közérdeken alapuló kényszerítő indok alapján engedélyezési) kötelezettsége a Felügyelet felé. A szolgáltatásnyújtás bejelentésére és ellenőrzésére vonatkozó részletes rendelkezéseket a Szeüszr. tartalmazza. Ennek értelmében a szolgáltató a bejelentéshez mellékelni köteles a szolgáltatás részletes műszaki leírását, a szolgáltatás pontos meghatározásához szükséges eljárási szabályokat, a szolgáltatásra vonatkozó általános szerződési feltételeket és a biztonsági és egyéb műszaki követelményeknek való megfelelést alátámasztó dokumentumokat.

64

A Szeüszr. az engedélyköteles SZEÜSZ-ök bejelentésére vonatkozó követelményeket is felsorolja. Tekintettel azonban arra, hogy a Felügyelet engedélye csak közérdeken alapuló kényszerítő ok esetén szükséges, valamint arra, hogy engedélyezésre a Felügyelet gyakorlatában még nem került sor, ennek bemutatását mellőzzük. Fel kell hívni a figyelmet arra, hogy a Szeüszr. nem csak a SZEÜSZ szolgáltatók számára ír elő bejelentési kötelezettséget, hanem a Ket. 172. § d) pontja szerinti elektronikus ügyintézési szolgáltatást nyújtó szolgáltató (EÜSZ szolgáltató) számára is előír regisztrációs kötelezettséget (EÜSZ szolgáltatói regisztráció). Ennek alapján a Felügyelet névjegyzéket vezet a regisztrált elektronikus ügyintézési szolgáltatókról. A névjegyzék bárki számára hozzáférhető, a névjegyzékbe vétellel kapcsolatosan a Felügyeletnek nincs mérlegelési jogköre. Szolgáltatás nyújtása A Ket. 171. § (9b) bekezdése szerint: az állam által kötelezően nyújtandó szabályozott elektronikus szolgáltatásokat a külön jogszabályban (Kijelölő rendelet) kijelölt szervezetnek, ha jogszabály másképp nem rendelkezik, legkésőbb 2014. július 1. napjától kell nyújtania. A Ket. X. fejezete alapján SZEÜSZ-t nyújthat: - hatóság, saját ügyfelei számára, illetve belső működése közben, vagy más hatóság ügyfelei számára; - hatóságnak nem minősülő jogi személy, jogi személynek nem minősülő szervezet ügyfelek vagy hatóságok számára, ingyenesen vagy ellenérték fejében; - különösen pedig a Kijelölő rendeletben nevesített szolgáltatók az állam által kötelezően nyújtandó SZEÜSZ-ök esetében.

65

2.4 Az elektronikus ügyintézés új modellje 2.4.1

A hatóság és az ügyfél

A Ket. egyik alapelve, hogy a hatóságoknak eljárásaikat, eljárási cselekményeiket az ügyfél érdekeit szem előtt tartva gyorsan és hatékonyan kell teljesíteniük. Ennek az igénynek próbál megfelelni az elektronikus közigazgatás SZEÜSZ-ökre épülő új modellje. A SZEÜSZ-ök megfelelő alkalmazása biztosítja az elektronikus iratkezelést a kérelem/beadvány beérkezésétől az irattározásig, vagy teremti meg az ügyfél oldali papír alapú, de ezzel párhuzamosan a hatóság oldali elektronikus alapú ügyintézés hibrid rendszerét. Ahogyan azt a törvényi alapelveknél ismertettük, az új szabályozás egyik alapelve az elektronikus eszközök elsődlegessége. Ebből az alapelvből vezethető le az, hogy több igénybe vehető kapcsolattartási forma közül a hatóság a költségtakarékosság és a hatékonyság szempontjai alapján választ, előnyben részesítve az elektronikus utat (Ket. 28/A. § (3) bek.), valamint az, hogy jogszabály eltérő rendelkezése hiányában a hatóság nem elektronikus kapcsolattartás esetén is jogosult az eljárást vagy annak eljárási cselekményeit elektronikus ügyintézés keretében lefolytatni (Ket. 160. § (2) bek. és 167/A. § (1) bek.). A fent említett hibrid rendszer a szabályozás alapján azt jelenti, hogy az ügyféllel papír alapon történő kapcsolattartás esetén is a közigazgatási szerven belül elektronikus úton valósulhat meg az iratkezelés és az ügyintézés. SZEÜSZ vonatkozásban ezt a Szeüszr. 86. §-ában szabályozott elektronikus irat papír alapú irattá alakítása SZEÜSZ biztosítja, amely lehetőséget teremt arra, hogy a hatóság elektronikus iratait hiteles papír alapú irattá alakítsa. Ennek fordítottja a Szeüszr. 89. §-a szerinti, a papír alapú irat hiteles elektronikus irattá alakítása SZEÜSZ, amely azt teszi lehetővé, hogy a hatóság a papír alapú iratot elektronikus irattá alakítsa. A Ket. X. fejezete és a végrehajtási rendeletek alapján felépült rendszer szerinti modellben az állammal (a közigazgatási hatósággal) az ügyfél áll kapcsolatban. A 2011es Ket. novellát megelőző időszakban az elektronikus közigazgatás olyan modellre épült, ahol természetes személy állt kapcsolatban a hivatallal. A hatályos Ket. terminológiában azonban ügyfél nem csak természetes személy lehet, hanem jogi személy is. A Ket. elismeri a szervezeti hitelesítést és aláírást és annak a lehetőségét sem zárja ki, hogy egy adott eljárásban több ügyfél is jelen legyen. Az, hogy az ügyfél természetes, vagy jogi személy, megjelenik - az általa tett jognyilatkozat hitelesítésénél (a szervezet nevében történő aláírás a jogszabályban általánosan elfogadottá vált, ugyanígy beszerezhető a hitelesítés szolgáltatótól olyan tanúsítvány, ami egy szervezet aláírását természetes személyhez rendeltség nélkül rendeli az adott szervezethez). - azonosításnál (pl. a szervezet azonosítására szolgáló tanúsítvánnyal) - kézbesítésnél: ügyfélnek történő kézbesítés a postafiók logikája alapján, függetlenül attól, hogy természetes vagy nem természetes személy az ügyfél. Ahol jogszabály a korábbi ügyfélkapus kapcsolattartás kizárólagosságát írja elő (ilyen jelenleg az adózási eljárás szabályozása), ott a régi modell szerinti működés fennmarad. A többi eljárásban azonban már választható más megoldás is. Aki akarja, használhatja továbbra is ügyfélkapuját, ha önként elfogadja, hogy az oda érkező értesítések kézbesítettnek minősülnek (mivel az jelenleg nem felel meg mindenben a biztonságos kézbesítés szabályainak, így kézbesítési vélelem nem fűződik hozzá).

66

Indokolt külön említeni a működő formalapos feltöltési megoldások beilleszthetőségét az új modellbe. Mint ismeretes, a jelenlegi e-ügyintézési megoldások dominánsan az ÁNYK (abev) elektronikus űrlapkitöltő rendszerre17 épülnek. Az off-line módon kitöltött űrlapok a feltöltéskor az azonosítás alapján kerülnek személyhez rendelésre és időbélyeggel „hitelesítésre”. Ez a modell elvben alkalmas lehetne a szervezethez rendelésre is, az ügyfélkapus azonosítás azonban nem ismeri a szervezet fogalmát, a meghatalmazásokat, képviseleti jogosultságokat az egyes hatóságoknak kell kezelniük. A rendelkezési nyilvántartás SZEÜSZ az azonosítás szolgáltatás igazolt adata alapján képes a szervezetekhez történő közvetlen rendelésre is. Az ÁNYK alapú működésnél tehát a korábbi ügyfélkapus megoldás csak természetes személyekre értelmezett, ugyanakkor az űrlapos kitöltés, hitelesítés és feltöltés/beküldés az új szolgáltatásokkal szervezetek számára is biztosítható. 2.4.2

A papír alapú és az elektronikus ügyintézés kapcsolata

A korábbi modell a kizárólagosan elektronikusan, e-űrlapon történő benyújtás bevezetésére helyezte a hangsúlyt. A gyakorlatban azonban a tényleges ügyintézésnél maga az űrlap csak ügyindításra volt alkalmas, a tényleges ügyintézés több okból is a papír alapú ügyintézésbe ment át:  Az ügyekhez gyakran sok egyéb igazolás, kísérő információ, harmadik személy nyilatkozata kell, amit nemegyszer hiánypótlás keretében papíron lehetett csak mellékelni. Ezért az e-ügyindítás sok esetben csak formalitás volt, a tényleges ügyintézéshez szükséges iratok papír alapon keletkeztek.  Az alkalmazott űrlap (ÁNYK) a normál irodai szoftverekkel nem kezelhető formátumot jelent, ami többlet kezelési problémát jelent az ügyintézőnek. Ahol speciális célalkalmazásokat nem alakítottak ki (a NAV-nál működnek ilyenek, a kisebb hatóságoknál nem), ott gyakran kinyomtatták és papír alapon a szokásos módon kezelték a beadványokat.  Az ügyfeleket néhány kivétellel alapvetően papír alapon kellett értesíteni a kézbesítési vélelem bíróság előtti érvényesíthetőségéhez (ami adódott az ügyfélkapus kézbesítés korlátaiból). Az új modell célja, hogy a közigazgatás tisztán elektronikusan tudjon belül működni, miközben az ügyfeleknél megadja a lehetőséget a választásra, azaz akár papíron, akár elektronikusan kérheti az értesítéseket. Ez a következőt jelenti:

17

Általános NyomtatványKitöltő

67

Személy

H2

Posta

H1

Posta

Korm.ablak

Személy

Szervezet

Szervezet

1. ábra. A tisztán elektronikusan működő közigazgatás és az ügyfelek Az új modell célja, hogy a közigazgatás tudjon a határain belül tisztán elektronikusan működni. Ehhez a közigazgatás „határain”, például a kormányablaknál, illetve egy erre kijelölt SZEÜSZ szolgáltatónál (pl. posta) a papíron érkező, illetve átvett iratokról hiteles elektronikus másolatot készítenek, és a közigazgatás belül már ezzel dolgozhat. A tisztán elektronikus működés miatt természetesen a hatóság a határozatát is elektronikusan hozza meg és minden értesítést elektronikusan készít el. Ahogyan arról már volt szó, az új modell lényeges eleme, hogy csak a közigazgatáson belül erőlteti (hatékonyság növelési okból) az elektronizálást, az ügyfeleknél meghagyja a választás lehetőségét (ehhez új elem a rendelkezési nyilvántartás, hogy ne kelljen esetileg rendelkezni a kapcsolattartásról). Természetesen jogszabály a választás lehetőségét korlátozhatja (pl. adózásra vonatkozó jogszabályok).

68

2.4.3

Automatizálás, egyszerűsítés

A hagyományos ügyintézés logikája az iratkezelés megszokott modelljét követte, aminek fő lépései:

hiánypótoltat

hiány pótol

Érkeztet

Iktat

Szignál

Intéz

Dönt/ kiadmányoz

Expediál

Postabontó

Titkárság

Vezető

Ügyintéző

Vezető

Ügyintéző

2. ábra. A hagyományos ügyintézés logikája A folyamat a kézbesítést (ügykezelést) intézők nélkül is legalább 4 embert igényel. Korábban ez a folyamat volt jellemző más adminisztratív szervezetekre is, például a bankokra a ’80-as évekig. Azóta azonban a hatékonyság növelési követelmények alapvető változásokat eredményeztek. ATM automatából magunk vehetünk fel pénzt, telefonon vagy bankfiókban is egyetlen ügyintézőnél intézhetjük a betétlekötést. Az új modell lehetővé teszi, hogy ez a változás a közigazgatásban is végbemenjen. Az alapgondolat, hogy el kell különíteni jelleg szerint az ügyeket. A legegyszerűbb forma a mérlegelést nem igénylő ügy (például igazolást kér egy nyilvántartott tényről, ebben ügyintézőnek semmi szerepe nincs), de jelentős előrelépés lehet az egyetlen ügyintéző mérlegelése alapján intézhető ügyeknél (egy átlagos közterület foglalás a konténer számára nyilván ilyen lehet, egy tüntetés megrendezéséhez szükséges területfoglalás nyilván nem ez az eset). Természetesen továbbra is lesznek összetett, több ügyintézőt (leginkább szakhatóságok bevonását, szakértők igénybe vételét), elkülönült vezetői döntést, vagy speciális eljárási lépéseket – szemle, meghallgatás stb. – igénylő ügyek, de ettől még ami nem ilyen, azt nem érdemes ezekkel egyformán bonyolultan kezelni. A hagyományos kapcsolati formák (amikor szakterület specifikus ügyintéző foglalkozik a legegyszerűbb ügyekkel is) alkalmazása leronthatja a belső működés hatékonyságát, ezért az ügyfélkapcsolatot minél inkább az ügyfelekhez közeli ügyfélkapcsolati pontokra kell koncentrálni. Ebből a logikából indul ki a „Jó Állam” koncepció, bevezetve a kormányablak rendszert, és a kapcsolódó (központi) telefonos ügyfélszolgálatot.

69

2.4.4

Hatósági szolgáltatás

A hatósági szolgáltatás jogintézményét a Ket. 169/A. §-a vezeti be. A hatósági szolgáltatás különösen a kisebb településeken élők számára jelenthet komoly előrelépést az ügyintézés elérhetősége terén. A hatósági szolgáltatás körét a 2011-es Ket. novella jelentősen bővítette, mind a szolgáltatói kört, mind az elérhető szolgáltatásokat tekintve. Az új törvényi rendelkezések lehetővé teszik, hogy jogszabályban kijelölt hatóság, valamint a kormányablak jogszabályban meghatározott eljárások tekintetében ügyintézési lehetőséget, vagy ügyintézéshez kapcsolódó szolgáltatásokat biztosítson. Így az ügyfélnek többféle lehetősége nyílik ügyeinek hatékony intézésére, lakóhelyéhez a lehető legközelebbi ponton. A koncepció lényege, hogy kisebb településeken az erre felkészült ügyintéző segítséget nyújtson az ügyfélnek ügyei (elektronikus) intézéséhez. Ezzel nemcsak az új, elektronikus szolgáltatások válnak olyanok számára elérhetővé, akik egyébként nem tudnának élni azokkal, hanem az egyablakos ügyintézés megteremtésével a hagyományos ügyintézés is közelebb kerül az állampolgár lakóhelyéhez. 2.4.5

Kormányablak

A kormányablak, valamint az integrált ügyintézési pont létrehozása az egyablakos ügyintézés bevezetésének, a hatékonyabb, koordináltabb, takarékosabb és ügyfélközpontú területi közigazgatás megteremtésének fontos állomása. A Ket. 169/A. § (2) bekezdése szerint a kormányablak kizárólag a jogszabályban meghatározott hatósági szolgáltatásokat nyújtja. Ilyen jogszabály a fővárosi és megyei kormányhivatalokról szóló 288/2010. (XII. 21.) Korm. rendelet. A rendelet értelmében a fővárosi és megyei kormányhivatal kormányablakot működtet. A kormányablak e rendelet szerinti legfontosabb feladatai: - ügyfélkapu regisztrációs szervként jár el; - lehetőséget biztosít arra, hogy (i) az ügyfél az egészségügyi szolgáltatásra jogosultak nyilvántartásában róla nyilvántartott adatokat megismerje, (ii) az ingatlannyilvántartásból az ingatlanok adatait nem hiteles és elektronikusan hitelesített tulajdoni lap másolat lekérdezésével, valamint térképmásolat lekérdezésével külön jogszabályban megállapított igazgatási szolgáltatási díj megfizetése ellenében megismerje; - a rendelet 2. melléklet 1. pontjában meghatározott kérelmeket befogadja; - a fenti kérelmekkel összefüggő ügyekben tájékoztatja az ügyfelet az eljárás menetéről, valamint az eljárással kapcsolatos jogairól és kötelezettségeiről és segítséget nyújt az ügyfélnek a kérelem kitöltésében. A kormányablak a kérelmek, bejelentések és hiánypótlások továbbítását elektronikus úton, a Ket. elektronikus kapcsolattartásra vonatkozó rendelkezéseinek megfelelő alkalmazásával végzi, kivéve, ha a kérelem, bejelentés benyújtott mellékletének vagy az arról készített hiteles elektronikus másolatnak az elektronikus úton történő továbbítása nem lehetséges. A kormányablak a rendelet 2. melléklete 2. pontjában meghatározott ügyekben tájékoztatást nyújt az ügyfélnek az eljárás menetéről, valamint az eljárással kapcsolatos ügyféli jogokról és kötelezettségekről. A kormányhivatal az ügyfelek számára az ügyintézéshez internetes kapcsolati lehetőséget, szakmai és informatikai segítséget nyújt a rendelet 2. melléklete 3. pontjában meghatározott ügyekben, ha annak feltételei rendelkezésre állnak.

70

A kormányablak a kérelmek befogadásával és továbbításával kapcsolatos feladatai ellátása érdekében az ügyfél elektronikus nyilatkozatát úgy is fogadhatja, hogy az ügyfél szóban előterjesztett nyilatkozatát elektronikus úton rögzíti, majd azt az ügyfél az elektronikus dokumentumhitelesítés szabályai szerint hitelesíti. Fenti feladatai ellátása érdekében jogosult az ügyfél által benyújtott papír alapú iratokról hiteles elektronikus másolat készítésére, a szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról szóló külön jogszabály rendelkezései szerint. Ha a kormányablak az ügyfél vagy más személy jognyilatkozatát tartalmazó iratról készít hiteles elektronikus másolatot, a kormányhivatal – a közokiratnak minősülő iratokról készült másolatok kivételével – köteles gondoskodni a papír alapú irat egy eredeti példányának megőrzéséről, és annak a megkereső hatóság vagy más szerv részére történő bemutatásáról. A kormányablakokról szóló 515/2013. (XII. 30.) Korm. rendelet tartalmazza a kormányablakokra vonatkozó részletszabályozást. E rendelettel a kormány megteremtette a kormányablakon történő ügyintézés eljárási szabályait. A kormányrendelet 1. mellékletében meghatározott ügyekben (például lakcímbejelentés, forgalmi engedély cseréjére irányuló kérelem) kormányablak jár el vagy kizárólagos hatáskörben, vagy az ügyre vonatkozó jogszabályban meghatározott, az eljárásra hatáskörrel és illetékességgel rendelkező hatóság helyett. A mellékletben meghatározott ügyekben azonnali ügyintézésre van lehetőség. A kormányrendelet 2. mellékletében meghatározott ügyekben a kormányablak az eljárásra meghatározott ügyintézési határidőn belül jár el. A kormányablakban terjeszthetőek elő továbbítás céljából a 3. mellékletben meghatározott beadványok, amelyeket a kormányablak haladéktalanul, de legkésőbb a benyújtást követő munkanapon további ügyintézés végett az eljárásra hatáskörrel rendelkező illetékes hatósághoz továbbít. A rendelet szabályozza a hiánypótlási eljárás cselekményeit is. A kormányablak a beadványok, valamint a hiánypótlások továbbítását elektronikus úton, a Ket. elektronikus kapcsolattartásra vonatkozó rendelkezéseinek megfelelő alkalmazásával végzi, kivéve, ha a kérelem, bejelentés benyújtott mellékletének vagy az azokról készített hiteles elektronikus másolatnak az elektronikus úton történő továbbítása nem lehetséges. A kormányablak – amennyiben jogszabály úgy rendelkezik – a benyújtott beadványt papír alapon is továbbítja a hatáskörrel rendelkező illetékes hatóságnak. A 4. mellékletben felsorolt ügyekben a kormányablak kizárólag tájékoztatást nyújt. Végül az 5. melléklet felsorolja a kormányablakok által végzett kiegészítő szolgáltatásokat, úgymint (a teljesség igénye nélkül): ügyfélkapu-regisztráció, egyedi hatósági ügyek intézéséhez internetes kapcsolati lehetőség és informatikai segítség nyújtása, betekintési lehetőség biztosítása az Országos Cégnyilvántartási és Céginformációs Rendszer cégadatbázisába, ügyfélkapu-regisztráció birtokában az ingatlan-nyilvántartásból nem hiteles és elektronikusan hitelesített tulajdoni lap másolat lekérdezésének biztosítása, cégbejegyzési és változásbejegyzési eljárásról tájékoztatás. A rendelet 6. melléklete a kormányablakban hivatalból intézhető ügyek felsorolását tartalmazza. A kormányablak a Szeüszr. szerinti állam által kötelezően nyújtott azonosítási szolgáltatások, valamint a Ket. 168/A–168/B. § szerinti ügyfél-regisztrációs eljárás szerveként jár el (ld. a Ket. ismertetésénél, 2. fejezet 2.1. pont). A kormányablaknál megtehetők az ügyintézési rendelkezések is (erről később részletesen lesz szó).

71

2.4.6

Telefonos ügyfélszolgálat

A Ket. rendelkezik a telefonos ügyfélszolgálat üzemeltetéséről is. Ennek alapján jogszabályban arra feljogosított hatóság az ügyfél számára jogszabályban meghatározott, más hatóságok hatáskörébe tartozó eljárások tekintetében ügyintézési lehetőséget biztosít és tájékoztatást ad az ilyen eljárásokról. Telefonos ügyfélszolgálaton az ügyfél nevében, jogszabályban meghatározott feltételek esetén közhiteles nyilvántartásból történő adatszolgáltatási kérelem terjeszthető elő, valamint hatósági bizonyítvány kiállítása kérhető. Telefonos ügyfélszolgálatot az integrált ügyintézési és tájékoztatási pont (KEK KH) biztosít. Emellett a SZEÜSZ-ök működésével, működtetésével kapcsolatos panaszok, kérdések fogadására minden SZEÜSZ szolgáltató telefonos ügyfélszolgálatot köteles fenntartani a Szeüszr. 5. §-a alapján.

72

2.5 Szabályozott elektronikus ügyintézési szolgáltatások Ahogy láttuk, a Ket. az informatikai lehetőségeket nem azok belső műszaki (technikai) tartalma, hanem azok „észlelhetősége” alapján kívánja megfogni, szabályozni. A szabályozott elektronikus ügyintézési szolgáltatás nem más, mint az általában valamilyen formában azonosítható elektronikus ügyintézési szolgáltatások közül olyan, amelyre az állam szabályokat határoz meg (s egyben ellenőrzési rendszerébe bevonja). A SZEÜSZ valójában gyűjtőfogalom, amit háromféle értelemben is használ a szabályozás:  meghatározott szolgáltatás: amikor a szolgáltatás teljes mértékben csak a szabályozott módon nyújtható. Ebben az esetben a SZEÜSZ-ben előírtakat maradéktalanul teljesítenie kell a szolgáltatónak. Ilyen jellegű például az összerendelési nyilvántartás vezetése szolgáltatás.  meghatározott szolgáltatás csoport: amikor a SZEÜSZ egy szolgáltatás csoportot, azaz egy logikailag hasonló célt szolgáló (vagy ahhoz kapcsolódó), önállóan is nyújtható részszolgáltatások halmazát adja meg. Ebből a szolgáltató nem köteles az összes elemet biztosítani, csak általa választott részszolgáltatásokat is nyújthat. Erre példa az azonosítás szolgáltatás.  meghatározott szolgáltatás típus: ez olyan SZEÜSZ, ami valójában egy szolgáltatás típus közös szabályait határozza meg, de az egyedi szolgáltatásoknál egyedileg kialakított szabályok megalkotása szükséges. Erre javaslatot maga a szolgáltató is kidolgozhat, és jóváhagyását követően a szolgáltatást a szerint nyújthatja. Erre példa az „elektronikus űrlapok kezelése” SZEÜSZ, hisz értelemszerűen az űrlapokat egyedileg kell meghatározni, azaz egy-egy szolgáltatás meghatározott űrlapokra fog vonatkozni, míg az ajánlás alapesetként csak a közös szabályokat fogja át. Az egyes SZEÜSZ-ökben a fenti típusok ráadásul keveredhetnek is, ezek értelmezését a Felügyelet ajánlásai segítik majd. Mindhárom SZEÜSZ típusra igaz ugyanakkor, hogy a jogszabályban és ajánlásban nem szabályozott kérdésekben a szolgáltató dolgozhat ki javaslatot. A SZEÜSZ-ök elméletileg egy jól megtervezett rendszert alkotnak. Az egyes SZEÜSZ-ök részletes ismertetése előtt azonban rá kell mutatni arra, hogy a SZEÜSZ-ök, illetve a közöttük fennálló logikai kapcsolat, azaz az, hogy hogyan kapcsolódnak/kapcsolódhatnak egymáshoz, és hogyan épül/épülhet fel belőlük egy működőképes ügyintézési rendszer, még az IKT szakemberek számára sem egyértelmű. A gyakorlatban a probléma abban van, hogy az egymással függésben lévő SZEÜSZ-ök közül ha az egyik kiesik, az az egész rendszer működését veszélyeztetheti. A rendszer teljes átlátását célozva mutatunk be egy „függési gráfot”, amiben látható, hogy mely SZEÜSZ-ök tekinthetők olyan központi elemnek, amelyek megvalósulása nélkül a rendszer nem működőképes. Ilyen SZEÜSZ az Ügyfél ügyintézési rendelkezésének nyilvántartása, az Iratérvényességi nyilvántartás, az Összerendelési nyilvántartás és az Elektronikus dokumentumtárolási szolgáltatás (EDT).

73

Az ügyfél időszaki értesítése az elektronikus cselekményekről

Az ügyfél ügyintézési rendelkezésének nyilvántartása

Összerendelési nyilvántartás vezetése

Azonosítási szolgáltatás + KAÜ (NISZ)

Interaktív virtuális ügyfélszolgálat szolgáltatás Iratérvényességi nyilvántartás vezetése

„Hibrid” szolgáltatások (kézbesítés, irat konverzió)

Elektronikus dokumentumtárolási szolgáltatás

Azonosításra visszavezetett dokumentum hitelesítés

Hitelesítés - szolgáltatás

Űrlapkezelés

74

A következőkben rátérünk a SZEÜSZ-ök részletes bemutatására, ideértve a megvalósításuk jelenlegi állapotát, gyakorlati alkalmazásukra vonatkozó tájékoztatást. A részletes bemutatást a fent felsorolt, „központi” SZEÜSZ-ök ismertetésével kezdjük, előtte ismerkedésként az alábbi összefoglaló táblázat ismerteti röviden a legfontosabb állam által kötelezően nyújtandó szolgáltatásokat:

75

2.5.1

Az ügyfél ügyintézési rendelkezésének nyilvántartása (ÜR)

Az ügyintézési rendelkezés az új elektronikus ügyintézési modell fontos eleme, amely ahogyan az már kifejtettük - az önrendelkezés gyakorlásának lehetőségét teremti meg az elektronikus ügyintézésben. Az ÜR nyilvántartás taralmának lekérése gyakorlatilag minden ügyféllel való kapcsolattartást, vagy az ügyfél azonosítását igénylő szolgáltatásnál szükséges. Lehetővé teszi, hogy az ügyfél rendelkezései egyszerűen megadhatók és széles körben érvényesíthetők legyenek. Az ÜR nyilvántartásba vételével nem kell külön-külön mindenhol megadnia az ügyintézésre vonatkozó rendelkezéseit. Az ügyintézési rendelkezés az ügyfél jognyilatkozatait tartalmazza, különösen az alábbi tárgykörökben: - amennyiben jogszabály az ügyfél számára lehetővé teszi az elektronikus kapcsolattartás megengedhetőségére vonatkozó rendelkezést, úgy ez a rendelkezés; - az ügyfél által lehetővé tett elektronikus kapcsolattartási formák; - az azonosítással kapcsolatos rendelkezések; - hivatalos kapcsolattartásra szolgáló elérhetőségek; - képviseletre vonatkozó jognyilatkozatok. Az ügyintézési rendelkezésben tehető jognyilatkozatok körét, ideértve az előbbi felsorolásban nem szereplő lehetséges jognyilatkozatokat, a SZEÜSZ szolgáltató a szolgáltatás honlapján közzéteszi. Az ügyintézési rendelkezés első alkalommal kizárólag személyes megjelenés mellett tehető. Ennek keretében a SZEÜSZ szolgáltató ellenőrzi a természetes személy nyilatkozattevő személyazonosságát, közhiteles nyilvántartásban ellenőrzi a nyilatkozattevő okmányait, adatait; szervezet esetében a megfelelő nyilvántartásban ellenőrzi a szervezet adatait, a szervezet nevében eljáró személyt azonosítja és ellenrőrzi a képviseleti jogát, valamint értesíti a szervezetet a képviseletében tett rendelkezésről. Ügyintézési rendelkezés Kormányablakban is tehető. A szolgáltatás állam által kötelezően nyújtandó SZEÜSZ, a Kijelölő rendelet szerinti szolgáltató a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala (a továbbiakban: KEK KH).

2.5.2

Az iratérvényességi nyilvántartás (INY)

A hagyományos közigazgatás a kettős dokumentáláson alapul: az iratból a hatóság és az ügyfél is birtokol egy példányt. A hagyományos rendszerben a két félnél lévő irat egyezősége biztosítja azt, hogy egyik fél sem tud visszaélni az irat valódiságának, hitelességének bizonyításánál. Ahogy a hitelesség kétségbe vonhatóvá válik, a közigazgatás folyamatok biztonsága veszélybe kerül. Az iratérvényességi nyilvántartás, mint harmadik félként ingyenesen, közigazgatási szolgáltatásként megjelenő szolgáltatás, ezt a rizikófaktort hivatott kiszűrni. Az iratérvényességi nyilvántartás esetében az irat érvényességének igazolását az érintett felektől független fél végzi. Így a hitelesség garantálásához az ügyfélen és hatóságon kívül egy harmadik független szereplő, az iratérvényességi nyilvántartás vezetője is bevezetésre kerül. A SZEÜSZ-re vonatkozó jogi szabályozást a Ket., a Szeüszr és az Eürszr. tartalmazza. A Ket. értelmében az iratérvényességi szolgáltatás keretében a szolgáltató lehetővé teszi, hogy az igénybevevő birtokában lévő hiteles papír alapú vagy elektronikus okiratok hitelességét, illetve – amennyiben erre adatok rendelkezésre állnak – tartalmát ellenőrizze. Az iratérvényességi nyilvántartás szabályai szerint hitelesített elektronikus

76

okirat jogszabályban meghatározottak szerint hitelesnek tekinthető. A másolatkészítő aláírása és bélyegzőlenyomata nélkül is az eredeti okiratéval azonos bizonyító ereje van az elektronikus okiratról jogszabályban kijelölt szervezet által jogszabályban meghatározott eljárásban készített, az iratérvényességi nyilvántartás szabályai szerint hitelesített papír alapú másolatnak. Az iratérvényességi nyilvántartás nyilvánosan elérhető, abban bárki ellenőrizheti a birtokában lévő, a nyilvántartásban rögzített okiratnak a nyilvántartásban elérhető adatait, valamint adott esetben az okirat hitelességét is. Az Eürszr. explicit módon is elismeri az iratérvényességi szabályozás szerinti iratok érvényességét. Ennek alapján az irat a hagyományos hitelesítési mód (aláírás, pecsét) nélkül is kiadmányozható, ha az irat az iratérvényességi nyilvántartásban annak szabályai szerint elhelyezésre kerül. E megoldásban tehát nem szükséges a kiadmányozó elektronikus aláírását az irat hitelesítési kellékeként alkalmazni. E megoldás magának a kiadmányozásnak egy új megoldását biztosítja, ahol csak a harmadik (hiteles) fél igazolja egy irat érvényességét. A Szeüszr. is úgy rendelkezik, hogy az elektronikus kapcsolattartás keretében – a telefax kivételével – az elektronikus dokumentum hitelesítése történhet az iratérvényességi nyilvántartásban történő elhelyezéssel. Az INY tehát a hatóság által kiadmányozott elektronikus dokumentumok, illetve ezekről az elektronikus dokumentumokról készített papír alapú hiteles másolatok tartalmának és hitelességének ellenőrzését biztosító nyilvántartás. Gyakorlati alkalmazását tekintve a következő történik: a hatóság meghozza döntését elektronikus formában (aláírja). Az iratról létrehoz egy elektronikus egyedi (a dokumentumhoz tartozó) kulccsal titkosított példányt, és az érvényesség nyilvántartónak megküldi, amely az iratot nyilvántartásba veszi. Az ügyfél elektronikus példányt vagy papír másolatot kap, mindegyikben szerepel a titkosítás visszafejtő kulcsa és az elérési kód. Ezek alapján az irat birtokosa az irat titkosított formáját a nyilvántartótól bármikor elérheti, a kulccsal visszafejtheti és a nála lévő példánnyal azonosságát ellenőrizheti. A szolgáltatást kizárólag a kormány által kijelölt hatóság nyújthatja, ami a Kijelölési rendelet szerint a KEK KH. A szolgáltatás Ket. szerinti terjedelme a hatályos szabályok értelmében ingyenesen nyújtott szolgáltatás. Erre a SZEÜSZ-re támaszkodik az elektronikus iratról hiteles papír alapú másolat készítése SZEÜSZ.

2.5.3

Az összerendelési nyilvántartás (ÖNY)

Az összerendelési nyilvántartás pontosan meghatározott, a törvényben rögzített személyazonosítók titkosított kapcsolati kódokon történő összerendelésére szolgáló szolgáltatás. Azt teszi lehetővé, hogy az ügyfél bármilyen igazolvánnyal azonosíthassa magát, ne csak az adott ágazatnál történő azonosításra szolgáló igazolványával. Ugyanakkor magával az összerendelési nyilvántartással az állampolgárnak nincs közvetlen kapcsolata. Az ÖNY a jogosulatlan adatkezelés kizárása érdekében csak titkosított kódokat tartalmaz, e kapcsolati kódokon keresztül történik a különböző ágazati (szakrendszeri) nyilvántartások összekapcsolása. Az összekapcsolhatóság a titkosított kódok visszafejtésével jön létre. A Ket. rendelkezései alapján az a hatóság, amely az ügyfél azonosítására a természetes személyazonosító adatoktól (4T=születéskori név, anyja

77

neve, születési hely és idő) eltérő azonosítót képez (pl. TAJ szám), kapcsolati kódot képez, azt az azonosítóhoz rendelten nyilvántartásba veszi, és csak az által visszafejthető titkosítással a kapcsolati kódot annak típusmegjelölésével az ÖNY-nek átadja. A továbbiakban az azonosítóval összefüggő olyan adatlekérdezés vagy továbbítás, amelynél a hatóság által kezelttől eltérő azonosító használata is szükséges, az ÖNY igénybevételével történik. A titkosított kapcsolati kódok alkalmazása tehát azt jelenti, hogy az ÖNY nem tartalmaz tényleges személyazonosító kódot, azaz nincs benne TAJ szám, adóazonosító jel. A titkosított kapcsolati kódon keresztül történő adatszolgáltatással ugyanakkor az ÖNY lehetővé teszi az Alkotmánybíróság által a személyi azonosítók összekapcsolásának tilalmáról hozott határozat érvényesülését. Fontos felhívni a figyelmet ugyanakkor arra, hogy azzal, hogy a fenti szabályozás a Ket-be került, az ÖNY alkalmazása kötelezővé vált a hatóságok számára. Természetes és nem természetes személyek vonatkozásában az ÖNY összeállítása (az adatok ősfeltöltése és szinkronizálása) eltérő módon történik. A természetes személyek összerendelési nyilvántartása a személyiadat és lakcím lakcímnyilvántartásból (SZL), a szervezetek nyilvántartása a cégnyilvántartásból lesz összeállítva. Az ÖNY-ből adat csak az előzetesen regisztrált szervezetek számára szolgáltatható. Az adatszolgáltatásról naplót kell vezetni. A Szeüszr. értelmében az összerendelési nyilvántartáshoz csak a Felügyelet által kiadott ajánlásban meghatározott programozott felületen lehet hozzáférést biztosítani. A SZEÜSZ állam által kötelezően nyújtandó szolgáltatás, a Kijelölő rendelet szerinti szolgáltató a KEK KH az Idomsoft Kft közreműködésével. Alkalmazása szinte valamennyi SZEÜSZ-höz elengedhetetlen.

78

Az összerendelés logikáját az alábbi ábra szemlélteti:

SZSZ = személyi szám SZK, AK, TK = időszakosan cserélődő kapcsolati kódok index

(…) = index kóddal való titkosítás NÉV = viselt név 4T = szül. név, anyja neve, szül.

Gyakorlati megvalósulását pedig az alábbi folyamat szemlélteti: a SZEÜSZ működését a idő TAJ hely, és adóazonosító jel példáján mutatjuk be, a többi eset ezek valamelyikére visszavezethető. Esetünkben a beteg megjelent az orvosnál, de nincs nála a TAJ kártyája, a személyi azonosító SZÜLÉV = születés éve számát azonban tudja. Ehhez az OEP nyújt az ÖNY felé beregisztrált szolgáltatást a rendelőnek, az OEP lekérdezheti az okmányszámhoz tartozó TAJ SZÜLIDŐ számot. A =főszületés lépések ateljes következők: ideje - kérő (rendelő) az okmány szám alapján összeállít egy kérést. Ehhez egyedi tranzakció azonosítót kreál, és letárolja egy listában a tranzakció azonosítót, az okmányszámot, hogy tudja, mire kapott választ. - az okmány nyilvántartó (ONY=KEK KH) felé átadja a kérést (tranzakció azonosító, kérő azonosító, okmánytípus, okmányszám, mit kér=TAJ, jogosultság kód), vagy kérő azonosíthatóságával, vagy hitelesítve (pl. aláírva). - ONY a kérőt ellenőrzi, ha nem jogosult, elutasítja a kérést - ONY a jogosult kéréshez tartozó okmányt kikeresi, kiveszi az összerendelési kapcsolati kódját - ONY a kérést átalakítja és az ÖNY felé továbbítja. - az ÖNY ellenőrzi, ki kérte, és ha nem jogosult, elutasítja - a jogosult kérésére ÖNY a kérésben megadott tikosított összerendelési kapcsolati kódot a megadott „oszlopban” a nyilvántartásából kikeresi, és a hozzá tartozó mezőből kiveszi a kért összerendelési titkosított kapcsolati kódot. (A példában a TAJ számhoz tartozót). - az ÖNY a választ az adatgazdához továbbítja, nem foglalkozik az eredeti kérésben szereplő kérővel, ő csak a nála nyilvántartott értékek adatgazdáit ismeri, csak azokkal kommunikál. Itt tehát a TAJ esetében, mert azt kérték, az OEP-nek küldi a válaszát. A

79

válasza tartalmazza a kért kódhoz tartozó titkosított összerendelési kapcsolati kódot és annak típusát (TAJ-hoz tartozó). 9) A TAJ azonosító nyilvántartó (OEP) a megkapott típust (TAJ-hoz tartozó) és titkosított összerendelési kapcsolati kódot átveszi, a kódot visszafejti (kititkosítja), majd kikeresi a kódhoz tartozó TAJ számot. 10) A TAJ azonosító nyilvántartó ezt követően továbbítja kérőnek a választ (tranzakció azonosító, TAJ szám) A folyamat könnyebben átlátható az alábbi ábra segítségével: (KKSZIG)K(KKTAJ) OEP

TR kód mit = TAJ ki = KÉRŐ adattip= KKSZIG érték = (KKSZIG)K

TR kód mit = TAJ ki = KÉRŐ adattip= SZIG érték = okmányszám

ÖR

SZIG / KKSZIG

KÉR Ő

SZIG / TAJ K SZI G

SZI G

2.5.4

TR kód mit = TAJ ki = KÉRŐ adattip= SZIG érték = (KKTAJ)OEP

KKTAJ / TAJ

TR kód mit = TAJ ki = KÉRŐ adattip= TAJ érték = TAJ

TAJ

TAJ

Azonosítási szolgáltatás

Az azonosítási szolgáltatás olyan SZEÜSZ, amelynek keretében a SZEÜSZ szolgáltató az elektronikus ügyintézés során megállapítja, hogy egy adott személy megegyezik-e egy korábban regisztrált személlyel. Ráépülő szolgáltatása épít a rendelkezés nyilvántartásra és az összerendelési nyilvántartásra. A megújult szabályozás a korábbihoz képest lényegesen differenciáltabban szabályozza az elektronikus azonosítás megkövetelt módját, lehetőségeit, követelményeit. Az azonosítás különböző biztonsági szinteken nyújtható, a legegyszerűbb jelszavas azonosítástól a többcsatornás, többfaktoros megoldásig. Míg korábban a jogszabályok valamennyi ügyfél számára egységesen határozták meg az azonosítás megkövetelt szintjét, a hatályos jogszabály az azonosítás következő rendszerét állítja fel: a jogszabályi keretek között a hatóság meghatároz egy biztonsági szintet, amelyet az ügyfél azonosítás során megkövetel, erről az elektronikus tájékoztatás szabályai szerint tájékoztatót tesz közzé. Az ügyfél az ügyintézési rendelkezésében ennél magasabb

80

biztonsági szintet is meghatározhat. Így dönthet úgy, hogy az ő esetében csak magas biztonsági szintű azonosítás fogadható el (amennyiben a hatóságnál rendelkezésre álló technikai eszközök ezt lehetővé teszik). Az ügyfél ugyanakkor az ügyintézési rendelkezésében alacsonyabb biztonsági szintet is meghatározhat. Ennek korlátját jelentheti, ha az ügyfajta vonatkozásában törvény vagy kormányrendelet ezt kizárja, valamint az adott hatóságnál rendelkezésre álló azonosítási szolgáltatások köre. Személyes megjelentés esetén az ügyfél vagy más személy azonosítása főszabályként hatósági igazolványok alapján történik. A Ket. ugyanakkor 2012. április 1-je óta lehetővé teszi, hogy a hatóság a személy azonosítására a rendelkezésre álló elektronikus eszközöket is felhasználja, így adott esetben igazolvány nélkül is azonosítani tudja az előtte megjelent személyt. A Szeüszr. értelmében azonosítási szolgáltatásként - azonosítás ellenőrző ügynöki szolgáltatás (AESZ) - egyedi azonosság ellenőrzés szolgáltatás (EASZ) valamint - teljes körű azonosítási szolgáltatás (TASZ) nyújtható. A szokásos azonosítási szolgáltatás a TASZ. Ez a hagyományos azonosítási szolgáltatás együttes biztosítását jelenti, ahol az ügyfelet regisztrálják, kap valamilyen csak hozzá köthető azonosító adatot, és adott technológiai megoldással (pl. jelszó megadással) a szolgáltató ellenőrzi, hogy azonos-e az azonosított személy a regisztrált személlyel, és ha igen, az előre megadott igazolt adatot az azonosítást kérőnek átadja. Az AESZ olyan központi szolgáltatás, ami az elektronikus ügyintézés közigazgatáson belüli terjedését kívánja segíteni. Ahelyett, hogy a hatóságoknak a különböző azonosítási formák (pl. ügyfélkapus, PKI alapú) mindegyikére fel kellene készülnie, egyszerűbb az azonosítási lehetőségeket egy központi szolgáltatás alá szervezni, amely a hatóság számára elvégzi az azonosítást. A hatóság a szolgáltatótól (ügynök) kéri az azonosítást, a szolgáltató kérdezi meg az ügyféltől, hogy milyen módon kívánja azonosítani magát, s a kérésnek megfelelő azonosítás szolgáltató bevonásával elvégzi az azonosítást. A hatóság már csak az igazolt adatot kapja vissza. A szabályozás elvben lehetővé teszi több AESZ szolgáltatás kialakítását, ténylegesen azonban csak egy (a KAÜ: Központi Azonosítási Ügynök – ld. lejjebb) létrehozását teszi kötelezővé. Az EASZ egész más okból került a SZEÜSZ-be. Sok olyan azonosítási forma van, amelyet piaci szolgáltatók nyújtanak és előnyös lenne a használatát megengedni, de nem várható el, hogy az azonosítás szolgáltató bármiféle bejelentést vagy engedélykérést megtegyen a Felügyelet felé (pl. Google azonosítási rendszere már kiegészítő mobiltelefonos szolgáltatást is nyújt, de nyilvánvaló, hogy a Google nem fogja ezt bejelenteni a magyar kormányzathoz). E probléma feloldását szolgálja az EASZ. Itt a szabályozás nem a szolgáltatás nyújtás, hanem a szolgáltatás igénybevétele oldaláról történik. Bárki bejelentheti, aki el kívánja fogadni, a Google esetében például a rendelkezési nyilvántartás EASZ bejelentése alapján. Így elméletileg a Google szolgáltatása akár alkalmazhatóvá válhat a közigazgatásban. Fontos, hogy a fenti szolgáltatások önálló részszolgáltatásokként nyújthatóak, ezért is lehetséges külön-külön követelményeket állítani a nyújtásukkal szemben. Az azonosítás lefolytatásának megfelelőségéért - EASZ és TASZ esetén az azonosítást kérő hatóság - AESZ alkalmazása esetén az AESZ-t nyújtó azonosítási szolgáltató

81

felel. A Felügyelet ajánlást tesz közzé az EASZ és az EASZ-t is tartalmazó TASZ esetében az azonosítási szolgáltatóval történő adatcserére szolgáló felület és a kapcsolattartási protokoll műszaki megvalósítására. Azonosítási módok lehetnek: jelszavas azonosítás, SMS-es megerősítés, részleges kódos azonosítás, PKI autentikációs tanúsítvány alapú azonosítás, egyszer használatos kódra alapuló azonosítás, valamint a KAÜ. A jogszabály a KAÜ általi azonosítás elfogadását minden közigazgatási hatóság számára kötelezővé teszi, ha olyan szolgáltatást nyújt, amiben elektronikus azonosítás szükséges. 2.5.5

Központi azonosítási ügynök szolgáltatás (KAÜ)

Állam által kötelezően nyújtandó SZEÜSZ, a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. a kijelölt szolgáltató. A KAÜ szolgáltató a hatóságok részére azonosság ellenőrző ügynöki szolgáltatást nyújt, kötelező jelleggel. A központi azonosítási ügynök elérési felületének meg kell felelnie az elektronikus ügyintézési felügyelet által közzétett ajánlásban meghatározott követelményeknek; a közigazgatási szerv elektronikus ügyintézés esetén köteles a KAÜ igénybevételével történő azonosítás elfogadását biztosítani.

2.5.6

Az ügyfél időszaki cselekményekről:

értesítése

az

elektronikus

ügyintézési

Az időszakos értesítés hosszabb távú célja, hogy az ügyfél megbízható információt kapjon a nevében történt (közigazgatási) cselekményekről, adatainak lekérdezéséről. E szolgáltatásnak adatot szolgáltat az azonosítási, rendelkezés nyilvántartási, összerendelési, később a biztonságos kézbesítési és hozzáférés iratkezelő rendszeréhez SZEÜSZ. Az értesítési időszak legalább 15, legalább 90 napos lehet. Értesítés csak azon hatóság adataira terjed ki, amely hatóság azt biztosítja és a Felügyelet részére bejelentette. Az időszakos értesítés fontos jellemzője, hogy a megadott időszakonként pontosan elkészül, és nemleges esetben is megküldésre kerül (amikor semmi nem történt az ügyfél nevében), valamint az, hogy az értesítés hivatalos igazolás, ami megfelelően hitelesítve van (elektronikusan aláírt). Az értesítés tehát mindezek miatt fontos garanciális elem. Ha nem jön meg a szokott időben, akkor az ügyfél reklamál. Hamis értesítés a megfelelő hitelesítéssel (elektronikus aláírás) kizárható. Az ügyfél tehát mindenképpen értesül arról, hogy mikor, mi történt a nevében, így az illegális belépéseket is észlelheti és utólag intézkedhet. A szolgáltatás ugyanakkor nem zárja ki, hogy akár hatóság vagy más SZEÜSZ szolgáltatók (KAÜ) külön szolgáltatásként azonnali értesítést küldjenek (SMS-t). Az eseti szolgáltatás elmaradása ugyanakkor ezzel az értesítési móddal az ügyfél számára nem észlelhető, hiszen nem tudhatja, hogy éppen történik valami a nevében illegálisan, ezért nem is vár értesítést. Az időszakos értesítés lényege pont az, hogy mindenképp egy előre megadott időben megkapja az elmúlt időszakra vonatkozó eseményeket, ha nem így történik, az már önmagában jelzés a visszaélésre. Az ügyfél az időszaki értesítésre vonatkozó igényét az ügyintézési rendelkezés nyilvántartásban adhatja meg, a hivatal az ügyfél utasításait közvetlenül a rendelkezési nyilvántartásból veszi.

82

Az ügyfél kérheti, hogy a hatóság a tájékoztatásban valamennyi adattovábbítás tényét feltüntesse. Az ügyfél az értesítés keretében igényelheti azt is, hogy a hatóság értesítse - a KAÜ szeüsz keretében történt, az ügyfél nevében történő bejelentkezésekről; - az ügyfél ügyintézési rendelkezésére vonatkozó lekérdezésekről; - az ügyfélre vonatkozó, az adott időszakban a hatóság részéről és részére történt adattovábbításokról; - az iratkezelési rendszerekből ügyféltől érkeztetett iratokról, valamint - az iratkezelési rendszerekből ügyfélnek küldött iratokról. Állam által kötelezően nyújtandó SZEÜSZ, a Kijelölő rendelet szerint a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala a kijelölt szolgáltató. 2.5.7

Elektronikus dokumentumtárolási szolgáltatás (EDT):

A szolgáltatás alapvető feladata elektronikus dokumentumok hitelességének megőrzése és azok tartós értelmezhetőségének, olvashatóságának biztosítása. A Szeüszr. ezt a feladatot négy önállóan nyújtható részszolgáltatásra bontja: - átmeneti tárolás: a SZEÜSZ szolgáltató a dokumentumot eredeti, átvett formájában köteles a kikéréskor az igénylő rendelkezésre bocsátani, de nem köteles az átvett dokumentumok hitelesítési információinak aktualizálásáról gondoskodni. - elektronikus irattári szolgáltatás: szolgáltatás igénybe vevője az általa kezelt és iktatórendszerben nyilvántartott dokumentum tárolását a SZEÜSZ szolgáltatóra bízza. A szolgáltató egyes iratkezelési műveleteket is elvégezhet az átvett dokumentumon, mint irattári átvétel, kiadás (az irattári kezelés szabályai szerint); levéltárba adás, selejtezés (hatóság konkrét rendelkezése alapján). - tartós tárolás: SZEÜSZ szolgáltató hosszú távon gondoskodik a dokumentumok hitelességének, rendelkezésre állásának és értelmezhetőségének biztosításáról. A szolgáltató feladata a dokumentum tárolásának szükség szerinti megújítása. - levéltári kezelés: tartós tárolási szolgáltatás, amely biztosítja a dokumentum megőrzés informatikai hátterét. E részszolgáltatás igénybe vevője levéltári funkciót betöltő hatóság vagy szervezet. Az EDT állam által kötelezően nyújtandó SZEÜSZ, kijelölt szolgáltatója a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. 2.5.8

Kézbesítési szolgáltatás

Az elektronikus dokumentumok küldőtől címzetthez történő eljuttatását biztosító szolgáltatás, külön nevesített formája a biztonságos (elektronikus) kézbesítési szolgáltatás, amelynél már a kézbesítési vélelem is alkalmazható. Épít az azonosítás SZEÜSZ-re. A szolgáltatás keretében az alábbi tevékenység nyújtható: üzenet feladása, továbbítása, fogadása, tárolása, titkosítása, feladó vagy címzett értesítése, feladó vagy címzett kézbesítési szolgáltatással kapcsolatos egyes nyilatkozatainak tárolása. E tevékenységeket a hatóság, vagy tőle elkülönült SZEÜSZ szolgáltató is végezheti. Az egyes tevékenységek több szolgáltató között is megoszthatók. 2.5.9

Biztonságos kézbesítési szolgáltatás

A hatályos szabályozás kétféle kézbesítési szolgáltatást különböztet meg (biztonságos és nem biztonságos kézbesítési szolgáltatás), amelyek között jelentős különbségek vannak a jogkövetkezmények tekintetében: (i) a kézbesítési vélelem beállására csak biztonságos kézbesítési szolgáltatás esetén kerülhet sor; (ii) biztonságos kézbesítési szolgáltatásnak nem minősülő kézbesítési szolgáltatást a hatóság csak akkor alkalmazhat, ha a címzett az ügyintézési rendelkezésében vagy külön nyilatkozatában az ilyen módon történő

83

kézbesítéshez hozzájárult vagy azt kérte, valamint (iii) biztonságosnak nem minősülő kézbesítés esetén a dokumentum akkor minősül kézbesítettnek, ha az ügyfél nyilatkozik az üzenet fogadásáról. A biztonságos kézbesítési szolgáltatás állam által kötelezően nyújtandó SZEÜSZ, a Magyar Posta Zrt. a kijelölt szolgáltató; célja, hogy megfelelő garanciákat nyújtva biztosítsa az elektronikus dokumentum kézbesítésével kapcsolatos lényegi követelmények (az üzenet fogadásának igazolása; a dokumentum sértetlensége a továbbítás során; az átvevő személyének igazolása; a sikeres vagy sikertelen kézbesítés igazolása) teljesülését. 2.5.10 Elektronikus tájékoztatási szolgáltatás Az elektronikus tájékoztatás szabályozási körbe vonásának célja a közigazgatás egységes arculatának kialakítása volt. A közigazgatás hatékonyságának növeléséhez elengedhetetlen, hogy az ügyfelek minél tájékozottabban és minél időtakarékosabb módon intézzék ügyeiket. Az elektronikus tájékoztatás szolgáltatás keretében kialakítandó rendszer összehangolt portálok rendszerére épül. Belépési felülete a magyarorszag.hu, amely alapvetően egy felső szintű tájékozódási pont, ahonnan az egyes funkcionális portálokra könnyen eljut az olvasó. Bár látszólag „csak” tájékoztatásról van szó, az ügyfelek számára a közigazgatás tényleges elérhetősége szempontjából fontos szolgáltatás, így magasak az elvárási követelmények a központi szolgáltatásként megvalósított szolgáltatás járulékos követelményeivel szemben. A szolgáltatást korlátozás nélkül mindenki igénybe veheti. Egyes rész-szolgáltatásainak igénybevétele regisztrációhoz köthető. A jogszabályban nevesített központi szolgáltatást kizárólag a kormány által kijelölt szervezetek (illetve azok által megbízott szervezet) nyújthatják. Ezen kívüli tájékoztatási feladatot minden közigazgatási intézmény elláthat. A központi szolgáltatásokat az ügyfelek közvetlenül érik el, s ez a leginkább és legelőször észlelhető felület az elektronikus ügyintézésben.. 2.5.11 Interaktív virtuális ügyfélszolgálat Az interaktív virtuális ügyfélszolgálat keretében biztosított informatikai rendszer által lehetősége nyílik az igénybevevő hatóságoknak internetes eléréssel személyes ügyintézői kapcsolaton alapuló ügyintézést lefolytatni, illetve a hatóságok közötti együttműködés keretében is alkalmazni. Ez a gyakorlatban az ügyfél és ügyintéző közötti egyidejű képi és hangkapcsolat támogatását, az elektronikus dokumentumok közvetlen cseréjét, ha technikai feltételei adottak, az ügyhöz tartozó elektronikus űrlapok ügyfél általi kitöltése ügyintéző általi támogatásának lehetőségét, valamint a szolgáltatás igénybevételéhez szükséges előzetes időpontfoglalás lehetőségét jelenti. Az interaktív virtuális ügyfélszolgálat szolgáltatás a Kormány által kötelezően nyújtandó SZEÜSZ. A szolgáltatást a jogszabályban kijelölt szolgáltató kizárólagos jelleggel nyújtja. A Kijelölési rendelet szerinti kizárólagos szolgáltató a KEK KH. 2.5.12 Személyre szabott ügyintézési felület A személyre szabott ügyintézési felület egy olyan támogató szolgáltatás, amelynek használatával az ügyfél számára személyre szabott internetes felület áll rendelkezésre, segítve ezzel az ügyfél által igénybevett SZEÜSZ-ök és EÜSZ-ök, illetve azok igénybevételére szolgáló más internetes felületek elérését. Az ügyfélnek lehetősége van arra, hogy saját maga személyre szabhassa ügyintézési felületét, hogy azon keresztül az általa kiválasztott SZEÜSZ-öket igénybe vehesse, illetve az internetes felületeket elérhesse.

84

Állam által kötelezően nyújtandó SZEÜSZ, a Kijelölő rendelet szerinti szolgáltató a NISZ Zrt. A Szeüszr. átmeneti rendelkezései alapján megvalósításának határideje 2015. július 1. 2.5.13 Központi kézbesítési ügynök (KKÜ) A központi kézbesítési ügynök feladata, hogy ellássa a közfeladatot ellátó szerv által kiküldendő elektronikus iratok kézbesítésének előkészítését, adathordozójának, fajtájának meghatározását, továbbá egyéb, a kézbesítés módja tekintetében a közfeladatot ellátó szervek iratkezelésére vonatkozó feladatokat. Ennek alapja jogszabályi előírás, vagy a közfeladatot ellátó szervvel való megállapodás. A KKÜ magában foglalja a közfeladatot ellátó szerv által részlegesen is igénybe vehető alábbi részszolgáltatásokat: - a küldeménynek a közfeladatot ellátó szervtől történő átvételét, a küldemény kiküldés előtti biztonsági ellenőrzését, a jogszabályoknak, - és ha a címzett személye automatikusan megállapítható - a címzett ügyintézési rendelkezésének és - ha jogszabály azt lehetővé teszi - a közfeladatot ellátó szerv rendelkezésének is megfelelő kézbesítési forma, mód és cím megválasztását, - a küldemény elektronikus aláírással való központi hitelesítését, - a küldemény kézbesítési mód és forma szerinti, kézbesítési címre történő kézbesítése iránti intézkedést, - a küldemény elküldését, valamint kézhezvételét igazoló visszaigazolás átvételét és a közfeladatot ellátó szerv felé történő átadását, amennyiben a kézbesítési szolgáltatás részeként ilyen kiállításra kerül, valamint - a kézbesítés iránt történő intézkedés időpontjának és módjának a közfeladatot ellátó szervvel való haladéktalan közlését. 2.5.14 Központi érkeztetési ügynök (KÉÜ) A központi érkeztetési ügynök feladata, hogy ellássa a közfeladatot ellátó szerv részére elektronikus úton érkezett küldemények átvétele, felbontása, érkeztetése tekintetében az iratkezelésre vonatkozó feladatokat. Ennek keretében részszolgáltatásként is nyújtható: - az elektronikus dokumentumnak a közfeladatot ellátó szerv által kijelölt kapcsolattartási módon való átvétele, - ha ez lehetséges, a feladó ügyintézési rendelkezésének való megfelelés ellenőrzése, - a dokumentum biztonsági ellenőrzése, - a dokumentum megnyithatóságának, formátumának ellenőrzése, - elektronikus aláírással ellátott küldemény esetén az elektronikus aláírás érvényességének ellenőrzése, valamint jogszabály rendelkezése vagy a közfeladatot ellátó szervvel kötött megállapodás alapján a hosszú távú letagadhatatlansághoz szükséges kellékek biztosítása, - a dokumentumnak a közfeladatot ellátó szerv nevében történő átvételének hivatalos visszaigazolása vagy - ha ennek a feltételei nem állnak fenn - az átvétel hivatalos megtagadása, - a dokumentum, valamint az érkeztetési nyilvántartás adatainak - az iratkezelő rendszerek közötti iratáthelyezés szolgáltatással kompatibilis formában - a címzett közfeladatot ellátó szerv részére történő átadása. A küldemény átvételét, felbontását, érkeztetését követően automatikus érkeztetésre alkalmas módon adja át a KÉÜ a küldeményt a szerv iratkezelő rendszerének.

85

Állam által kötelezően nyújtandó szolgáltatásról van szó, a Kijelölő rendelet szerinti szolgáltató a NISZ Zrt. 2.5.15 Elektronikus űrlapok kezelése/ ÁNYK űrlap benyújtás támogatási szolgáltatás Nem véletlenül ismertetjük e két SZEÜSZ-t egy címszó alatt. Próbáljuk meg körüljárni azt a kérdést, hogy ez esetben valóban két önálló SZEÜSZ-ről van-e szó. A Ket., mint legfelsőbb szintű szabályozó eszköz, nevesíti mindkét SZEÜSZ-t, az ÁNYK (általános nyomtatvány kitöltő) űrlapbenyújtás támogatási szolgáltatást az állam által kötelezően nyújtandó SZEÜSZ-ök között, az elektronikus űrlapok kezelését az általános SZEÜSZ-ök között sorolja fel. Tekintettel arra, hogy a Ket. tartalmi szabályozást az egyes SZEÜSZ-ökre nézve nem ad, a Ket. alapján nem dönthető el, de feltételezhető, hogy nem ugyanarról a szolgáltatásról van szó, de nem zárható ki, hogy az elektronikus űrlapkezelés tartalmazhatja a másikat, részszolgáltatásként. A kijelölő rendelet mindkét SZEÜSZ tekintetében jelöl ki szolgáltatót, holott az elektronikus űrlapok kezelése nem kötelezően nyújtandó szolgáltatás. Az űrlapkezelés kijelölt szolgáltatója a KEK KH, amely feladata ellátásába bevonja a KOPINT-DATORG Informatikai és Vagyonkezelő Kft.-t, az ÁNYK űrlap benyújtás támogatási szolgáltatás vonatkozásában a NISZ Zrt.-t (valamint külön jogszabályban meghatározott szervet jelöl ki). A kijelölő rendelet alapján tehát feltételezhető, hogy két teljesen önálló SZEÜSZ-ről beszélünk. A szeüszr. az ÁNYK űrlap benyújtás támogatási szolgáltatás (ÁBT) SZEÜSZ-t részletesen szabályozza, az elektronikus űrlapkezelés szabályait az elektronikus űrlap elnevezésű SZEÜSZ alatt olvashatjuk. Ennek értelmében elektronikus űrlap tervezését és kitöltését segítő szolgáltatást (valamint egyéb kiegészítő szolgáltatást) nyújt a SZEÜSZ szolgáltató. Arról is rendelkezi, a jogszabály, hogy az elektronikus űrlapok kezelését és kitöltését segítő programokat úgy kell kialakítani, hogy azok lehetővé tegyék az űrlapok integrálását az interaktív virtuális ügyfélszolgálat keretében nyújtott szolgáltatásba. Újdonság és érdekesség, hogy az elektronikus űrlap szolgáltatást Kormány által kötelezően nyújtandó szolgáltatásként nevesíti a szeüszr. A gyakorlatban azonban az elektronikus űrlap szolgáltatás fejlesztéséről és megvalósításáról nincsenek adatok. NISZ Zrt. csak az ÁNYK-s űrlapokkal foglalkozik. Ez a szolgáltatás már működik, a korábbi ügyfélkapu „utódjaként” – erről az alábbiakban lesz szó. A jelen helyzetben tehát feltételezhető, hogy az elektronikus űrlap kezelés szolgáltatás nyújtását a gyakorlatban – legalábbis egyelőre – leszűkítve, az ÁNYK űrlap benyújtás támogatási szolgáltatásra nézve látják biztosítottnak. Az ÁNYK űrlap benyújtás támogatási szolgáltatás (ÁBT) ismertetéséhez nélkülözhetetlen visszautalni a korábban leírt előzményekre. Ebben láthattuk, hogy a SZEÜSZ-ökre, mint építő elemekre modellszerűen épülő elektronikus közigazgatás létrehozása előtti Központi Rendszer az ügyfélkapura épült. Az ügyfél minden elektronikus szolgáltatást az ügyfélkapun keresztül történő belépés és azonosítás után tudott igénybe venni. Tekintettel arra, hogy az ügyfélkapu létesítéséhez és használatához szükséges, személyes adatok kezelésére vonatkozó rendelkezéseket 2009. szeptember 30-ig a Ket., ezt követően pedig 2012. március 31-ig az elektronikus közszolgáltatásokról szóló 2009. évi LX. törvény szabályozta, az törvényen alapuló, kötelező adatkezelés volt. 2012. április 1-jétől a szabályozás – a korábbiakkal szemben – abból indul ki, hogy az ügyfél majd több azonosítási eljárás közül szabadon választhat (ezzel megszünteti az

86

ügyfélkapu kizárólagosságát), az adatkezelés pedig az érintett hozzájárulásán alapuló, önkéntes adatkezeléssé válik. Az új rendszerben tehát az ügyfélkapu, mint az ügyfél azonosítását biztosító jelszavas azonosítási részszolgáltatás él tovább, az ÁNYK (általános nyomtatványkitöltő) segítségével kitöltött űrlap benyújtását támogató szolgáltatás részeként. Az ÁNYK olyan program, amellyel az elektronikus űrlap kitölthető és ellenőrizhető, a BEDSZ (űrlap/dokumentum feltöltési szolgáltatás) szolgáltatással beküldhető. Az ÁBT szolgáltatást csak természetes személyek vehetik igénybe, ennek megfelelően ügyfélkaput is csak természetes személy hozhat létre és tarthat fent. Amennyiben hatóság kíván hozzáférni ÁBT szolgáltatásokhoz, azt a Ket. értelmében a hivatali kapun keresztül teheti meg. A hivatali kapu a hatóságok számára a benyújtott űrlap átmeneti tárolását biztosító tárhely, hozzárendelt jelszavas azonosításon alapuló elérhetőség ellenőrzéssel. A hivatali kapu használója, azon keresztül valamely szervezet nevében tevékenységet végző, kizárólag ügyfélkapuval már rendelkező (azonosított) természetes személy lehet. Ami a korábbi, Központi Rendszerben létrehozott ügyfélkaput és az abban tárolt adatokat illeti, a Ket. átmeneti rendelkezései az irányadóak. Ennek alapján a 2012. március 31-én létező ügyfélkapu 2012. április 1-jét követően is fennmarad, az ügyfélkapuval rendelkező természetes személyek adatait – az állampolgárságra vonatkozó adat kivételével – az ügyfélkapu regisztrációs adatbázist kezelő szerv a 168/A. § szerinti ügyfél-regisztrációs adatbázisában kezeli tovább, kivéve ha a természetes személy az ügyfélkapu és az ahhoz kapcsolódó személyes adatai törlését az ügyfél-regisztrációs adatbázist kezelő szervtől kéri. Az átmeneti rendelkezések tehát a korábbi ügyfélkapu vonatkozásában is megnyitják az ügyfél választásának és az adatkezeléshez való hozzájárulás lehetőségét. A Ket. átmeneti rendelkezései azt is kimondják, hogy ahol jogszabály ügyfélkaput vagy hivatali kaput említ, ott a Kormány által kötelezően nyújtott azonosítási és biztonságos kézbesítési szabályozott elektronikus ügyintézési szolgáltatást kell érteni. A Ket. felhatalmazása alapján a Kormány rendeletben jelöli ki - többek között - az ügyfélkapu regisztrációs szervet és az ügyfélkapu regisztrációs adatbázist kezelő szervet. A kijelölés a Kijelölő rendeletben megtörtént, ennek alapján ügyfélkapu létesítésére feljogosított regisztrációs szervként a Kormány a KEK KH-t, a fővárosi és megyei kormányhivatalokat, a fővárosi és megyei kormányhivatalok járási (fővárosi kerületi) hivatalait, a Nemzeti Adó- és Vámhivatalt, a Magyar Posta Zrt.-t, valamint Magyarország diplomáciai és konzuli képviseleteit jelöli ki. Az ügyfélkapu regisztrációs adatbázis adatkezelője a KEK KH, amely az adatkezelői feladatok ellátása érdekében adatfeldolgozói szerződést köthet. A kormányablak jogszabályban meghatározott feladatainak ellátása érdekében az elektronikus iratok kezelése SZEÜSZ szabályai szerint országosan egységes rendszerben központi iratkezelő rendszert biztosít – a KEK KH közreműködésével – a fővárosi és megyei kormányhivatalok törzshivatalai és a járási (fővárosi kerületi) hivatalok törzshivatalai által kezelt iratok kezeléséhez. A központi iratkezelő rendszer adataihoz a kormányablak a jogszabályban meghatározott feladatainak ellátása érdekében hozzáférhet. A szeüszr. részletesen szabályozza az ügyfélkapu igénybevételéhez szükséges (személyes vagy elektronikus) regisztrációs eljárás szabályait, az ügyfélkapu megszűnésének és megszüntetésének eseteit és eljárását, a hivatali kapu

87

létrehozásának és használatának szabályait, valamint a dokumentum/űrlap továbbítására és tárolására vonatkozó rendelkezéseket. Rá kell mutatni ugyanakkor arra, hogy a jelenlegi szabályozás nem egységes. Bizonyos ügytípusokban az ágazati törvények (pl. az adózás rendjéről szóló törvény, az egyéni vállalkozóról szóló törvény) kötelezővé teszi az ügyfélkapun keresztüli elektronikus ügyintézést. Ezekben az ügycsoportokban tehát nem biztosított az ügyfelek szabad választási lehetősége az elektronikus kapcsolattartási formák közöl, mert a hivatkozott jogszabályok alapján kötelezően ügyfélkaput kell használniuk. 2.5.16 Konverziós SZEÜSZ-ök: a.) elektronikus irat hiteles papír alapú irattá alakítása: az elektronikus iratról szolgáltató által készített papír alapú (hiteles) másolat készítését biztosító SZEÜSZ, épít az iratérvényességi nyilvántartásra, a biztonságos kézbesítési szolgáltatásra, a hitelesítés szolgáltatásra (aláíró, titkosító kulcsok). b.) papír alapú irat átalakítása hiteles elektronikus irattá: a szolgáltató által papír alapú iratról (hiteles) elektronikus másolat készítését biztosító szolgáltatás, épít a biztonságos kézbesítési szolgáltatásra, a hitelesítés szolgáltatásra (aláíró, titkosító kulcsok). c.) elektronikus iratról hiteles elektronikus másolat készítése: technikai jellegű SZEÜSZ, az iratok példányainak nyilvántartását megalapozó másolatkészítés szabályait tartalmazza. A konverziós SZEÜSZ-ök állam által kötelezően nyújtandó szolgáltatások, a Kijelölő rendelet szerinti szolgáltató a Magyar Posta. 2.5.17 Azonosításra visszavezetett dokumentumhitelesítés (AVDH): A szolgáltatás keretében a szolgáltató az ügyfél által rendelkezésre bocsátott nyilatkozatot az általa azonosított személyhez rendeli, majd e személyhez rendelést – későbbi felhasználás céljából – hitelesen igazolja. Az igazolást a hatóságok kötelesek elfogadni annak hiteles igazolására, hogy az érintett nyilatkozat a nyilatkozattevőtől származik. Felépítése: 1. a SZEÜSZ szolgáltató az ügyfél által rendelkezésre bocsátott nyilatkozatot az általa igazolt személyhez rendeli. A szolgáltató a nyilatkozatot tevő személyt az Eürszr. szerinti névhez kötött azonosítás szabályai szerint azonosítja. 2. a SZEÜSZ szolgáltató a személyhez rendelést hitelesen igazolja 3. a SZEÜSZ szolgáltató a személyhez rendelésről kiállított igazolást elektronikus dokumentumba, vagy az igazolást az elektronikus dokumentumhoz kapcsolt záradékba foglalja és azt a rendelkezésre bocsátott nyilatkozattal együtt külön jogszabályban meghatározott szervezeti aláírással és időbélyegzővel hitelesíti. Az igazolás vagy záradék tartalmazza a nyilatkozattevő nevét és a rendelkezésére álló további igazolt azonosító adatok közül a nyilatkozattevő által megjelölt és a SZEÜSZ szolgáltató által az azonosítási szolgáltatónál vagy az összerendelési nyilvántartás igénybevételével lekérdezett adatokat. Gyakorlati alkalmazása a kormányablaknál: az ügyfélnek megmutatják a keletkezett dokumentumot (pl. tableten). Amennyiben elfogadja, hitelesítenie kell: rákattint a dokumentumhitelesítés szolgáltatásra, megjelenik az AVDH alkalmazás, az ügyfél azonosítja magát (Ügyfélkapun keresztül). Ezután az Ügyfélkapu elküldi az AVDH-nak az ügyfél adatait, az ráteszi az aláírást és az időbélyegzőt a dokumentumra.

88

A kijelölő rendelet alapján állam által kötelezően nyújtandó szolgáltatás, a kijelölt szolgáltató a NISZ Zrt. Támaszkodik az azonosításra, felhasználhatja a kézbesítési szolgáltatás SZEÜSZ-t. 2.5.18 Elektronikus fizetési és elszámolási rendszer (EFER) Állam által kötelezően nyújtandó SZEÜSZ, működtetője a közigazgatási informatika infrastrukturális megvalósíthatóságának biztosításáért felelős miniszter, aki e feladatát a Magyar Államkincstár, valamint a Kormányzati Informatikai Fejlesztési Ügynökség közreműködésével látja el. Üzemeltetője a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt., amely az üzemeltetési feladatok ellátásához igénybe veheti más költségvetési szervek és vállalkozók közreműködését; célja: a hozzá csatlakozott szervezetek javára teljesítendő befizetések kapcsán biztosítja az elektronikus fizetés lehetőségét, a rendszer által biztosított fizetési módok használatával. Az elektronikus fizetés megvalósítása, az EFER rendszer megfelelő működése kiemelten fontos az elektronikus ügyintézés elterjedése szempontjából. Hiszen az ügyfél csak akkor tudja az ügyét teljesen elektronikusan elintézni, ha lehetősége van – a legtöbb ügytípusban keletkező - fizetési kötelezettségének is elektronikusan eleget tenni. 2.5.19 Iratkezelő rendszerek közötti iratáthelyezés szolgáltatás A Szeüszr. 47/C bekezdése értelmében az iratkezelő rendszerek közötti iratáthelyezés szolgáltatás keretében a SZEÜSZ szolgáltató ellátja a közfeladatot ellátó szerv iratkezelő rendszere által elektronikus felületen részére átadott, elektronikus iktatókönyvben nyilvántartott iratnak az elektronikus iktatókönyv adataival történő dokumentált átruházása tekintetében a közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló kormányrendeletben meghatározott, valamint az e kormányrendelet szerinti feladatokat. A SZEÜSZ szolgáltató az iratkezelő rendszerek közötti iratáthelyezésről igazolást állít ki az átadó részére. Az irat akkor minősül átadottnak, amikor a SZEÜSZ szolgáltató – az átvevő közfeladatot ellátó szerv rendszerének elektronikus értesítése mellett – az átvevő közfeladatot ellátó szerv számára elérhetővé teszi a) az iratot elektronikus formában, valamint b) az elektronikus iktatókönyv iratra vonatkozó iktatási adatait. Az iratot átadó közfeladatot ellátó szerv az iratáthelyezés megtörténtére vonatkozó igazolás átvételét követően az iratáthelyezés sikerességét iratkezelő rendszerében rögzíti. 2.5.20 Kormányzati hitelesítés-szolgáltatás (GOV CA) A kormányzati hitelesítés-szolgáltató hitelesítés szolgáltatásokat nyújt. A kormányzati hitelesítés-szolgáltató elektronikus aláírással kapcsolatos egyéb szolgáltatásokat, különösen elektronikus archiválási szolgáltatást, időbélyegzést, azonosítási célú tanúsítványok kibocsátását, valamint más nyilvános kulcsú infrastruktúraszolgáltatásokat is nyújthat. Kormányzati hitelesítés-szolgáltatás nyújtójaként csak állami szerv vagy kizárólag állami tulajdonban lévő szervezet jelölhető ki. A Kijelölő rendelet jelöli ki az egyes területek szolgáltatóit. 2.5.21 Kormányzati elektronikus aláírás ellenőrzési szolgáltatás Kötelezően nyújtandó szolgáltatásként az állam kormányzati elektronikus aláírás ellenőrzési szolgáltatást biztosít a hatóságok számára. A kijelölő rendelet szerinti

89

szolgáltató a NISZ Zrt. A szolgáltató feladata, hogy az állampolgárok, vállalkozások és közigazgatási hatóságok számára biztosítsa a közigazgatási ügymenethez kapcsolódüóan létrejött elektronikus aláírással kapcsolatos dokumentumok és adatok ellenőrzését. Az ellenőrzésbe beletartozik az aláírás érvényességének, az aláírt dokumentum sértetlenségének vizsgálata, az időbélyegzővel kiegészítés lehetősége, tanúsítványállapottal való kiegészítés vagy hitelesítési záradék készítése. Ha az elektronikus aláírás ellenőrzését a hatóság nem maga végzi el, arra kizárólag a kormány által biztosított szolgáltatást veheti igénybe. A SZEÜSZ szolgáltató tájékoztatja a hatóságot, ha a használt elektronikus aláírás e követelményeknek nem felel meg. A SZEÜSZ-ök felsorolását, szolgáltatóit és megvalósításuk státuszát az alábbi táblázat foglalja össze: SZEÜSZ SZOLGÁLTATÓ MEGVALÓSÍTÁS STÁTUSZA üzemel

Ügyfél ügyintézési rendelkezésének nyilvántartása Ügyfél időszaki értesítése az elektronikus ügyintézési cselekményekről Összerendelési nyilvántartás szolgáltatás Azonosítási szolgáltatás természetes személy ügyfelek részére Biztonságos kézbesítési szolgáltatás Elektronikus dokumentumtárolási szolgáltatás (EDT) A hatóság nyilatkozattételével kapcsolatos elektronikus igazolás szolgáltatása Elektronikus fizetési és elszámolási rendszer (EFER) Iratérvényességi nyilvántartás Kormányzati hitelesítésszolgáltatás (GOV CA) Kormányzati elektronikus aláírás ellenőrzési szolgáltatás Központi azonosítási ügynök

folyamat -ban

KEK KH

X

szolg. megvalósításá nak várható időpontja 2014. 10. 30.

KEK KH

X

2014. 10. 30.

KEK KH, Idomsoft Zrt. NISZ Zrt.

X

2014. 10. 30.

X

2014. 10. 30.

Magyar Posta Zrt. NISZ Zrt.

prototípus van

nincs

fejlesztés nem indult projektfinanszírozás nincs

NFM, MÁK, KIFÜ, NISZ Zrt. KEK KH

X

NISZ Zrt., KEK KH, Magyar Posta Zrt. NISZ Zrt.

X

NISZ Zrt.

X

2015. 01.01.

el,

prototípus van

X

2014. 31.

08.

módosítás

2014.

10.

90

szolgáltatás (KAÜ) ÁNYK űrlapbenyújtás támogatási szolgáltatás (ÁBT) Azonosításra visszavezetett dokumentumhitelesítés (AVDH) Elektronikus irat hiteles papír alapú irattá alakítása Papír alapú irat átalakítása hiteles elektronikus irattá Iratkezelő rendszerek közötti iratáthelyezés szolgáltatás Központi érkeztetési ügynök

alatt NISZ Zrt.

NISZ Zrt.

Magyar Posta Zrt. Magyar Posta Zrt. NISZ Zrt.

01.

X

2014. 07.01. prototípus van prototípus van X

NISZ Zrt.

X

Központi kézbesítési ügynök

NISZ Zrt.

X

Személyre szabott ügyintézési felület Elektronikus űrlapok kezelése Interaktív virtuális ügyfélszolgálat Elektronikus tájékoztatási szolgáltatás

NISZ Zrt.

X

KEK KH, Kopint Datorg KEK KH

X

KIM, NFM, NISZ Zrt.

X

X

2014. 10. 01. 2014. 10. 01. 2014. 10. 01. 2015. 07.01.

2015. 09.30.

Végezetül rá kell mutatni arra, hogy az állam által kötelezően biztosítandó SZEÜSZ-ök nyújtására a jogszabályban kijelölt szervezetnek a szolgáltatást legkésőbb 2014. július 1-jétől kell nyújtania. Engedély, bejelentés nélkül az adott szolgáltatás 2014. június 30ig volt nyújtható. A rendszer bemutatása után nem szabad elmenni amellett a tény mellett, hogy jelenleg a szolgáltatások bejelentése/engedélyezése a legtöbb esetben nem valósult meg. Ennek egyrészt oka az, hogy a szolgáltatásokhoz szükséges beszerzések elhúzódtak, hogy egyes SZEÜSZ-ök fejlesztése időigényes folyamat és még nem zárult le. Ahogy a táblázat is mutatja, a tervezett megvalósítási határidők a törvényben előírtnál későbbre tolódtak. A megvalósítás gyakorlati problémái mellett szót kell emelni a szabályozási környezet hiányosságairól is. Az egyértelmű jogforrási rendszer megteremtéséhez a Ket. és a végrehajtási rendeletek módosítására lenne szükség. A szeüszr. tartalmilag de szerkezetileg sincs összhangban a Ket. szabályozásával, a Felügyelet eljárásrendje finomításra szorul, az Ügyfélkapu státuszát rendezni kell. Vannak olyan, jogszabályokban szereplő SZEÜSZ-ök, amelyek fejlesztése el sem indult, de, ahogy láttuk, a fejlesztés alatt álló SZEÜSZ-ök ütemezése sem tudja követni a jogszabályban előírt határidőket. A fenti problémák orvosolhatóak a szolgáltatások, a fejlesztések és a jogi szabályozás együttes felülvizsgálatával és módosításával.

91

3

IT biztonság, adatvédelem alapok és gyakorlati példák

3.1 Bevezetés Jelen fejezetben az adatvédelemmel, információ védelemmel, illetve elsősorban az informatikai biztonsággal fogunk foglalkozni. Ezek a területek napjainkban kiemelt módon helyet kapnak a közigazgatásban, mivel az e-közigazgatási szolgáltatások terjedésével ezen a területen is egyre inkább valós fenyegetéssé válik az, hogy informatikai biztonsági incidensek miatt akár súlyos, kritikus zavar támadhat a közigazgatás, s így az állam működésében. A Kormányablakok tekintetében – és természetesen minden más elektronikus szolgáltatás esetében is – az informatikai, illetve adatbiztonság minden elvárásával triviális módon találkozhatunk. Kiemelt fontosságú, hogy a biztonság alapkövetelményei közül valamennyi teljesüljön, azaz az adatokhoz csak azok férhessenek hozzá, akik a megfelelő jogosultságokkal rendelkeznek, s azok is úgy, ahogy a jogosultságuk megengedi – továbbá lehetőleg ezek a hozzáférések is ellenőrizhetőek legyenek, akár utólagosan is. Másik alapkövetelmény, hogy az adatok integritása, sértetlensége és hitelessége biztosított legyen, azaz az adatok tartalma, illetve tulajdonságai – köztük az, hogy az adatok honnan származnak – nem változhatnak illetéktelen módon. A harmadik fontos elvárás, hogy rendszer, s ezen belül az adatok rendelkezésre állása biztosított legyen, azaz az informatikai rendszer a megfelelő funkcionalitással működjön és az adatok elérhetőek legyenek és lehetséges legyen velük dolgozni. Alapvetően e fenti 3 elvárásból bármilyen alsóbb szintű biztonsági követelmény levezethető. Napjainkban az informatikai biztonsági incidensek meglehetősen nagy publicitást kapnak. Ennek több oka van. Egyrészt a rendszerekben fellépő problémáknak nagyon sok érintettje lehet, gondoljunk például olyan szolgáltatásra, mint az ügyfélkapu, aminek több százezer regisztrált felhasználója van, és ezek közül bizonyos időpontokban igen sokan használják a rendszert vagy az elektronikus beszámoló rendszerre, ahová mintegy 400.000 cég tölti fel a beszámolóit minden évben. Másrészt egyre több olyan szolgáltatás van, amely annyira elterjedt, hogy azoknak a személyes igénybevétele igen körülményes és kényelmetlen lenne, de akár bizonyos esetekben lehetetlenné válna. Ezekre lehetnek példák a webbanki szolgáltatások, illetve manapság már számos olyan webáruház működik, aminek „valódi” fizikai üzlete tulajdonképpen nincs is. További ok az ilyen események körüli nagy érdeklődésre az, hogy a kibertérben történő incidensek manapság már nagyon komoly károkat idézhetnek elő, főleg gazdasági értelemben, de sajnos újabban már fizikai értelemben is. Ezekre példák lehetnek a nagyobb adatlopások, amelyek személyes adatokat, pénzügyi adatokat vagy bankkártya adatokat érintettek, de akár azok az események is, amikor ipari vállalatok üzemirányító rendszereit támadják, eközben valódi fizikai károkat okozva. A kibertérben manapság gazdasági és kereskedelmi tevékenység zajlik, nagyon komoly oktatási szegmens alakult ki, és már hazánkban is innen tájékozódik az emberek jelentős százaléka akár a napi hírek és események, akár a hivatali ügyintézések tekintetében. Ezen kívül a kibertér lehetőséget ad szórakozásra és játékra, a közösségi szolgáltatások segítségével kapcsolattartásra vagy kapcsolatok építésére. Fentiek alapján fontos leszögeznünk, hogy amit sokan „virtuális” térnek – mintegy fantázia-birodalomnak tekintve azt – tartanak az valójában napjainkra teljesen valódi életterünk! A kibertérben történő események valóban megtörténnek, gondoljunk akár az elektronikus vásárlási tranzakciónkra, a nyaralás foglalásunkra, az on-line

92

tanfolyamunkra vagy a szeretteinktől kapott képes üzenetekre. Mindössze annyi a különbség, hogy a kibertérbeli tevékenységeink fizikai léte tulajdonképpen számítógépeken és adattárolókon, szoftverek által kezelt adatokat és információkat tartalmazó fájlokban jelenik meg és nem papírpénz vagy egy papír alapú dokumentum vagy valamilyen tárgyi megnyilvánulási formában. Sajnos ebből a sajátosságból adódik, hogy míg a tisztán fizikai világ veszélyeit és kockázatait – éles felület, forró tárgy, fizikai védelmi szükségletek – mindenki könnyen felismeri, addig ebben az új térben sokan a kockázatokat sem ismerik, így nyilván a védekezési lehetőségeket sem. Fejezetünk e kockázatok megismerésében és kezelésükben is kíván segíteni.

3.2 Alapfogalmak Bizalmasság: az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak és csak a jogosultságuk szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról. CERT: Computer emergency response team - számítástechnikai sürgősségi reagáló egység vagy hálózatbiztonsági központ. Hasonló megnevezés a CSIRT (Computer security incident response team – informatikai biztonsági incidens kezelő csoport). Elektronikus aláírás: elektronikusan aláírt elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt vagy azzal elválaszthatatlanul összekapcsolt elektronikus adat. Informatikai biztonság: Az informatikai biztonság az informatikai rendszer olyan állapota, amelyben a kezelt adatok bizalmassága (confidentiality), sértetlensége (integrity) és rendelkezésre állása (availability) biztosított, valamint a rendszer elemeinek biztonsága szempontjából zárt, a rendszer védelme teljes körű, folytonos és a kockázatokkal arányos. Létfontosságú információs rendszer és létesítmény: a társadalom olyan hálózatszerű, fizikai vagy virtuális rendszerei, eszközei és módszerei, amelyek az információ folyamatos biztosítása és az informatikai feltételek üzemfolytonosságának szükségességéből adódóan önmagukban létfontosságú rendszerelemek, vagy más azonosított létfontosságú rendszerelemek működéséhez nélkülözhetetlenek (lásd.: kritikus infrastruktúra). Kibertér: A kibertér globálisan összekapcsolt, decentralizált, egyre növekvő elektronikus információ-rendszerek, valamint ezen rendszereken keresztül adatok és információk formájában megjelenő társadalmi és gazdasági folyamatok együttesét jelenti. Magyarország kibertere a globális kibertér elektronikus információ-rendszereinek azon része, amelyek Magyarországon találhatóak, valamint a globális kibertér elektronikus rendszerein keresztül adatok és információk formájában megjelenő társadalmi és gazdasági folyamatok közül azok, amelyek Magyarországon történnek vagy Magyarországra irányulnak, illetve amelyekben Magyarország érintett.

93

Rendelkezésre állás: az adat, illetve az informatikai rendszer elemeinek tulajdonsága, amely arra vonatkozik, hogy az arra jogosultak által a szükséges időben és időtartamra használható. Sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az elvárt forrásból származik (hitelesség) és a származás megtörténtének bizonyosságát (letagadhatatlanság) is, illetve a rendszerelem tulajdonsága, amely arra vonatkozik, hogy a rendszerelem rendeltetésének megfelelően használható.

3.3 Jogszabályi háttér Hazánkban az információbiztonságnak, az adatvédelemnek valamint az informatikai biztonságnak széles jogszabályi háttere van. Hazánk számos területen büszkélkedhetett és büszkélkedhet napjainkban is azzal, hogy szabályozási területen gyorsan reagál a technológiai fejlődésre. Sajnos a megvalósításban azonban nem tartozunk az élvonalhoz. Például az elektronikus aláírás törvényt 2001-ben, a világon is az elsők között alkotta meg a törvényhozás, ennek ellenére az elektronikus aláírás még napjainkban sem terjedt el igazából a közszolgáltatások használata során, többnyire azért, mert a szolgáltatások sem támogatják megfelelő szinten, másrészt a szolgáltatásokat igénybe vevők sem ismerik széles körben. Másik előremutató példa a kibervédelmi stratégia kidolgozása és a kibervédelmi koordinációs szervezeti rendszer felállítása és működtetése, amellyel jelenleg hazánk olyan úttörő munkát végez, amely a közelmúltban bekerült az Európai Unió által ajánlott legjobb gyakorlatok közé is. Fejezetünknek nem célja, hogy valamennyi törvényt, illetve a kapcsolódó rendeletet szakmai részletességgel ismertesse, azonban mindenképpen cél, hogy a lehető legteljesebb rálátást nyújtson a teljes rendszerre, illetve a legfontosabb jogszabályok lényegi céljait megmutassuk.

3.3.1

Törvényi szabályozás

2001. évi XXXV. törvény az elektronikus aláírásról Ez a törvény nem tartozik szorosan az informatikai biztonsághoz – legalábbis szervezeti szinten –, azzal együtt, hogy az elektronikus aláírások, illetve kapcsolódó eljárások (pl.: aláírás, időbélyegzés, elektronikus archiválás) alkalmazásai komoly biztonsági funkciókat valósítanak meg. A törvény célja, hogy megteremtse a digitális nyilatkozattétel hiteles módját – akár a kézi aláírással, illetve pecséttel jogilag egyenértékű módon. Valójában a megfelelő feltételek mellett technológiailag ez az eljárás a kézi aláírástól lényegesen nehezebben hamisítható. További cél az gazdasági életben és a közigazgatásban az adatok kezelésének, illetve továbbításának kapcsolódó szabályozása. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény. A törvény alapvetően két fontos célt valósít meg. Egyrészt a törvény előírásokat, követelményeket ír elő az állampolgárok személyes, különleges és egyéb érzékeny

94

adatait kezelő rendszerek működtetésére. A követelmények többnyire eljárás jellegűek, másrészt magas szintű technológiai előírások. A technológiai előírások nem konkrét technológiákat támogatnak, hanem olyan funkcionalitásokat határoznak meg, amelyek szükségesek a követelmények teljesítéséhez, ezek elsősorban az informatikai biztonság témakörébe tartoznak. E terület egyértelműen az adatvédelem témakörébe tartozik, s ezt a védelmet informatikai biztonsági eszközökkel is támogatni kell. A törvény szabályozza azon kérdéseket, hogy a szervezeteknek az adatkezelésekkel kapcsolatban milyen adminisztratív és szervezeti kötelezettségei vannak. Ezek közül a legfontosabbak:  az adatvédelmi szabályozás elkészítése  hatósági bejelentések megtétele  adatvédelmi felelős kijelölése  az adatvédelmi felelős a törvényben meghatározott feladatainak ellátása A törvény meghatározza, hogy az érintetteknek milyen jogai vannak az adataikkal kapcsolatban, illetve szabályozza, hogy hogyan élhetnek ezen jogaikkal. Komoly informatikai biztonsági vonzata van annak, hogy napjainkban sok esetben az adatkezelő szervezet nem maga üzemelteti – vagy szélsőséges esetben nem is tulajdonolja – az informatikai rendszerét. Ennek megfelelően a szabályozás egyik része, hogy az adatfeldolgozást – akár automatikus módon is – hogyan kell megvalósítani, illetve hogyan kell biztosítani az adatok, illetve az érintettek jogainak megfelelő szintű védelmét ebben az esetben. Fontos ismeret, hogy minden érintettnek joga van ahhoz, hogy információt kérjen arról, hogy milyen szervezetek kezelik az ő adatait, illetve joga van az adatainak helyesbítésére és – amennyiben nem törvényi kötelezettségből fakad az adatkezelés – törlésére vagy zárolására! A törvény másik fő témaköre, annak szabályozása, hogy az információszabadság keretében az állampolgárok jussanak hozzá minden közérdekű, illetve közérdekből nyilvános adathoz. Ennek a témakörnek az informatikai biztonsági része általában kevéssé súlyos, mint a személyes adatok esetében, de megjegyezzük, hogy ilyen adatok esetében is fontos biztonsági követelmények lehetnek, mivel a bizalmasság ugyan nem elvárás (sőt, kifejezetten a nyilvánosságnak szánjuk ezen adatokat), a rendelkezésre állás és még inkább a sértetlenség azonban kiemelt fontosságú lehet biztonsági szempontból. Például a Magyar Közlöny nem bizalmas adatokat tartalmaz, sőt kifejezett cél, hogy nyilvános legyen, azonban az, hogy mindig elérhető legyen, illetve a webes megjelenését ne lehessen illetéktelenül / észrevétlenül módosítani, az kiemelt fontosságú, tekintettel, hogy elsődleges információforrás! Hasonlóan egy közpénzből történő beszerzés dokumentumainál is elvárjuk, hogy annak publikált változatát ne lehessen utólagosan/illetéktelenül módosítani. A törvény hozza létre a Nemzeti Adatvédelmi és Információszabadság Hatóságot (továbbiakban NAIH), amely feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése. A törvény szabályozza a Hatóság működését, illetve eljárásait.

95

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény Jelenleg ez a törvény a hazai kibervédelmi, illetve információ védelmi szabályozás alapja! A törvény alapvetően „keret törvénynek” készült, azaz főként az alapvetéseket tisztázza, a pontos részletszabályozás – technikai és technológiai szinten – alsóbb szintű jogszabályokban jelent meg. A törvény hatálya több ezer szervezetre terjed ki, köztük az államigazgatás, az önkormányzatok szervezeteire a kormányhivatalokra és az igazságszolgáltatás intézményrendszerére is. A törvény számos feladatot ír elő az intézményeknek. Ezek közül a legfontosabbak a következők:  kockázatelemzés elvégzése (rendszeresen)  elektronikus információs rendszerek biztonsági osztályba sorolása  szervezet biztonsági szintbe sorolása  szabályozás kialakítása: Információ Biztonsági Politika, Információ Biztonsági Stratégia, Információ Biztonsági Szabályzat, stb.  elektronikus információs rendszer biztonságáért felelős személy kijelölése, illetve e személynek az előírt feladatok ellátása A szervezetnek el kell érnie a törvény által meghatározott biztonsági szintet, ez például a kormányhivatalok esetében minimálisan a 3. szint. Amennyiben az első besorolás esetében az kerül megállapításra, hogy az érintett szervezet nem éri el az előírt szintet, úgy a törvény feladatot szab: cselekvési tervet kell készíteni, hogy hogyan lehet elérni az előírt követelmények teljesülését. A törvény előírja, hogy amennyiben alacsonyabb szinten van a szervezet, úgy szervezetnek lehetősége van az előírt biztonsági szint fokozatos elérésére. Erre minden egyes szintet érintően, a következő magasabb szintre lépéshez legfeljebb 2 év áll az intézmény rendelkezésére. A törvény ezek mellett részletezi a szervezetek, a Nemzeti Elektronikus Információbiztonsági Hatóság (továbbiakban: NEIH) és a Nemzeti Biztonsági Felügyelet feladatait. A törvény létrehozta a kormányzati eseménykezelő központot (továbbiakban GovCERT) valamint a Nemzeti Kiberbiztonsági Koordinációs Tanácsot valamint a Nemzeti Kiberbiztonsági Fórumot és meghatározza ezek alapfeladatait is (ezekről bővebben a kibervédelem szervezeti felépítésénél lesz szó).

3.3.2

Rendeleti, határozati szabályozás

A Kormány 1139/2013. (III. 21.) Korm. határozata Magyarország Nemzeti Kiberbiztonsági Stratégiájáról A kormány 2013 márciusában fogadta el a nemzeti kiberbiztonsági stratégiát. A stratégia meghatározza azon nemzeti célokat, stratégiai irányokat, feladatokat és átfogó kormányzati eszközöket, amelyek alapján Magyarország érvényesíteni tudja nemzeti érdekeit a globális kibertér részét képező magyar kibertérben, elsődlegesen a biztonságos és megbízható környezetet, melynek céljai az e-közigazgatási szolgáltatások

96

fejlesztése, az egyének kibertérbeli biztonsága, a tanulás lehetősége mindenki számára, illetve a gazdaság és üzleti élet fejlesztése e területen is. A stratégia megalkotásában kiemelt fontosságú, hogy a kibertérben megjelenő fenyegetések száma folyamatosan növekszik és napjainkra ez a kockázat olyan mértékűre nőtt, amelyet szükséges kezelni. Hazánkban is számos nyilvánosságra került informatikai biztonsági incidens történt az elmúlt időszakban (pl.: Anonymus támadások vagy az okmányirodai rendszer leállása18). A meghatározott célok eléréséhez szükséges feladatok a következőkben határozta meg a stratégia:  Kormányzati koordináció: a kormányzaton belül szükséges egy olyan szervezeti egység meghatározása, amely koordinálja az eddig egyébként széttagoltan működő kiberbiztonsági feladatokat ellátó szervezeteket, e területen elősegítve a szervezetek hatékonyabb együttműködését.  Szakosított intézmények: mivel a kiberbiztonsági feladatok ellátása sok esetben speciális szaktudást igényel, így szükséges ezen feladatok telepítése szakosított intézményekbe, illetve a felmért kompetenciáknak megfelelő egységek létrehozása (ilyenek például a különböző hatóságok, illetve a CERT-ek).  Szabályozás: A stratégia megvalósításához elengedhetetlen a szabályozás kidolgozása. Jelen dokumentum írása idején már e szabályozási munkának a nagy része lezajlott, számos rendelet, határozat és törvény született a témakörben. Ezek további módosításai, illetve „finomhangolása” szükséges, illetve ezek mellett természetesen – ha lemegyünk intézményi szintre is – még komoly feladatok vannak hátra.  Tudatosság, oktatás, kutatás-fejlesztés: Kiemelt feladat a biztonságos kibertérhez kapcsolódó tudás biztosítása az intézményes oktatásban, de persze azon kívül is. E mellett fontos – hazánknak akár gazdasági kitörési pontot is jelenthet – a különböző kiberbiztonsági kutatás-fejlesztés támogatása, amely területen a komolyabb eredmények, illetve fejlesztések értelemszerűen nemzetközi érdeklődésre is számot tartanak.  Nemzetközi együttműködések: tekintettel arra, hogy a világon egy teljes, összefüggő kibertér létezik, így a nemzeti hatáskörökben szabályozható dolgok sok esetben nem elegendőek, hiszen fenyegetések mind itthonról, mind külföldről jöhetnek (csakúgy, mint ahogy hazánkból is indulhat fenyegetés külföldre). Emiatt hazánk elkötelezett és együttműködik a nemzetközi szövetségekkel, szervezetekkel, a stratégia által nevesítve vannak a következők: EU, NATO, ENSZ, EBESZ, ENISA valamint más európai és világszintű szakmai szervezetekkel.  Gyermekvédelem: tekintettel a különböző káros tartalmak nagy mennyiségű internetes jelenlétére, valamint arra, hogy az elmúlt időszakban nagyon súlyos problémák vetődtek fel a gyermekek kibertérbeli biztonságával kapcsolatban (pl.: zaklatások, fenyegetés, erőszak a kibertérben vagy a számítógépes játékfüggőség), így a stratégiában ez a terület kiemelten jelenik meg. A stratégia és az működő szervezeti rendszer nagy hangsúlyt fektet a gyermekek

18http://os.mti.hu/hirek/98668/a_kozigazgatasi_es_elektronikus_kozszolgaltatasok_kozponti_hiv atalanak_kozlemenye

97

biztonságos online környezetének megteremtésére például az oktatásban illetve hasznos tartalmak fejlesztésének támogatásával. 484/2013. (XII. 17.) Korm. rendelet a Nemzeti Kiberbiztonsági Koordinációs Tanács, valamint a Kiberbiztonsági Fórum és a kiberbiztonsági ágazati munkacsoportok létrehozásával, működtetésével kapcsolatos szabályokról, feladat- és hatáskörükről A kormányrendelet meghatározza hazánk kiberbiztonsági szervezet rendszerét és annak működését. Ezt részletesen a szervezeti rendszert ismertető fejezetben fogjuk taglalni. A Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról szóló 301/2013. (VII. 29.) Korm. rendelet A kormányrendelet határozza meg a Nemzeti Elektronikus Információbiztonsági Hatóság (továbbiakban: NEIH) feladatait és működésének kereteit. A hatóság a 2013. év L. törvény alapján került létrehozásra a Nemzeti Fejlesztési Minisztériumon belül. Célja, hogy a törvény és a kapcsolódó kormányrendeletek alapján az előírások hatálya alá tartozó szervezetek tekintetében a hatósági feladatokat ellássa a törvényi követelmények teljesítése érdekében. A rendelet leírja a szakhatóság, a Nemzeti Biztonsági Felügyelet (továbbiakban NBF) feladatit is. Ez a szervezet az incidensek kivizsgálásában, illetve sérülékenység vizsgálatok elvégzésében vesz részt ebben a minőségében. További fontos fejezet az információbiztonsági felügyelőkről szóló rész. A Hatóság komoly hiányosság esetében költségvetési intézményekben információbiztonsági felügyelőt delegálhat – a megbízást a miniszter adja. A felügyelő komoly jogkörrel jár el az adott szervezetnél a biztonsági követelmények érvényesítése érdekében. A NEIH feladatait a szervezeti felépítés fejezetben ismertetjük részletesen. Az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről szóló 233/2013. (VI. 30.) Korm. rendelet A rendelet meghatározza a Kormányzati eseménykezelő központ (GovCERT) feladat- és hatáskörét. Ezek közül a legfontosabbak a következők:  Együttműködik a Nemzeti Média- és Hírközlési Hatósággal (a továbbiakban: NMHH) és az általa működtetett Országos Informatikai és Hírközlési Főügyelettel (a továbbiakban: OIHF), a Belügyminisztérium Országos Katasztrófavédelmi Főigazgatósággal, valamint az ágazati eseménykezelő központokkal együttműködésben védi az 2013. évi L törvényben meghatározott állami és önkormányzati szervek által használt elektronikus információs rendszereket a globális kibertérből érkező támadások ellen.  kezeli a magyar és nemzetközi hálózatbiztonsági és létfontosságú információs infrastruktúra védelmi szervezetektől, vagy más szervektől bejövő riasztásokat,  ellátja az informatikai rendszereket és hírközlő hálózatokat érintő biztonsági események elhárításának koordinálását,

98



a tudomására jutott sérülékenységekről, biztonsági esemény bekövetkeztének veszélyéről vagy fennállásáról, valamint a javasolt intézkedésekről személyes adatokat nem tartalmazó nyilvántartást vezet, jelentéseket készít, biztonsági eseménykezelési támogatást nyújt, koordinál a hazai és nemzetközi szervezetek felé a biztonsági eseményt kiváltó okok megszüntetése, illetve kezelése érdekében.  A Központ ellátja a Nemzeti Távközlési Gerinchálózat vonatkozásában a biztonsági eseménykezelés feladatait. A rendelet értelmében lehetőség van ágazati eseménykezelő központok létrehozására (a jövőben várhatóan több ágazati cert alakul: például honvédelmi cert (MilCert), energiaipari cert, egészségügyi cert, stb.). A rendelet meghatároz egy ágazati certet, a Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központját (a továbbiakban: LRLIBEK), amely ezen a speciális területen látja el a cert feladatokat. A központ a Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság keretén belül működik. A CERT-eknek további fontos feladata a hatáskörükbe tartozó szervezetek szakértőinek, illetve felhasználóinak speciális képzése, oktatása. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet A 2013. évi L törvény szerint minden érintett szervezetnek az elektronikus információs rendszer biztonságáért felelős személyt kell kineveznie. A régebbi szabályozások idején előfordult rossz gyakorlatot megelőzendő a törvényalkotónak az volt a szándéka, hogy a felelős személyek nem csak 1-1 adott informatikus vagy üzemeltetési vezető legyen – egyébként a saját munkaköre elvégzése mellett, mintegy „rossz gyakorlatként” – hanem a biztonsági felelős rendelkezzen a megfelelő kompetenciával. Ennek megfelelően a Nemzeti Közszolgálati Egyetem kapta a feladatot, hogy a képezze azokat a szakembereket, akik a későbbiekben ezt a feladatot el tudják látni. A rendelet e képzés részleteit határozza meg. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendelet Ez a rendelet a 2013. évi L törvényhez tartozó technológiai követelményeket meghatározó rendelet, s mint ilyen technológiai szempontból a legfontosabb szabályozás. A szervezetek ebből a rendeletből tudhatják meg azokat a követelményeket, amelyeket teljesíteniük kell. A rendelet követelményeket, illetve intézkedéseket határoz meg. Fontos, hogy ezeket az intézkedéseket, illetve követelményeket számos megfelelő módon végre lehet hajtani, azaz nincs olyan elvárás, ami szállítóhoz vagy termékhez kötné a szervezeteket. Az intézkedések végrehajtásának megfelelőségét a NEIH ellenőrzi.

99

A dokumentum terjedelme igen nagy, tekintettel arra, hogy tartalmazza az elektronikus információs rendszerek biztonsági osztályba sorolásának leírását, az elektronikus információs rendszereket működtető szervezetek biztonsági szintbe sorolását, továbbá valamennyi (5 db) biztonsági szint és osztály adminisztratív, fizikai és logikai védelmi intézkedéseinek követelményit (százas nagyságrendű intézkedésről van szó), ahol értelmezhető, ott természetesen mindhárom alapelv (bizalmasság, sértetlenség, rendelkezésre állás) szerint. Az intézkedések között például az alábbi témakörök szerepelnek – a teljesség igénye nélkül:  Szervezeti szintű feladatok 

Kockázat elemzés



Tervezés



Beszerzés



Tudatosság, képzés,



Fizikai és környezeti védelem



Adathordozók védelme



Azonosítás, hitelesítés



Hozzáférés ellenőrzése



Naplózás és elszámolhatóság



Rendszer és kommunikáció védelem



Reagálás biztonsági eseményekre

3.3.3

További kapcsolódó szabályozás

A további jogszabályok kapcsolódnak még az adat, információ, illetve informatikai biztonsághoz, azonban jelen témánk szempontjából kevéssé érintettek, így ezen szabályoknak csak a célját vagy a biztonsági témával való kapcsolatát tárgyaljuk röviden.  83/2012. (IV. 21.) Korm. rendelet a szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról: ez a rendelet szabályozza a elektronikus ügyintézési szolgáltatások nyújtásra vonatkozó biztonsági követelményeket, illetve jelöli ki az e területen eljáró felelős hatóságot, az Elektronikus Ügyintézési Felügyeletet, amely ellenőrzi a szeüsz-ök esetében a követelmények teljesülését. 

2009. évi CLV. törvény a minősített adat védelméről: A törvény célja, hogy meghatározza a minősített adat létrejöttével és kezelésével kapcsolatos alapvető rendelkezéseket, a minősítési eljárás és a nemzeti minősített adat felülvizsgálatának rendjét, a minősített adat védelmének általános szabályait, a nemzeti iparbiztonság rendszerének főbb elemeit, és rendelkezzen a minősített adat védelmét ellátó szervekről és személyekről.



2012. évi CLXVI. törvény a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről: A törvény meghatározza a nemzeti létfontosságú rendszerelemek és az európai létfontosságú rendszerelemek kijelölésének, illetve a kijelölés visszavonásának valamint a rájuk vonatkozó közös szabályokat, továbbá meghatározza az energiaágazatra vonatkozó különleges szabályokat.

100



65/2013. (III. 8.) Korm. rendelet a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény végrehajtásáról: a rendelet a törvény előírásainak részletszabályozását tartalmazza.



2013. évi CCXX. törvény az állami és önkormányzati nyilvántartások együttműködésének általános szabályairól: A törvény annyiban kapcsolódik az informatikai biztonsághoz, hogy előírja a nyilvántartások tervezése, kialakítása, működtetése, valamint az adatkapcsolat-szolgáltatások nyújtása során az elektronikus információbiztonságáról szóló törvény és végrehajtási rendeletei előírásainak való megfelelést.

3.4 A kibervédelem szervezeti felépítése hazánkban Hazánk kibervédelmi szervezeti felépítését az alábbi jogszabályok határozzák meg:  Magyarország Nemzeti Biztonsági Stratégiájáról szóló 1035/2012. Korm. határozat  Magyarország Nemzeti Kiberbiztonsági Stratégiájáról szóló 1139/2013. Korm. határozatában (továbbiakban: Kiberbiztonsági Stratégia)  A Nemzeti Kiberbiztonsági Koordinációs Tanács, valamint a Kiberbiztonsági Fórum és a kiberbiztonsági ágazati munkacsoportok létrehozásával, működtetésével kapcsolatos szabályokról, feladat- és hatáskörükről szóló 484/2013. (XII. 17.) Korm. rendelet;  Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény;  A Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról szóló 301/2013. (VII. 29.) Korm. rendelet  Az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről szóló 233/2013. (VI. 30.) Korm. rendelet A kibervédelem szervezeti felépítését az alábbi ábra szemlélteti.

3. ábra: Hazánk kibervédelmének szervezeti felépítése - főbb szervezetek (Forrás: NEIH) 101

3.4.1

Kibervédelmi Koordinációs Tanács

A szervezeti hierarchia tetején a Kibervédelmi Koordinációs Tanács áll. A tanácsot a jelenlegi jogszabály szerint a miniszterelnökséget vezető államtitkár vezeti – ez a jelenlegi kormány struktúra alapján változni fog. A Tanács tagjai az ágazatok vezetői miniszteri szinten és a hatóságok legfelsőbb szintű vezetői. A Tanács tagja a kiberkoordinátor, aki tulajdonképpen az operatív koordinációt végzi a területen. A Tanács legalább félévente ülésezik, és munkájáról félévente beszámolót készít a miniszterelnök részére. A Tanács legfontosabb feladatai: a) összehangolja a 2013. évi L törvény hatálya alá tartozó szervezetek együttműködését a kiberbiztonsággal összefüggő feladatok ellátásában; b) elősegíti a kiberbiztonság szabályozását, valamint a kiberbiztonság ágazati munkacsoportjainak munkáját; c) támogatja a nem kormányzati szereplőkkel való együttműködésnek keretet biztosító Nemzeti Kiberbiztonsági Fórum (a továbbiakban: Fórum) munkáját; d) támogatja a források hatékony felhasználását; e) figyelemmel kíséri Magyarország Nemzeti Kiberbiztonsági Stratégiájának végrehajtását és erről jelentést tesz a Nemzetbiztonsági Kabinetnek; f) elősegíti a kiberbiztonságot érintő egységes magyar kormányzati álláspont kialakítását és hozzájárul Magyarország nemzetközi politikai képviseletéhez. 3.4.2

Nemzeti Kiberbiztonsági Fórum

A Tanács munkáját javaslattételi joggal és véleményezési lehetőséggel a Nemzeti Kiberbiztonsági Fórum segíti, amely szakmai fórumnak nem kormányzati szakértők, gazdasági vezetők, cégek képviselői, illetve az akadémiai szféra szereplői a tagjai. Feladata a kormányzati és nem kormányzati együttműködést biztosítani, illetve szakmai javaslatokat fogalmazni meg a munkacsoportok valamint a Tanács felé. A Fórum szakmai koordinációját a kiberkoordinátor látja el. 3.4.3

Munkacsoportok

A Tanács alatt számos ágazati munkacsoport működik. Minden munkacsoport akciótervet készít, amelyben meghatározza a területén felmerülő konkrét kiberbiztonsági illetve kibervédelmi feladatokat, illetve a feladatok végrehajtásának felelőseit, valamint a végrehajtás ütemezését. Munkacsoportok közül a kormányrendelet ötöt hozott létre, amelyek a következők: a) eseménykezelés (vagy más néven CERT munkacsoport): feladata a különböző cert működéssel, illetve együttműködéssel kapcsolatos tevékenységek kidolgozása, koordinálása, illetve esetleges ágazati cert-ek segítése b) belbiztonság: a belbiztonsági ágazat területén felmerülő feladatok összegzése, koordinálása és végrehajtása c) e-közigazgatás: célja az elektronikus közigazgatási szolgáltatásokat – és ezen belül a szabályozott elektronikus ügyintézési szolgáltatásokat – nyújtó rendszerek tekintetében a kibervédelmi feladatok áttekintése, illetve a feladatok végrehajtásában résztvevő szervezetek működésének koordinálása a Kiberbiztonsági Koordinációs Tanács alatt. A törvényi szabályozás által előírtak megvalósulásának nyomon követése, utólagos hatásvizsgálata illetve a szabályozás megfelelőségének vizsgálata az elektronikus közszolgáltatások

102

tárgykörében. További cél az e-közigazgatási szolgáltatások biztonságos és folyamatos működésének fenntartására kidolgozott eljárások nyomon követése. d) energetika: az energetikai ágazat területén felmerülő feladatok összegzése és végrehajtása e) gyermekvédelem: a kibervédelmi stratégia egyik fontos pontja a gyermekvédelem, a munkacsoport célja a stratégia szerint a gyermekek egészséges fejlődését lehetővé tevő környezet kialakítását és fenntartását megvalósítva egyben a Gyermekbarát Internet Európai Stratégiájának célkitűzéseit Ezeken kívül lehetőség van egyéb ágazati munkacsoportok létrehozására is. A kibervédelmi koordináció működése óta létrejött pénzügyi ágazati, egészségügyi ágazati munkacsoportok is, illetve a NEIH létrehozta a koordinációs munkacsoportot is. Az ágazati munkacsoportok egyik fő feladata a kibervédelmi eljárások kidolgozása. Ennek kapcsán több munkacsoportban konkrét incidens kezelési gyakorlatok is megrendezésre kerültek, amelyek azt szimulálják, hogy hogyan tud védekezni a kialakított szervezeti háló egy esetleges támadási helyzetben vagy valamilyen üzemzavar esetén. A kibervédelmi gyakorlatok során vizsgálatra kerülnek a jelenlegi eljárásrendek, illetve amennyiben hiányosságok derülnek ki, úgy azok kezelése valamint az eljárások pontosítása, módosítása. A munkacsoportok munkarendjük alapján javaslatokat fogalmaznak meg a Tanács felé a kibervédelmi feladatokkal, szabályozással, eljárásokkal kapcsolatban. 3.4.4

Hatóságok

Kibervédelmi feladatokkal hazánkban több hatóság foglalkozik, jellemzően a felelős minisztériumok alatt főosztályi szinten. Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) A NEIH-et a 2013. évi L. törvény alapján hozták létre. A Hatóság Nemzeti Fejlesztési Minisztérium szervezetén belül működik. A törvény alapján ez a legszélesebb feladatkörrel ellátott hatóság a kibervédelem területén. Legfontosabb feladatai a következők:  Ellenőrzi az osztályba sorolást és a biztonsági szint megállapítását, majd az ellenőrzés eredményét elbírálja  Ellenőrzi az elektronikus információs rendszerek biztonsági osztályba és a szervezetek biztonsági szintbe sorolására vonatkozó jogszabályi követelmények teljesülését  Bekérheti az érintett szervezetektől a követelményeknek való megfelelést igazoló dokumentumokat, és felülvizsgálhatja az 2013. évi L törvény 12. § b) pontja alapján beküldött dokumentációt  Elrendeli az ellenőrzés során feltárt, vagy más módon tudomására jutott biztonsági rések elhárítását, és ellenőrzi a helyreállító intézkedés eredményességét  Kivizsgálja a hozzá érkező biztonsági eseményekkel kapcsolatos bejelentéseket  Együttműködik a Kormányzati Eseménykezelő Központtal, valamint a Nemzeti Kiberbiztonsági Koordinációs Tanáccsal  Együttműködik a Nemzeti Média- és Hírközlési Hatósággal és a Nemzeti Biztonsági Felügyelettel, ha a biztonsági esemény vagy fenyegetés a hatáskörébe tartozó meghatározott elektronikus információs rendszert vagy szolgáltatás nyújtóját érinti

103





  

  

 

Együttműködik az Elektronikus Ügyintézési Felügyelettel a szabályozott elektronikus ügyintézési szolgáltatókra vonatkozó biztonsági követelmények biztosításában Éves és egyedi jelentést készít a Kormány részére az elektronikus információs rendszerek biztonságával, a létfontosságú információs rendszerelemek védelmével, és a kibervédelem helyzetével kapcsolatban Engedélyezi és ellenőrzi az érintett szervezetek által az Európai Unió tagállamain kívül történő elektronikus információs rendszer üzemeltetést Terjeszti a legjobb gyakorlatokat az informatikai biztonságtudatosság növelése és a gyors reagálás érdekében A központi és az európai uniós forrásból megvalósuló fejlesztési projektek tervezési szakaszában ellenőrizheti az információbiztonsági követelmények megtartását Javaslatot tehet létfontosságú információs rendszerelemek kijelölésére Információbiztonsági, létfontosságú információs infrastruktúravédelmi, kibervédelmi gyakorlatokat szervezhet Véleményezheti a Kormányzati Eseménykezelő Központnak a biztonsági eseményekre való reagálás ágazatközi szabályairól és felelősségi köreiről szóló tervezetét Állásfoglalásokat és iránymutatásokat adhat ki Az érintett piaci szereplőkre bírságot szabhat ki, költségvetési szervekhez biztonsági felügyelőt delegálhat

Nemzeti Biztonsági Felügyelet (NBF) Az NBF alapfeladata a kibervédelem területén a minősített adatkezelést végrehajtó rendszerek hatósági felügyelete. E mellett a 2013. évi L törvény alapján szakhatóságként vesz részt a NEIH mellett a törvény által előírt kibervédelmi feladatokban. Szakhatósági feladatai az incidens kivizsgálásra, illetve sérülékenység vizsgálatot elvégzésére terjednek ki. Elektronikus Ügyintézési Felügyelet (EÜIF) A Felügyeletre vonatkozó általános szabályokat a 2004. évi CXL. törvény. a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól (Ket), míg a részletes eljárását és hatáskörét a szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról szóló 83/2012. (IV. 21.) Korm. rendelet határozza meg. A Felügyelet célja, hogy jogalkalmazási (hatósági) eszközeivel hozzájáruljon ahhoz, hogy az informatika által kínált megoldásokkal a közigazgatás minél hatékonyabban legyen képes ellátni feladatait, ezen eszközeivel elősegítse az elektronikus ügyintézés fejlesztését, és egyúttal betartassa a szabályozott elektronikus ügyintézési szolgáltatásokra vonatkozó – többek között biztonsági – szabályokat. Az EÜIF további célja, hogy egységes mederbe terelje az elektronikus ügyintézési szolgáltatásokat, ajánlásokkal segíti a szolgáltatókat, ellenőrző tevékenységével pedig biztosítja az új szabályozási terület hatékony, folyamatos működését. A Felügyelet működése nem csak az állami szolgáltatókra terjed ki, hanem a magánszektorra is. Nemzeti Média- és Hírközlési Hatóság (NMHH) Mindenképpen meg kell említettük még az NMHH-t, amely bár nem elsődlegesen a kibervédelemmel foglalkozik, de az ő szerepe is igen fontos, tekintettel arra, hogy a hírközlési területen belül hatósági feladatokat lát el. Valamennyi elektronikus hírközlési

104

szolgáltatóval, illetve internetszolgáltatóval kapcsolatban áll, így koordinációs szerepe lehet a kibervédelmi szervezeti felépítésben. Fontos, hogy a szolgáltatóknak jelenteniük kell az NMHH felé az incidenseket, amelyek kezelésében a Hatóság szerepet vállal, illetve ezekről az incidensekről tájékoztatja az Európai Hálózat- és Információbiztonsági Ügynökséget (ENISA), illetve az Európai Bizottságot. 3.4.5

Cert szervezetek

Hazánkban számos CERT működik, amelyeket az alábbiakban mutatunk be. Kormányzati Eseménykezelő Központ (GovCert) A 2013. évi L. törvény alapján az állami és önkormányzati szervekkel kapcsolatos kibervédelmi feladatokat a Nemzetbiztonsági Szakszolgálat által létrehozott Kormányzati Eseménykezelő Központ (CERT-Hungary) vette át 2013. július 1. kezdettel. A CERTHungary feladatait, valamint az ágazati eseménykezelő központok feladatait a 233/2013. (VI.30.) Korm. rendelet szabályozza. A GovCERT a kormányzati CERT tevékenység ellátása keretében részt vesz a CERT Munkacsoport munkájában. A Központ az internetes hálózatbiztonsági incidensek kezelése érdekében miatt 24 órás ügyeleti rendszert működtet. Kiemelt feladata, hogy hálózatbiztonsági szolgáltatásokat nyújtson a támogatott közigazgatási és kritikus információs infrastruktúrákat üzemeltető szervek részére. További feladat a magyar és nemzetközi hálózatbiztonsági és kritikus információs infrastruktúra védelmi szervezetek felé az incidensek kezelését és elhárításának koordinálását. A Központ közzéteszi a felismert és publikált szoftver sérülékenységeket. A GovCERT szolgáltatásait (preventív információ-megosztás és operatív incidens-kezelés) a kormányzati szervezetek és önkormányzatok részére nyújtja. Ágazati CERT-ek A GovCert-en kívül további központ a Hun-CERT, amely az MTA SZTAKI-ban működik. Ez az Internet Szolgáltatók Tanácsának (ISZT) támogatásával jött létre és működik. Feladata, hogy az ISZT tagszervezeteinél előforduló hálózati incidensek felderítésénél, elemzésénél és kezelésénél segítséget nyújtson. A NIIF-CSIRT a számítógép biztonsági és incidens kezelő csoportja az NIIF-nek (Nemzeti Információs Infrastruktúra Fejlesztési Intézet), amely a magyar felsőoktatás, kutatás és közgyűjtemények szolgáltatója. Segítik a számítógép és hálózati incidensek kezelését és koordinációját minden olyan esetben, amikor a NIIF tagintézmény érintett, ezenkívül fontos biztonsággal kapcsolatos információkat továbbít az NIIF tagintézményeknek rendszeresen is és alkalmanként is. A Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központját (a továbbiakban: LRLIBEK) a belügyi területen látja el a CERT feladatokat. Ezeken kívül a közeljövőben vélhetően több ágazati CERT fog még alakulni. 3.4.6

Kibervédelmi oktatás

Oktatási területen a törvény, illetve a kapcsolódó 26/2013. (X. 21.) KIM rendelet által megkövetelt képzések elindítására a Nemzeti Közszolgálati Egyetem került kijelölésre. A képzések 3 szinten lesznek elérhetőek:  elektronikus információs rendszer biztonságáért felelős személyek képzése  elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek képzése  elektronikus információs rendszerek védelméért felelős vezetők képzése

105

A képzések mellett a kibervédelmi feladatokban részt vevő személyek tudásának naprakészen tartása érdekében az Egyetem a későbbiekben továbbképzéseket is szervez. A teljes kibervédelmi oktatási rendszerbe, illetve a szakember képzésbe a későbbiekben várhatóan más felsőoktatási szereplők is be fognak kapcsolódni.

3.5 Kibervédelmi fenyegetettségek Az elmúlt években számos nagy port kavaró incidens történt a világban. Ezen incidensek közül néhánynak a rövid ismertetésével képet kaphatunk arról, hogy milyen típusú támadások, fenyegetések jelentek meg a világhálón. 3.5.1

Tendenciák a világban és hazánkban – ismertebb incidensek az elmúlt évekből

Kártékony kódok, programok Jelen dokumentumnak nem célja, hogy a hallgatókat magas szintű programozási ismerettel lássa el, azonban van néhány olyan fogalom, amit ebben a témában hasznos ismerni. Ilyenek a különböző kártékony kódok. Ezek között a szakirodalom nagyon sok félét különböztet meg, mi ezek közül a legfontosabbakat ismertetjük. A vírusok szinte egyidősek az informatikával, így ezek nem új fenyegetések, bár az elmúlt években jelentős fejlődésen ment keresztül ez a terület is. A vírus olyan számítógépes program vagy programrészlet, amely működés közben képes más programokat is „megfertőzni” vagy a szoftver másolja önmagát és így terjed (a megfogalmazás kicsit pongyola, mivel igen sokféle vírus van). A vírusoknak jellemzően van egy fő működési céljuk, ez sok esetben a rendszerek rombolása, illetve adatok törlése, így ezek igen veszélyes kártevők. A vírusok mellett malware kifejezés (malicious software – rosszindulatú szoftver) egy összefoglaló név még, ami számos fajta káros szoftvert összegez. Ahhoz, hogy egy kártékony program működjön a gépen, ahhoz egy alkalommal el kell indulnia. Ezt a támadók több úton próbálják elérni: levelek megnyitásával, weboldalak megnyitásával, dokumentumok, képek megnyitásával, hibás szoftver kompromittálásával – és még számos más módon – indulhat el először a program. A későbbiekben a program már gondoskodik arról, hogy a rendszer indításkor ő is lefusson. Legveszélyesebb, ha levelező vagy böngésző program vagy egyéb informatikai rendszer hibáját lehet úgy kihasználni, hogy lefusson egy kártékony kód, mivel ebben az esetben akár rá sem kell kattintani egy fertőzött levélre vagy semmilyen más felhasználói cselekményre sincs szükség, így a felhasználó nem tehet semmit ellene. Az efféle módon terjedő kártevőket féregnek (worm) nevezzük amely olyan kártékony program, amely képes önmagát terjeszteni a hálózaton kihasználva a hálózati szolgáltatások hibáját. A vírustól az különbözteti meg, hogy a worm önálló program, nem fertőz meg legitim fájlokat. Jellemző ezek működésére, hogy a feladatuk mellett gyakran belépési felületet (ún.: hátsó ajtó - backdoor) biztosítanak az irányítóiknak, hogy távolról beléphessenek az áldozat gépre, s így az áldozat gép irányítását is átvegyék. Speciális kártevő csoport a trójai programok, amelyek – a nevükből kitalálható módon – mást tesznek, mint amit a felhasználó valóban hisz róluk. A trójaik általában nem képesek terjedni, ezek az emberi tényezőt használják erre. A fő tevékenységük (pl.:

106

média lejátszás) mellett elsődleges céljuk, hogy hátsó kaput nyissanak az áldozat gépen. A fejlettebb trójaik vélt funkcióikat is jól ellátják, így csökkentve a lebukás veszélyét! Fentiekre példák a 2014-es futball világbajnokság alatt terjedő kártékony kódok. Ezek közül az egyik ingyen mérkőzésjegyek ígéretével veszi rá a felhasználókat a csatolmányok megnyitására, amely így megfertőzi a gépet. Egy másik program már mobil applikáció formájában is terjed hasonló módon, s telepítés után emelt díjas smseket küld az okos eszköz gazdájának terhére.19 Nagyon kifinomult eszközök a rootkit-ek. Ezek az eszközök az operációs rendszer elemeit fertőzik meg, kikerülik a védelmi mechanizmusokat és nagyfokú rejtőzködési képességekkel rendelkeznek, legtöbbször könyvtárakat és/vagy fájlokat rejtenek el a felhasználók és a védelmi szoftverek elől. Felderítésük és a mentesítés általában bonyolult művelet, nagy szaktudást igényel. Ennek megfelelően általában a tevékenységük is igen összetett, jelszavak, hozzáférési információk illetve fájlok, adatok megszerzése illetve hálózatok feltérképezése lehet a céljuk. Általában ennek megfelelően további programokat is telepítenek a rootkit-ek az elfoglalt gépekre, például billentyűzet leütést figyelő és rögzítő (keylogger), tevékenység (pl.: meglátogatott weboldalak, megnyitott fájlok, stb.) illetve hálózat monitorozó eszközöket. A kártékony programok között még továbbiak is találhatóak, ezek csak említés szinten:  reklámprogramok (adware): a trójaiakhoz hasonlóak, céljuk programok vagy szolgáltatások reklámozása, viszont egyes fajtái személyes adatokat, böngészési szokásokat, illetve felhasználói viselkedési mintákat gyűjtenek 

kémprogramok (spyware): a szoftver kémkedik a gépen, minden személyes és felhasználói adat (köztük a banki, pénzügyi vásárlási adatok) után



váltságdíj követelő programok (ransomware): a szoftver bizonyos fájlokat, vagy az egész rendszert elérhetetlenné teszi (például titkosítja) és csak abban az esetben hajlandó – vagy valójában akkor sem – visszaállítani az információkat, ha az áldozat egy megadott számlaszámra utal pénzt. Sok esetben ezek a típusú szoftverek felnőtt tartalmakat tartalmazó oldalakon keresztül fertőznek, mivel így általában sokkal nagyobb a nem nyilvánosságra kerülő esetek száma (azzal együtt, hogy a felnőtt tartalmak megtekintése alapesetben nem illegális tevékenység).

További példa tömeges kártékony kód támadásra, amikor 2012-13-ban Brazíliában egy pénzügyi szolgáltatás ügyfeleinek támadásával több 10.000 ügyfél pénzügyi adataihoz fértek hozzá és kémszoftverek segítségével indítottak el saját fiktív számláikra tranzakciókat. Az incidens több mint 30 bankot érintett, és a feltételezett kár dollármilliárdos nagyságrendű a becslések szerint.20 Mivel az „okos” eszközökön tulajdonképpen teljes értékű operációs rendszerek futnak felhasználói programokkal, így ezek az eszközök is ki vannak téve a támadásoknak. A kártékony szoftverek ellen való védekezés fő eszközei: a szoftverek naprakész frissítése; komolyabb vírusvédelmi szoftver használata szigorú beállítással (akkor is, ha „lassul” a gép); használjunk kéretlen levélszűrő szoftvert; ne nyissunk meg nem várt

19http://biztonsagportal.hu/a-futball-vb-legalattomosabb-csalasai.html 20http://itcafe.hu/hir/rsa_bolware_boleto_brazilia.html

107

vagy ismeretlen feladótól származó levelet és csatolmányt; ne látogassunk gyanús weboldalakat! Vírusfertőzés árulkodó jelei lehetnek a következők: a munkaállomás indokolatlan lassulása, az energia gyorsabb fogyása, illetve a megszokottnál nagyobb hálózati forgalom vagy hálózati forgalom ismeretlen célok felé, illetve egyéb nem üzemszerű működés. Szolgáltatásmegtagadást okozó támadások Az ilyen támadások lényege, hogy egy adott, interneten keresztül nyújtott hálózati szolgáltatást a támadó olyan módon támad meg, hogy a szolgáltatás a támadás miatt jelentősen lelassul vagy akár a sikeres támadás esetén teljes mértékben elérhetetlenné válik. A leggyakrabban ilyen módon támadott alkalmazások a weboldalak, de más hálózati szolgáltatás – például levelezés, fájlkiszolgálás, stb. - is támadható. Alapvetően kétféle szolgáltatás megtagadást okozó támadási mód van. Az egyiket szaknyelven szolgáltatásmegtagadás okozó támadásnak nevezzük és DoS-nek rövidítjük (Denial of Service) a másik fajtát elosztott szolgáltatásmegtagadást okozó támadásnak, illetve DDoS-nak nevezzük (Distributed Denial of Service). DoS támadások esetében kétféle támadási metódus lehet. Az egyik fajta az, hogy a futtató rendszer egy felfedezett hibáját kihasználva a támadó olyan adatokat küld a rendszernek, ami a hibát kihasználja és emiatt rendellenes működés történik a célzott rendszerben és ez fennakadást, rosszabb esetben összeomlást okoz a támadott rendszerben. Erre volt példa 2011-ben, amikor az ismert Windows operációs rendszerben olyan hibát fedeztek fel, amely kihasználható volt egy a támadó által összeállított weboldal meglátogatásával. Ha az áldozat gépen a böngészőben (pontosabban Safari típusú böngészővel) meglátogatták az előre támadó kóddal elkészített weboldalt, akkor az operációs rendszer „kék halál” képernyővel összeomlott, azaz a program működése leállít és a gépet újra kellett indítani 21. A DoS támadások másik fajtája, amikor nem egy hiba kihasználása a cél, hanem a szolgáltatás túlterhelése. Általában hazánkban az igen nézett weboldalaknak is csak néhány kérést kell kiszolgálniuk másodpercenként (könnyen kiszámolható: a nap aktívabb része reggel 8-tól este 10 óráig ~50.000 másodperc, egy napi több százezres látogatottságú oldal hazánkban elég jónak számít). Ebben az esetben a támadó célja az, hogy annyi kérést indít a célgép felé, amennyit fizikailag csak bír – ez a hálózati sávszélességtől és a támadó gép erőforrásaitól függ, bár lekérni egy weboldal tartalmat lényegesen kevesebb erőforrást igényel, mint kiszolgálni azt. Ezt természetesen nem kézzel, hanem programmal végzi a támadó. Ebben az esetben, ha sikerül elérni, hogy a kiszolgáló olyan sok kérést kapjon, amit már nem képes kiszolgálni, akkor a szolgáltatás mindenki számára lelassul vagy akár elérhetetlenné válik. Ennek a támadásnak a továbbfejlesztett változata az, amikor több támadó egyszerre próbálja kérésekkel elárasztani a megtámadott rendszert, ezt hívjuk DDoS támadásnak, azaz „elosztott DoS”-nak. E támadásból többféle is lehet. Az egyik változat, amikor a támadó más gépeket tör fel és von be az irányítása alá – például egy vírustámadás eredményeképpen megfertőz tízezer gépet (ezeket „botnet” hálózatnak hívjuk, amit lentebb részletezünk) – majd az általa irányított gépekkel

21http://www.hwsw.hu/hirek/47907/microsoft-windows-7-safari-biztonsag-sebezhetoseg.html

108

egyszerre támadja meg a valódi célpontot lekérdezések tömegével. A 2. ábra ezt a típusú támadást szemlélteti: a támadó (Master server) az elfoglalt gépeket (zomie) több vezérlő szerverről (kontroller – C&C server) utasítja, hogy tömegesen küldjenek kéréseket a célpont gépnek (target), amely a tömeges terheléstől várhatóan le fog lassulni, vagy akár ki is esik a szolgáltatás. Többnyire a vezérlő gépek sem a támadók tulajdonában vannak, hanem azok is olyan gépek, amelyeket korábban elfoglalt a támadó és ezt a vezérlő gépet is távolról irányítja 22.

4. ábra: DDos Támadás botnet hálózatból A másik típus, amikor a támadók saját akaratukból sokan vesznek részt a támadásban, úgy, hogy letöltik a támadáshoz szükséges szoftvert, majd a megadott időben a megadott célt támadják. Az ilyen típusú támadások közül a legnagyobb visszhangot talán az Anonymus nemzetközi hacker csoport és a velük szimpatizáló aktivisták által elkövetett támadások kapták. A csoport jelképei a Guy Fawkes maszk, illetve az „arc nélküli ember”. Nevük utal az interneten használható és kihasználható ismeretlenségre. A csoport közösségi oldalakon szerveződik. A csoport egyszerű aktivistái gyakran lebuknak, azonban a komolyabb informatikai tudású tagokról keveset tudunk. A képen szereplő jelmondatuk: „Mi vagyunk az Anonymus. Mi vagyunk a légió. Nem bocsájtunk meg. Nem felejtünk. Számíts ránk.”

22Kép forrása: http://news.softpedia.com/news/Master-Control-Server-for-Mydoom-DDoS-BotnetTracked-to-UK-116636.shtml

109

5. ábra: Az anonymous csoport jelképei Képek forrása:23 Az első típus „érdekessége”, hogy a támadó gépek hétköznapi felhasználók munkaállomásai is lehetnek, úgy, hogy azok nem is tudják, hogy a gépük éppen aktívan dolgozik egy támadásban. Második esetben viszont az látszik, hogy a felhasználó aktívan részt vesz a támadásban, azzal a megszorítással, hogy valójában semmilyen komolyabb informatikai tudás sem szükséges, csak a megfelelő szoftvert kell letölteni és használni a leírások szerint. A hazai jogszabályok szerint ez a tevékenység bűncselekménynek számít!

6. ábra: Az egyik támadó eszköz felülete - LOIC 2012 és 2013-ban számos ilyen támadás volt hazánkban is, többek között Hoffman Rózsa államtitkár, Semjén Zsolt miniszterelnök-helyettes és Orbán Viktor miniszterelnök weboldalai ellen. Ezekben az esetekben az igen sok kérés miatt a weboldalak a védekezés kidolgozásáig a támadás ideje alatt elérhetetlenné váltak.24 A szolgáltatás leállás egyébként nem csak támadás esetén történhet, hanem akkor is, ha a szolgáltatás tervezői rosszul mérik fel az erőforrás igényeket. Humoros eset volt az első valóságshow indulásakor, hogy akkora volt az érdeklődés a műsor weboldala iránt, hogy azt a rendszer nem volt képes kiszolgálni és mintegy egy hétig fejlesztették, míg

23http://en.wikipedia.org/wiki/Anonymous_%28group%29 24http://hvg.hu/tudomany/20130123_orban_viktor_honlapja_anonymous

110

helyreállt a szolgáltatás.25 Ebben az esetben természetesen túlterhelésről beszélhetünk, de támadásról nem. Fontos megjegyezni, hogy a DoS és a DDoS támadások, bár látványos az eredményük, általában nem okoznak nagy kárt, mivel a támadók nem férnek hozzá semmilyen adathoz, illetve rendszerhez. A kár nagysága valójában a kiesett szolgáltatások értékétől függ, ami egy egyszerű személyes weblap esetében nem lehet komoly, azonban a banki vagy kormányzati oldalakról van szó, főleg ha egyszerre nagy mennyiségben, akkor a kár is tetemes lehet. Ilyenre volt példa 2007-ben orosz észt ellentétek eredményeképpen feltételezések szerint orosz kormányzati támogatással indítottak orosz aktivisták túlterheléses támadásokat észt szolgáltatások ellen26 – jellemzően pénzügyi és kormányzati célpontok ellen. A támadás szervezettsége és komolysága miatt napokon keresztül bénítottak meg nagyon komoly szolgáltatásokat, ezzel vélhetően dollármilliós nagyságrendű károkat okoztak Észtországnak – tekintve, hogy az észt internethasználat lényegesen magasabb szinten van a hazainál. Többféle védekezési módszer van ezen támadások ellen: egyrészt a szolgáltatásokat védelmező úgynevezett „tűzfal” alkalmazások és gépek képesek arra, hogy a detektáltan támadó gépekről érkező kéréseket egyszerűen elutasítják, így az onnan érkező kérések nem fognak erőforrásokat lekötni, azaz gátat vetnek a támadásnak. Komolyabb támadások esetén hálózati átalakítások, illetve beállítások valamint erőforrás fejlesztések is szükségessé válhatnak. További védekező eszközök lehetnek az IPS és IDS eszközök (Intrusion detection system és Intrusion prevention system, azaz behatolás észlelő, illetve megelőző rendszerek), amelyek képesek bizonyos beállítások alapján érzékelni a támadásokat és azokba valós időben beavatkozni. Nagymértékű támadások esetében az internet-szolgáltatók is bekapcsolódhatnak a védekezésbe. 3.5.2

Jogosulatlan támadások

adathozzáférést

elérő

illetve

adat

módosítást

elérő

Az incidensek lényege, hogy a rendszer által kezelt adatokhoz jogosultság nélkül hozzáfér illetéktelen felhasználó vagy támadó, súlyosabb esetben az adatokat módosítani is képes. További „minősített” eset, ha az illetéktelen felhasználó úgy képes ezt megtenni, hogy a tevékenység később nem visszakövethető. Szintén nagy visszhangot kapnak az efféle támadások, különösen ha komolyabb szolgáltatók webes szolgáltatásait érintik, hiszen napjainkban az informatikai szolgáltatásokat hatalmas tömegek veszik igénybe, amely szolgáltatások esetében a rendszerek tárolják a felhasználók bizonyos adatait. Egyszerűbb esetben csak a nevünket, email címünket és a jelszavunkat tárolják (például egy hírportál fórumán), de egy webbanki szolgáltatásnál, webáruháznál vagy egy állami szolgáltatásnál akár a számos személyes és a pénzügyi adatainkat is kezelhetik (Megjegyzés: az e-mail címünk is személyes adat!) Valójában már az is komoly probléma, ha „csak” az email-címünk és a jelszavunk kerül ki, hiszen ez is sok veszélyt rejt. Az e-mail címük egy ilyen esetben kikerül az „internet sötét oldalára” és biztosak lehetünk benne, hogy ezentúl minden komolyabb kéretlen

25http://www.origo.hu/techbazis/internet/20020905tovabbra.html 26http://itcafe.hu/hir/orosz-eszt_haboru_a_kiberterben.html

111

reklám leveleket – vagy rosszabb esetben támadó, illetve vírusos leveleket – küldözgető csoport listájára felkerül. A jelszó illetéktelenek általi megismerése pedig azért lehet problémás, mert sajnos sok felhasználó számos helyen használja ugyanazt a jelszót (és általában ugyanazzal az e-mail címével), így a támadó, aki hozzájutott egy e-mail-jelszó pároshoz, jó valószínűséggel ki fogja próbálni minden nagyobb szolgáltatásnál (pl.: gmail, freemail, facebook, twitter, e-bay, stb.) és a tapasztalatok azt mutatják, hogy sok esetben sikerrel is járnak. Az ilyen típusú incidensek többféleképpen valósulhatnak meg: Webes szolgáltatások elleni támadásoknál gyakori, hogy a szolgáltató alkalmazás programozási hibájából adódóan a támadók viszonylag egyszerű módszerrel olyan lekérdezéseket tudnak a szolgáltatás felé küldeni, ami azt eredményezi, hogy a szolgáltatás olyan adatokat is kiad, amit üzemszerű működés közben nem szabadna (lásd: sql injection támadás). Ebben az esetben a támadó rossz esetben képes megszerezni a szolgáltatás mögötti teljes adatbázist, beleértve az összes felhasználói adatot. Ilyen incidens volt az, amikor 2011-ben többször sikerült támadóknak a Sony különböző weboldalain keresztül több 10.000 felhasználói adatot – köztük jelszavakat – megszerezniük, mintegy 600.000 dollár kárt okozva ezzel. Megjegyezzük, hogy az ilyen támadások esetében a támadók többnyire azt is megtehetik, hogy módosítanak adatokat a rendszerben, illetve az adatbázisban27. Az ilyen incidensek egy másik típusa a rosszul beállított rendszerek, illetve nem megfelelő adat megosztásokra vezethető vissza. Ilyen típusú rossz beállításra, másrészről komoly fejlesztői hibára jó példa a közelmúltból, amikor a Szellemi Tulajdon Nemzeti Hivatala weboldaláról, minimális informatikai ismeretekkel, jogosultság ellenőrzés nélkül gyakorlatilag tömegesen lehetett letölteni nem nyilvános szabadalmi dokumentumokat28. Hasonló, számos helyen megtörtént probléma, hogy a szervezetek munkatársai úgy osztanak meg adatokat, hogy az a webszerver publikus részére kerül, így valójában bárki hozzáférhet (gyakran a webes szolgáltatásról készült adatbázis mentések kerülnek így ki). Az adatok megváltoztatása igen nagy kockázatot jelenthet egy informatikai rendszerben. Egyik típusuk az úgynevezett „deface” (szó szerint: elcsúfítás) támadások, amikor a támadók az adatok változtatásával átalakítják a kompromittált weboldalt. Kevéssé súlyos esetben a támadók valóban csak elcsúfítják a weboldalt, komolyabb esetekben azonban a weboldal módosításával becsapják a felhasználókat. Az 5. ábrán az argentin védelmi minisztérium oldala látható, miután a támadók a hacker-csoport jelképére cserélték az oldalt (a kép forrása: 29).

27 http://tech.cert-hungary.hu/tech-blog/121015/a-letartoztatott-lulzsec-hacker-elismerte-asony-pictures-elleni-tamadast 28 http://itcafe.hu/hir/sztnh_mszte_szabadalom_tamadas_hack.html 29 http://news.softpedia.com/news/Argentinian-Ministry-of-Defense-Website-Hacked-andDefaced-by-LulzSec-Peru-318015.shtml

112

7. ábra: A LulzSec perui csoportja által átalakított weboldal, a csoport jelképével (Felirat: Feltörte a LulzSec perui csoportjának tagjai: desh501 és kiber-patkány) 2014 januárjában egy valóságshow weboldalát módosították úgy a támadók, hogy egy nem létező szolgáltatást készítettek, amire emelt díjas sms-ben lehetett előfizetni, természetesen nem a műsor valódi tulajdonosa kapta a bevételt. 30 Még súlyosabb esetben kártékony programot helyeznek el az oldalon, így elérve azt, hogy a weboldalt meglátogató(!) felhasználók gépei megfertőződjenek. További súlyos esemény lehet, ha a támadók rendszer adatokat is képesek módosítani, mivel ilyenkor akár törölhetik az adatokat – és a nyomokat is – illetve teljes mértékben tönkretehetik a rendszert. 3.5.3

Botnet (robot network)

A botnet-eket robot hálózatoknak vagy zombi gép hálózatoknak is szoktuk nevezni, mivel ezek a hálózatok olyan számítógépekből állnak, amelyeket egy támadó sikerrel kompromittált és egy rejtett szoftver segítségével távolról irányítja őket, a gép felhasználóinak tudta nélkül. Ezek a számítógépek földrajzilag bárhol lehetnek, illetve bármilyen funkcionalitású (otthoni, munkahelyi, stb.) gépek lehetnek. Ezeket a gépeket a támadók leginkább két módon „foglalják el”. Egyrészt e-mail-es támadás útján (kártékony programot tartalmazó csatolmánnyal, vagy a levélbe ágyazott vírussal), másrészt népszerű weboldalak kompromittálásával és az oldalba kártékony kód elhelyezésével (ilyenkor a látogatók gépei megfertőződhetnek a számítógépes vírussal), másrészt olyan weboldalak üzemeltetésével, amelyeken ilyen támadó kódok találhatóak (jellemzően felnőtt tartalmak, illetve on-line szerencsejáték oldalak).

30

http://comment.blog.hu/2014/01/20/meghekkeltek_a_valo_vilag_oldalat

113

A zombihálózatok irányítói általában a szervezett bűnözői körök, illetve állami hírszerzési szervezetek. Triviális fenyegetés, hogy – mivel a támadónak a gépekhez teljes hozzáférése van – a gépeken lévő valamennyi adatot a hálózat irányítója ellophatja. E mellett komoly kockázat, hogy a hálózat gépeit jellemzően kéretlen levelek szétküldésére, illetve gyakran DDoS vagy célzott támadásokban, illetve egyéb illegális tevékenységekben való részvételre használják (becslések szerint a hat legnagyobb zombihálózat küldi szét a világ összes kéretlen levelének a 85%-át!). Ez nem csak a megtámadott fél részére kockázat, hanem a zombihálózatban lévő számítógép felhasználójára is, illetve az érintett szervezetre is, hiszen a támadott fél részéről ő kerül azonosításra, mint támadó!

8. ábra: Trójai programmal elfoglalt botnet hálózat működése – képregény (forrás:http://en.wikipedia.org/wiki/Botnet ) Az eddigi legismertebb hálózat 2007-ben lepleződött le. A Storm névre hallgató zombi hálózatot a támadók által elfoglalt Windows-os gépek alkotják, különböző források szerint akár több millió gépről is szó lehet, amelyeket távolról (is) irányítanak!31 Napjainkban további probléma, hogy az okos eszközökön futó operációs rendszerek is tulajdonképpen ekvivalensek a munkaállomásokon futó rendszerekkel, így nem csoda, hogy ott is feltűntek károkozó szoftverek, illetve ezeket az eszközöket is botnet-be szervezhetik a támadók. 2013 év végén történt, hogy android-os mobiltelefonokat támadtak sikerrel, és az elfoglalt eszközökről az sms-eket kínai és korei szerverekre továbbították (az sms-ekben hozzáférési, illetve fizetési adatok lehetnek!). 32 Egyes kutatók szerint rövidesen eljön az idő, amikor okos televíziókat vagy akár okos hűtőgépeket foglalnak el a támadók és azok is kéretlen leveleket fognak küldeni (eddig ilyen esetet nem sikerült bizonyítani tudomásunk szerint). Leginkább a botnet-ek mutatják meg, hogy mennyire téves az a gyakran hangoztatott álláspont, hogy „Ugyan, az én gépem / a mi szervezetünk gépei nem érdekesek senki

31http://hu.spam.wikia.com/wiki/Storm 32http://www.hwsw.hu/hirek/51492/android-botnet-misosms-korea-fireeye-malware.html

114

számára, nincsenek titkos dolgok!” vagy „Magyarország nem az USA, itt nem kell ilyenekre készülni!”. Jól látható, hogy a „legérdektelenebb” gép is érdekes, ha egy támadó kéretlen levelek küldésére vagy egyéb illegális tevékenységre akarja használni! Felhasználóként többféle módon védekezhetünk az ellen, hogy gépünk botnet hálózat tagjává váljon. Ezek közül a legfontosabbak: a szoftverek naprakész frissítése; ismert védelmi szoftverek használata; használjunk kéretlen levélszűrő szoftvert; ne nyissunk meg nem várt mellékleteket; ne látogassunk gyanús weboldalakat, amelyeket kéretlen levelekben ajánlanak. Árulkodó jelek lehetnek a következők: a munkaállomás indokolatlan lassulása, az energia gyorsabb fogyása, illetve a megszokottnál nagyobb hálózati forgalom. 3.5.4

Célzott támadások (APT - Advanced Persistent Threat):

Szó szerint „fejlett perzisztens fenyegetés” típusú támadások igen nagy szaktudást igényelnek. Végrehajtói professzionális szakemberek, akiket többnyire állami hírszerző szolgálatok vagy bűnöző szervezetek foglalkoztatnak. Fontos tulajdonsága a típusnak, hogy ezek a támadások egyértelműen egy adott célra irányulnak, azaz egy rendszer vagy ágazat ellen illetve megadott adatok illetve információk megszerzésére. A támadás logikája megérthető néhány példán keresztül. Az ilyen típusú incidensek közül talán a legismertebb a StuxNet vírus, amely 2010-ben miután megfertőzött több ezer iráni urándúsító centrifugát vezérlő gépet, azokat helytelen működésre késztette s ezzel a centrifugák több, mint 20%-át fizikailag is tönkretette, ezzel évekkel visszavetve Irán atomprogramját. Itt látható volt, hogy a támadó célja csak az ilyen típusú rendszerek voltak. Szintén megállapítható, hogy meglehetősen nagy tudás, illetve jelentős anyagi erőforrás kellett a támadás végrehajtásához, hiszen például a támadó szoftver létrehozásához szükség volt urándúsító centrifugára, amivel lássuk be, otthon nem minden kerek-szemüveges informatikai érdeklődő rendelkezik. Hasonló komoly támadást szenvedett el 2011-ben az RSA Security cég is, akik az egyik legismertebb biztonsági cég a világon és jellemzően olyan eszközöket fejlesztenek, amelyek segítenek megvédeni az informatikai rendszereket. A támadók egy elektronikus levélbe rejtett vírusos programmal, többek között egy felhasználó hibáját is kihasználva bejutottak a cég rendszerébe, majd onnan – hosszú időn keresztül titkolva a tevékenységüket – a belső hálózat felderítésével egy biztonsági termékről loptak el érzékeny technikai adatokat. A megszerzett adatokkal olyan rendszereket tudtak támadni, ahol az ilyen típusú – így már kompromittált – biztonsági eszközöket használták. Vélhetően az itt megszerzett tudással voltak képesek a támadók betörni több nagy amerikai katonai céghez.33 A hírek szerint a megtámadott biztonsági cég körülbelül 66 millió dollár értékben volt kénytelen lecserélni a kompromittált eszközöket. Látható, hogy a távoli cél lehet egy katonai rendszer is, amit egy biztonsági cégen keresztül lehet támadni, így tulajdonképpen több célzott támadás van „felfűzve” egy nagyobb támadásra. A célzott támadások eszközei az egyszerűbb támadások (webes támadás, levélen keresztüli támadás, rendszer támadása, stb.) olyan összeállítása, ami igen komoly

33http://itcafe.hu/hir/rsa_emc_hack_cracker_tamadas_secureid.html http://www.virushirado.hu/hirek_tart.php?id=1985

115

szaktudást igényel, mivel itt az óvatosság, az észrevétlenség nagyon fontos elvárás, ráadásul az így célzott rendszereket általában jobban védettek. 3.5.5

Kéretlen levelek fenyegetések

(spam),

adathalászat

(phishing)

és

kapcsolódó

Fentebb már több helyen említettük a kéretlen leveleket. Azt gondoljuk, hogy nem kell különösebben bemutatni a felhasználóknak, hiszen mindenki, valószínűleg tömegével találkozott már velük. Ezek olyan levelek, amelyeket a címzettjük nem kért és többnyire nem is szeretné őket megkapni. A spam név egyébként „löncshús konzerv”-et jelent a Monthy Python csoport „Spam” című remek jelenetéből került át ebbe a jelentésbe (a jelenet a közösségi videó portálokon magyar felirattal is megtalálható 34).35

9. ábra: A kéretlen levelek névadója, a spam (löncshús konzerv) Mint azt említettük a kéretlen levelek nagy részét zombihálózatok küldik, így látható, hogy a valódi feladó általában nem ismert. Sok esetben illegális termékeket (pl.: gyógyszerek vagy azok hamisítványai), illetve illegális szolgáltatásokat (pl.: szerencsejáték) reklámoznak. Az üzleti modell általában az, hogy a kínált termék tulajdonosa fizet a spam küldőknek a „szolgáltatásért”. A kéretlen levelek alapvetően igen kártékonyak sok szempontból. A mellett, hogy a világban nagyon nagy erőforrásokat kötnek le (a felhasználók ideje; a szűrés költségei: szerverek, eszközök; továbbá a hálózati sávszélességet, illetve tárolókapacitást is használják), még további káros hatásai is vannak. Egyes kutatások szerint a világ teljes levelezésének a 76%-a spam! Sok esetben az ajánlott termékek illegálisak és veszélyesek, például számos fogyasztó szerről, illetve vágyfokozó gyógyszerről derült ki hazánkban is, hogy valójában hamisítvány és súlyosan egészségkárosító, illetve mérgező hatású! Ezek mellett további kockázat, hogy sok esetben a kéretlen levelek támadásokat valósítanak meg. Informatikai típusú támadás, amikor a levél vagy annak csatolmánya kártékony kóddal fertőzi meg a gépet, vagy a levél olyan weboldalra irányítja a felhasználót, ahol szintén ez történik.

34http://www.youtube.com/watch?v=UZwunNH_BTE&list=PLF32EE46523EAB82D&index=20 35A kép forrása: http://uploads4.wikiart.org/images/andy-warhol/spam.jpg

116

Más típusú támadások az adathalászat (phising), illetve ennek változatai. Ebben az esetben a kéretlen levelek tömegével kiküldésre kerülnek és a címzettektől adatokat próbálnak lopni, például úgy, hogy a leveleket banki levélnek álcázzák és banki információkat kérnek a felhasználótól (belépőkód, jelszó), általában nyelvi és nyelvtani hibás levelekben, mivel a támadók sokszor külföldiek és automata fordítóval dolgoznak. 2010 végén több hazai bank ügyfeleit próbálták ilyen módon megtéveszteni, szerencsére ezek a támadások elég amatőrök voltak, illetve ezekre a próbálkozásokra a hazai bankok is hamar reagálnak.36 Ennek a támadásnak kifinomultabb változata a pharming, amikor a támadott szervezet weboldalához a megtévesztésig (mind a címében, mind a kinézetében) hasonló weboldalra csalják a felhasználót, ahol szintén a belépési adatait kérik tőle (pl.: otpbank.hu helyett egy optbank.hn – ez egy hondurasi cím – címen egy, az otpbank weboldalához nagyon hasonlót hoz létre a támadó). Az amatőr csalássokkal ellentétben itt már jól el van készítve a szöveg is!

10. ábra: Egyszerű A kép adathalász forrása:37 támadás :-) Még kifinomultabb támadási mód a whaling (bálnavadászat), ami tulajdonképpen célzott adathalászati támadás. Itt jellemzően jól felkészülve, vezetőket, illetve vezetői titkárságokat próbálnak levélben valamire rávenni. Ezt a támadást a támadók komoly előzetes kutatással nagyon előkészítik. Egyik legismertebb eset, amikor 2008-ban amerikai cégvezetők illetve titkárságok gépeit fertőzték meg bírósági idézésnek álcázott levelekkel. Az idézések pontosan voltak fogalmazva és a potenciális áldozatok bizonyos személyes adatai is szerepeltek benne, így „nagyon valódinak” tűntek. Az áldozatok között olyan cégek szerepeltek, mint például a CitiBank, az ebay. 38 Egy másik érdekes, ám sokkal kevéssé kidolgozottabb spam csalás az úgynevezett „nigériai csalás”: ebben az esetben valami későbbi előnyért cserébe – örökség, olajkoncesszió, gyémántbánya, stb. – kér a csaló némi előleget, illetve költségtérítést, aztán természetesen az ajánlatból később nem lesz semmi, sőt a csalót ebben az esetben szinte biztosan sohasem lehet megtalálni! Ezek a csalási próbálkozások is többnyire igen átlátszóak, ne dőljünk be nekik, a legtöbb ilyet pillanatok alatt megtalálhatjuk az interneten! A kéretlen levelek közé sorolhatóak még a hamis lánclevelek (hoax-ok) is. Ezek azok a típusú levelek, amelyek azt kérik, hogy továbbítsuk a levelet még számos más embernek

36http://www.technet.hu/hir/20101110/adathalasz_tamadas_magyar_banki_ugyfelek_e llen/ 37http://www.best-pc-security-software.com/what-is-phishing.html 38http://index.hu/tech/biztonsag/whal060508/

117

és akkor vagy valami nagyon jót teszünk ezzel, vagy elkerül minket valami baj. Ezek a levelek szintén milliós nagyságrendben keringenek a weben és az elsöprő többségüknek semmilyen valóságalapja sincsen, sőt, vannak amelyek több éve ismertek. Ezeket a láncleveleket sose küldjük tovább, illetve olyankor küldjünk lánclevelet, ha ez valóban szükséges (leellenőriztük és valóban érvényes az üzenet). Az internetes etikában egyébként is indiszkrét dolog olyan leveleket küldeni, amiknek tömeges címzettje van, lehetőleg kerüljük az ilyet, hiszen egyetlen kompromittált e-mail fiókból így az összes ismerősünk e-mail címe kikerülhet. Védekezésképpen sokat tehet a felhasználó is a kéretlen levelek ellen: ne osszuk meg email címünket, főleg ne a hivatalit; ne tegyük ki a weboldalra direktben; ne regisztráljunk vele webes szolgáltatásokra! Ha mindenképpen szeretnénk fórumokon, közösségi médiában részt venni, akkor legyen erre külön e-mail címünk, amit kezeljünk külön (sőt a pénzügyeinket, vásárlásainkat is érdemes külön e-mail címről intézni). A kéretlen leveleket töröljük, sem csatolmányt, sem tartalmazó linket ne nyissunk meg, bármilyen jó ajánlatnak is tűnik! Soha semmilyen esetben ne adjunk meg így pénzügyi, illetve belépési információkat! A bankok, biztosítók, hivatalok és egyéb szervezetek hazánkban is ismerik az ilyen típusú támadásokat, így soha nem kérnek e-mail-ban ilyen típusú adategyeztetéseket, illetve jelszó módosításokat! Mindig ellenőrizzük, hogy valóban azon a weboldalon vagyunk-e, amin szeretnénk lenni! Ha hivatali címünkre kapunk kéretlen leveleket, akkor azt jelezzük a szervezet illetékes munkatársának.

11. ábra: 2014 év 2. negyedévében a legtöbb spam-et kiküldő országok ranglistája, százalékos megoszlással (Q3-Q4-Q1 oszlopokban az előző negyedéves helyezések) Forrás: SophosLabs Végezetül, ha senki nem dőlne be ezeknek a leveleknek, akkor nem volna értelme küldeni ilyeneket, így mindenkinek javasoljuk, hogy a kéretlen levelekkel szemben legyenek nagyon bizalmatlanok és mindent, amit lehet, ellenőrizzenek le, akár olyan szinten, hogy ha egy munkatárs információt kér, amire talán nem szerencsés az e-mail használata, akkor ellenőrizzük személyesen vagy telefonon. 3.5.6

Social engineering

Ez a támadási forma az IT rendszer legérdekesebb eleme ellen irányul: ez az elem az ember! A kifejezés pszichológiai manipulációt jelent. Ebben az esetben a támadó a felhasználóktól vagy a rendszer üzemeltetőiből próbál meg információkat megtudni.

118

12. ábra: A pszichológiai manipuláció – Az emberek „feltörése” Az eljárásnak nincsenek pontos szabályai, nagyon sok módszer számításba jöhet. A fentebb említett módszerek közül például az adathalász támadások, különösen a célzottak rengeteg ilyen eszközt is használhatnak. Ide számíthatóak azok a támadások, amikor a támadó fizikailag illetéktelenül bejut a cél szervezet épületeibe és ott szerez meg adatokat (pl.: jelszavak post-it-en, az IT irodákban a táblákon rendszer információk, stb.), illetve azok is, amikor a támadó telefonon – magát másnak, jellemzően kollégának, IT üzemeltetőnek vagy vezetőnek kiadva – szerez információkat a rendszerről. Ehhez a támadási módszerhez nem szükséges kiemelkedő IT tudás. A támadó profi módon használja ki azokat a gyengeségéket, amelyek szinte minden embert érintenek, ilyenek például a hiszékenység, naivság, lustaság, túlzott bizalom, a túlzott segítőkészség vagy a befolyásolhatóság. Csak a történeti érdekesség kedvéért említjük meg a kukabúvárkodás (dumpster diving) technikát, ami – ahogy a nevéből sejthető – valóban a szervezet vagy vizsgált személy által kidobott vagy leselejtezett holmik, dokumentumok illetve adathordozók átvizsgálását jelenti. E technikai miatt terjedtek el például az irat és cd megsemmisítő gépek. Ezzel együtt ez a módszer vélhetően még sokáig használható eredménnyel kecsegtet. Itt jegyezzük meg, hogy a leselejtezett, kidobott adathordozók esetén (beleértve a számítógépekben lévő adathordozókat is) a selejtezés előtt mindenképpen gondoskodni kell arról, hogy ne maradjanak rajta nem nyilvános adatok. E témáról Kevin Mitnick írt több könyvet, amelyekben a saját maga által megvalósított valós támadások tucatjait írja le, mivel ő volt a 90-es évek egyik legismertebb és legkeresettebb ilyen típusú támadója. Mielőtt biztonsági tanácsadó lett (~2000-ben) 5 évet töltött börtönben, mivel ez a tevékenység is természetesen törvénytelen. A kéretlen leveleknél említett több támadási forma is lényegében social engineering technikának minősülhet.

119

3.5.7

Rossz jelszó használati szokások

Amennyiben a különböző fenyegetettségekről beszélünk, nem hagyhatjuk ki a jelszó témakört. Napjainkban a leggyakoribb azonosítási forma a felhasználói név és a jelszó páros. A felhasználói nevet sokszor nem védik és nem is lehet védeni, vagy nagyon könnyen kitalálható (pl.: keresztnév.vezetékné[email protected]). Persze erre is van ellenpélda, jellemzően a webbanki rendszerekben a felhasználói név is olyan, amit nem lehet kitalálni. A jelszavakat azonban mindenképpen védeni kell, illetve úgy kell kialakítani, illetve használni, hogy a biztonsági szintet emelje. Számos jelszót érintő probléma lehet, ezek a következők:  Túl egyszerű jelszavak: A megfelelő jelszó általában többféle elemből áll (kisbetű, nagybetű szám, egyéb jelek), és elegendően hosszú (legalább 8-10 karakter hosszú). A jelszó feltörésnek többféle módja lehet, ezek egyike, hogy a támadó egyszerűen végigpróbál lehetőségeket (például minden 5 hosszú, csak kisbetűkből álló jelszót). A rövid illetve egyszerű jelszavakat a támadók percek, sőt másodpercek alatt találják el és ehhez nincs szükség „szuperszámítógépre”. 

Könnyen kitalálható jelszavak: Ez szintén hiba, hiszen egy másik jelszó támadási típus a „szótáras” támadás, amikor a támadó egy szótárban található lehetőségeket próbál végig. Milyen szótárak lehetnek? Egyrészt lehetnek valódi szótár (mondjuk egy helyesírási szótár), amivel az összes szót ki tudjuk próbálni, de a támadó állíthat össze saját szótárt, például a leggyakoribb férfi és női nevek hozzájuk írva néhány szám (manci111, feri123, alma1234, stb.). Sajnos az ilyen a jelszavak is általában nagyon gyorsan „törhetőek fel”.



Alapértelmezett vagy üres jelszavak: Soha semmilyen rendszerben ne hagyjuk meg az alapértelmezett jelszavakat, mivel ezeket többnyire mindenki ismerheti, így ezek „feltörése” valóban nem nagy kihívás. Léteznek olyan gyűjtemények, amelyek számos gyártó hardver és szoftver termékeinek az alapértelmezett jelszavait tartalmazzák, illetve vannak támadó szoftverek, amelyek ezeket próbálgatják végig.



Túl bonyolult jelszavak: Sok esetben a túl bonyolult jelszó is problémákat okozhat. Ebben az esetben előfordulhat, hogy a felhasználók túl gyakran elfelejtik a jelszavaikat (ez munkakiesést okozhat, illetve plusz munka az IT üzemeltetőknek). Másik nagy probléma, hogy ilyenkor a felhasználók felírják a jelszavukat és majd az fog kompromittálódni (képernyő mellé, vagy bankkártya mellé a PIN kódot).



Egy jelszó használata több helyen: Ez egy teljesen tipikus hiba. Az emberek nem képesek túl sok megfelelően bonyolult jelszót megjegyezni, így egy idő után úgy „védekeznek”, hogy több helyen ugyanazt a jelszót használják. Ennek a kockázata az, hogy amikor egy szolgáltatásban incidens fordul elő és jelszavak kerülnek ki, akkor a támadók rögtön felhasználják a megszerzett jelszavakat más szolgáltatások támadásához is.



Jelszócsere: Számos rendszer kikényszeríti a jelszócserét időnként, ami annyiban jó, hogy évek alatt kompromittálódhatnak jelszavak (illetve a szervezet fluktuációja miatt kikerülhetnek emberek), így jó, ha időnként lejárnak a jelszavak. Természetesen ebben az esetben sem szabad az üzemeltetésnek túlzásba esni.

120



Jelszavak tárolása: Sok szolgáltatónál előfordult, hogy nyíltan tárolták a jelszavakat. Ez súlyos hanyagság, hiszen ha valaki hozzáfér az adatbázishoz, az a későbbiekben bármely felhasználó jogosultságával vissza tud élni. A jelszavakat mindig kódolva – megfelelően erős kódolást kiválasztva – kell tárolni. A személyes jelszavainkat mentési célból se tároljuk kódolatlanul.

13. ábra: A legrosszabb jelszavak 2013-ban (angol nyelvterületen) (Forrás: http://splashdata.blogspot.hu) Jelszó kezelési tanácsaink a következők: 

Soha ne írjuk fel a jelszavakat! Ha mégis megszegjük ezt, akkor tartsuk titkosítva, illetve mindenképpen elkülönülten attól, amit védeni szeretnénk vele (azaz ne írjuk mellé a weboldalcímet, a felhasználónevet, ne írjuk a bankkártyánkra a PIN kódot, stb.)!



Ne mondjuk el senkinek a jelszavunkat! Ez alól az IT üzemeltetés, a főnökség, illetve kollégák sem kivételek! Ha a hivatali szabályok előírják, akkor lezárt borítékban helyezzük el a megfelelő helyen.



Használjunk olyan bonyolult és hosszú jelszót, amelyet képesek vagyunk megjegyezni (versek, idézetek, betűk helyettesítése számokkal, ékezetes betűk, stb.)



Mivel manapság már szinte minden szoftver támogatja a magyar nyelvet, így ahol lehet, ott jó ötlet ékezetes betűket is a jelszóban szerepeltetni. Ezzel jelentősen nehezítjük a támadó dolgát, főleg a külföldiekét, hiszen ők alapból vélhetően nem használnak magyar ékezetes betűket.

3.5.8

Hordozható eszközök és adathordozók ellopása, elvesztése

Igen gyakori támadási mód az is, hogy hordozható eszközöket vagy adathordozókat fizikailag tulajdonítanak el a támadók. Ez ellen nem mindig tudunk védekezni, vélhetően minden mobil eszköz útja során vannak olyan időpontok, amikor kevéssé védettek (természetesen ennek fordított arányban kell állni azzal az értékkel, ami az adott eszközön található). Ennek megfelelően érdemes a hordozható eszközeinket többféleképpen logikailag védeni. Szigorúan különböztessük meg a hivatali és a magán tulajdonú mobil eszközöket! Ne felejtsük el, hogy a hivatali eszközökkel általában hozzáférünk a hivatali hálózat

121

szolgáltatásaihoz, illetve levelezéshez, így a hivatali eszköz elvesztése, ellopása esetén azonnal értesítsük a biztonságért, illetve az IT üzemeltetésért felelős munkatársakat, hogy a szükséges intézkedéseket – megelőzve, hogy a támadó hozzáférjen a hálózathoz – mielőbb meg tudják tenni! A hivatali eszközeinken se tároljunk lehetőleg minden adatot, próbáljuk meg azt a kört a legszükségesebbekre korlátozni, amire már nincs szükség, azt töröljük! Magántulajdonú eszközökön ne tároljunk hivatali adatokat, illetve amennyiben mégis tárolunk, akkor győződjünk meg róla, hogy az adott típusú adatok tárolását megengedie a szervezeti szabályozás. Ugyanígy fontos, hogy hivatali célú eszközünket ne használjuk magáncélokra, különösen nem úgy, hogy az eszközt harmadik személy részére átadjuk. Ebben az esetben súlyosan veszélyeztetjük a hivatali hálózat biztonságát! Szintén nagyon komoly adatvesztések fordulhatnak elő adathordozók elvesztése esetében. 2007-ben Nagy-Britanniában több, egész súlyos ilyen eset is előfordult. A brit adóhivatal elveszített két adathordozót, amelyen 25 millió ember részére kifizetett családi pótlékkal kapcsolatos adatokat voltak39. Vesztett el adathordozót az angol posta, sőt a rendőrség is, 2008-ban pedig az egyik legnagyobb helyi bank, a HSBC futárja vesztett el egy CD-t, amin 370.000 ügyfelének az adatai voltak40, s emiatt vélhetően elég kellemetlen vizsgálatnak nézett elébe a felügyelet részéről.

14. ábra: Az adatvesztések legfőbb okai Használjuk a mobil eszközök nyújtotta biztonsági eszközöket (PIN kód, belépési minta, boot jelszó, operációs rendszer jelszó, atb.). Hordozható eszközökön ne engedélyezzünk olyan kényelmi funkciókat, mint például az automatikus bejelentkezés, illetve nem ajánlott ezeken jelszavakat megőrizni, tárolni. Hordozható eszközeink adattároló részeit titkosítsuk! Erre a legtöbb eszközön vannak egyszerűen használható módszerek. Amennyiben a megfelelő szoftver telepítve van, úgy lehetséges az ellopott eszköz adattartalmának távoli törlése, illetve az eszköz földrajzi helyzetének meghatározása (GPS helymeghatározás). Ezeket általában a szervezet informatikai biztonsági felelőse / vezetője végezheti el.

39http://sg.hu/cikkek/56905/ismet-szemelyes-adatok-tuntek-el-nagy-britanniaban 40http://sg.hu/cikkek/59384/banki-adatok-tuntek-el-angliaban

122

Adathordozó eszközök esetében a szállított adatokat – amennyiben indokolt, pl.: személyes adatok, pénzügyi adatok, hivatali adatok – titkosítva szállítsuk, illetve ha mi vagyunk a címzettek, akkor így kérjük elküldeni. Ha az adatokat nem adathordozón, hanem elektronikus levélben küldjük el, akkor is lehetőség van többféle titkosítási módszerre. Amennyiben szükséges kérjük az adatvédelmi felelős, illetve az informatikai rendszer biztonságáért felelős munkatársak segítségét. Titkosítás esetén meg kell jegyeznünk, hogy ennek formáját a szervezetnek szabályozásban kell rögzíteni. Alap esetben a felhasználónak nem szabad a hivatali adatokat a saját maga által kitalált módon védeni – például dokumentumok jelszavas védelme, vagy titkosítás – hiszen egy betegség, helyettesítés során ez komolyan akadályozhatja a munkát. Az adathordozók életciklusánál fontos gondolni a selejtezési folyamatra is, hiszen a szervezetektől nem kerülhet ki olyan adathordozó, amelyeken nem nyilvános adatok vannak. Ennek megfelelően gondoskodni kell az adatok biztonságos törléséről. Általában az operációs rendszerekben a sebesség miatt törlés esetén valójában nem törlődik fájl, csupán a rendszer beállítja, hogy az a fájl töröltnek minősül, ennél fogva az ilyen fájlokat egy rosszindulatú felhasználó később nagyon egyszerűen helyreállítja. A biztonságos törlő szoftver a törlés során a fájl adattartalmát többször felülírja értelmetlen tartalommal és így valóban törli. Ennek megfelelően egy így törölt fájl vagy csak laboratóriumi körülmények közt állítható vissza meglehetősen drágán, vagy – megfelelően sok felülírást alkalmazva – még ott sem. Az eljárás hátránya, hogy sok időt vesz igénybe, ugyanakkor a szoftver indítása után nincs semmilyen beavatkozásra szükség. Linux rendszerek alatt a wipe szoftver ajánlott, MS rendszerek alatt pedig a „secure erase” illetve „secure wipe” kulcsszavakkal találhatunk ilyen alkalmazást (persze vigyázzunk, nehogy spyware-re akadjunk). 3.5.9

Okos eszközök biztonsági kockázatai

Az egyre terjedő okos eszközöknek további biztonsági kockázatai is vannak. A fentiekben már megmutattuk, hogy ezek ma már tulajdonképpen egyenértékűek a számítógépekkel, így azok a fenyegetések (kártékony kódok) ezeket is ugyanígy érintik, az internetes tevékenység során. Az előző bekezdésben a fizikai problémákkal is megismerkedtünk. Tovább probléma, hogy főleg névtelen kínai termékekben egyre gyakoribb, hogy már a vásárláskor „beépített” kém programokat kapunk az eszközzel. Ezek az eszközök ugyan lényeges olcsóbbak, mint a megbízható gyártók által gyártott termékek, de ezzel a hátránnyal számolni kell. Ilyen eszközről a Cert Hungary is adott ki jelentést.41 Egyre több eszközről – nem csak okos eszközökről, hanem hálózati hardverekről, illetve szoftvertermékekről – derül ki, hogy az állami hivatalok hírszerzési célokra használják őket, lásd a Snowden botrány idevágó adatait42. Fentiek alapján amennyiben kényesek vagyunk a privát szféránkra mindenképpen érdemes megfontolnunk, hogy milyen szállítók hardver és szoftver termékeit használjuk.

41http://www.cert-hungary.hu/node/249 42http://hu.wikipedia.org/wiki/Edward_Snowden

123

15. ábra: Mobil eszközök kockázatai 3.6 Megelőzési lehetőségek a felhasználók számára 3.6.1

Tudatosítás, oktatás

Az IT biztonság szervezeti fejlesztésében kiemelt helyen áll az oktatás és a képzés, hiszen az emberi tevékenység nélkül a biztonság nem tartható fent. Jelen fejezetünknek is kiemelt célja, hogy a képzés résztvevői ismerjék meg a kockázatokat, illetve fenyegetettségeket, és ezeket helyükön kezelve segítség az IT rendszerek biztonságos üzemeltetését. A felhasználók sok esetben, pontos ismeretek hiányában követnek el súlyos hibákat, amelyekkel a későbbiekben akár nagyon komoly értékű adatvagyonokat veszélyeztetnek. A szabályzatok ismerete és a munkához szükséges szoftverhasználat elsajátítása szükséges, de kevés ahhoz, hogy a felhasználó védett legyen a támadások ellen, amint számos példával is megmutattuk ezt az előző fejezetekben. Bízunk benne, hogy ezeket az ismereteket a képzés résztvevői nem csak a munkahelyükön, hanem otthoni számítógép használat során is tudják alkalmazni, hiszen a fenyegetettségek is mindenhol veszélyeztetik őket. 3.6.2

Tudatos számítógép használat

A tudatos számítógép használat alatt a felhasználónak azt a magatartását értjük, hogy a különböző tevékenységeket úgy hajtja végre, hogy tisztában van tevékenységének okával, súlyával, illetve esetleges következményeivel. Ennek első lépése, hogy a felhasználóknak ismerniük kell a szervezetük szabályzatait és azokat be kell tartani. Másrészről a szabályozásban nem lehet mindenre felkészülni, így a felhasználónak olyan tudással is kell rendelkeznie, amely adott esetben képessé teszi arra, hogy bizonyos problémákat felismerjen, és ilyenkor a megfelelő eszkalációs lépéseket elvégezze. Ezek mellett kiemelt jelentőségű, hogy a felhasználó ismerje a kockázatokat és ezek alapján képes legyen legalább az egyszerűbb támadások felismerésére és azok kivédésére, vagy jelzésére az IT biztonságért felelős munkatársak felé.

124

A felhasználóknak körültekintően kell használniuk a saját tulajdonú és hivatali eszközöket, valamint a mobil eszközöket. Javasoljuk, hogy amennyiben lehet, úgy teljes elkülönítést kell alkalmazni a magán és a hivatali eszközök használata során. Sőt érdemes akár a különböző típusú tevékenységeinket is ésszerűen szeparálni (pl.: több email címünk van, más az on-line játékokra és más a webbankra és az on-line hivatalos ügyeinkre). A még óvatosabbak akár számítógép felhasználó szinten is elkülöníthetik ezeket a funkciókat. A tudatos levelezés és böngészés azt jelenti, hogy a hivatali erőforrásokat – ide értve az e-mail címeket is – csak hivatali célokra használjuk. Komoly veszélyeket rejt magában, ha hivatali gépeken magáncélú böngészést folytatunk. Böngészés esetében a fontosabb szolgáltatást biztosító oldalak titkosítják a forgalmat. Itt a felhasználóknak az a dolga, hogy ellenőrizzék ezt: valóban a saját szolgáltatójuk titkosított weboldalán vannak-e? A következő ellenőrző tevékenységek lehetnek: az url cím ellenőrzése – egy betű is nagy eltérés: otpbank.hu illetve otpbank.hn!; https:// ellenőrzése - az oldalak címének elején általában http van, itt az „s” azt jelenti „secure” azaz biztonságos!; lakat ellenőrzése: a böngészők a titkosított kapcsolatot kis lakat ikonnal jelzik, illetve ha rendben van az oldal, akkor zöld színnel. Levelezés esetében tudnunk kell, hogy a levelezés nem egy biztonságos szolgáltatás. Tulajdonképpen a levelezésben semmi nincs garantálva: sem az, hogy a levél megérkezik a címzetthez, sem a feladó személye és legfőképpen nincs biztosítva a levél bizalmassága. Ez abból adódik, hogy a levelezési protokollok még akkor kerültek kialakításra, amikor a maihoz hasonló fenyegetések még nem léteztek. Ezt levelezés során mindig tartsuk észben! Érzékeny adatainkat ne küldjük el levélben, ha szükséges használjunk titkosítást, mivel a levelek számos szerveren átmehetnek, míg a feladóhoz érnek, s ezalatt minden ilyen szerveren a levél hozzáférhető. Egy jó titkosítási lehetőség a gpg szoftver, amellyel nem csak a levelezést, hanem adatokat is lehet titkosítani43. Fontos tudni, hogy a levél feladója nem feltétlenül az, aki oda van írva, illetve mint már fentebb említettük nem szabad ismeretlen csatolmányokra és weboldal linkekre kattintani, bármilyen jó ajánlatot is kapunk. A levélben kapott információkat, illetve bizalmasabb kéréseket minden esetben ellenőrizzük le!

3.6.3

Adatok rendszeres mentése

Az adatok rendszeres mentéséről többnyire minden szervezet és hivatal gondoskodik. Ezt a tevékenységet a felhasználók is segíthetik például azzal, hogy használják a szabályozásban előírt hivatali központi tárhelyeket, illetve nem mentenek fontos dolgot a saját munkaállomásukra, mivel az könnyen lehet, hogy nincs a központi mentés hatókörében! Természetesen a felhasználók saját maguk is készíthetnek mentéseket. Mentések során mindig ellenőrizzük, hogy sikeresen végrehajtotta-e a mentést a rendszer! Vigyázzunk az adathordozóra, amin a mentéseinket tároljuk, hisz ezek elvesztése esetén teljes adatvagyonunk elveszhet. Lehetőség szerint a mentéseket titkosítva készítsük, illetve

43http://szabadszoftver.kormany.hu/letoltesek/keretrendszer/Levelez%C3%A9s%20titkos%C3%A Dt%C3%A1sa%20a%20GPG%20seg%C3%ADts%C3%A9g%C3%A9vel.pdf

125

tároljuk. Fontos, hogy ne tároljuk a mentett adatokat azon rendszer közelében, amiről a mentést készítettük, hiszen egy komolyabb incidens esetén – pl.: tűz, vízbetörés – a rendszer és a mentés együtt semmisül meg. Mentéseket rendszeresen készítsünk, hiszen adataink folyamatosan termelődnek!

3.6.4

16. ábra: Rendszeresen mentsük adatainkat! (Felirat: A felhasználói munkaállomások Adat mentés) védelme

A felhasználói munkaállomásokat az informatikai rendszerekben számos módon védik. Egyrészt a munkaállomásokon többnyire csökkentett jogosultságokat kapnak a felhasználók, ami azért fontos, hogy egy esetleges sikeres támadás esetén a támadó minél kisebb jogosultsággal rendelkezzen. Otthoni gépen is jól tesszük, ha nem az adminisztrátor szintű felhasználóval böngészünk. A hálózati határvédelmi illetve biztonsági eszközök (tűzfal, IPS, IDS, naplózás, stb.) a felhasználók számára kevéssé láthatóak, de ezek a munkaállomásokat is védik. A munkaállomásokon manapság ritkábbak a személyes tűzfalak, de ezek is alkalmazhatóak. Nagyon sok helyen alkalmaznak vírusvédelmi szoftvereket, ezek azonban sajnos sok esetben rosszul beállítottak, illetve frissítési problémák is előfordulnak. Az operációs rendszer és a szoftverek rendszeres frissítése nagyon fontos, mivel a frissítések általában a biztonsági hibákat is javítják. 3.6.5

Személyes és hivatali adatok megosztása közösségi portálokon

A közösségi portálok hatalmas népszerűségnek örvendenek, s ennek megfelelően a potenciális támadók is kiemelt helyen kezelik ezeket az oldalakat, egyrészt mint lehetséges célpontokat, amelyek igen nagy megszerezhető adatmennyiséggel kecsegtetnek, másrészt teljesen legális módon is szerezhetőek adatok ezekről a portálokról, így remek terület a lehetséges célpontok előzetes megismerésére. Ezek a portálok igen új közegek a felhasználók számára, így ezek használatát komolyan tanulni kell, hiszen sok esetben nem látjuk előre annak a következményeit, hogy 1-1 kikerült adat illetéktelen kezekbe kerülése milyen következményekkel járhat. Ahogy mondani szoktuk: „az internet nem felejt”, így mind a magánszféránk szempontjából, mind hivatali szempontból nagyon fontos kérdés, hogy mit és hogyan osztunk meg magunkról, illetve szervezetünkről, hiszen ezeket később visszavonni nem lehet. Szervezeti szinten erről a kérdésről minden esetben a hivatali szabályzatoknak rendelkezniük kell, hiszen a két véglet között számos részletszabály lehet. Ismertebb tanácsadócégeknél általában elvárás a tanácsadóktól az aktív szakértői megjelenés a weben, bloggal, postokkal, ezzel szemben egy nemzetbiztonsági szolgálatnál ez nyilván

126

szigorúan tilos és tevékenységnek.

akár

büntetőjogi

következménye

is

lehet

ugyanennek

a

Fentieknek megfelelően javasoljuk, hogy személyes és szervezeti adatokat ne adjunk meg ilyen oldalakon. Itt is alkalmazhatunk szeparációt például a levelezésben, azaz ne azzal az e-mail címmel használjuk a közösségi oldalakat, mint amivel a webbankunkat, illetve természetesen semmiképpen sem a hivatali címünkkel. A hivatali munkánkról, szervezeti dolgokról ne írjunk közösségi oldalakra, fórumokba, ezeket az adatokat egy támadó könnyűszerrel felhasználja egy támadáshoz, a szervezeti egységek, illetve munkatársak feltérképezésével nagyobb valószínűséggel tud célzott támadást intézni. Ne felejtsük el, hogy a közösségi oldalakon is sok esetben olyan információk is kikerülnek, amikre nem is gondolnánk, például hogy a felhasználó mikor és honnan jelentkezett be, vagy például hogy egy adott fénykép hol készült (bizonyos gépek beleteszik a gps-koordinátákat a kép adatai közé).

3.6.6

Vezeték nélküli internet (WiFi) használat kockázatai

Manapság a mobil eszközök terjedésével egyre inkább mindenütt terjednek a vezeték nélküli hálózatok is. E hálózatoknak mind a szolgáltató, mind az igénybe vevő oldaláról vannak kockázatai, s ezeket figyelembe kell venni. A wifi szolgáltató (itt szolgáltatónak értjük azt is, aki otthon saját céljaira telepít wifi eszközt) mindenképpen figyeljen a biztonsági beállításokra: megfelelően erős titkosítási módszert kell alkalmazni, illetve mind az adminisztrációs felületen, mind a hálózati hozzáféréshez erős jelszavakat kell megadni, különben az eszköz vagy a hálózat könnyen feltörhetővé válik. A jelszavakat ebben az esetben is ajánlott bizonyos időközönként cserélni, mivel ha egy vendég egyszer ezt megkapja, akkor az nem szerencsés, hogy azt esetleg még évek múltával is használni tudja – akár az utcáról is. A magáncélú, internetezésre illetve vendég wifinek használt hálózatokat ajánlott teljes mértékben elkülöníteni a hivatali hálózattól – legjobb esetben úgy, hogy nincs is semmilyen fizikai kapcsolat a két hálózat között. A wifi üzemeltetés felelőssége az, hogy ha valaki csatlakozik a végponthoz és onnan folytat valami nem kívánatos – akár illegális tevékenységet – akkor azt a támadást az ő hálózatával fogják azonosítani! A fizikai védelem ráadásul itt nehezen tartható, hiszen hiába kisebb a szórási területe egy wifi eszköznek, egy megfelelő irányított wifi antennával (10-20 ezer forintért nagyon jó minőségűek beszerezhetőek) akár kilométeres távolságból csatlakozhatunk egy hálózathoz. Nem csak a szolgáltatásnak, hanem a wifi használatnak is vannak kockázatai. Amennyiben csatlakozunk egy nem megbízható wifi hálózathoz, úgy több kockázatnak is ki vagyunk téve. Egyrészt bizonyos esetben a gépünk hálózati forgalma lehallgathatóvá válhat, ami érintheti a nem titkosított csatornán végzett webes, illetve levelezési tevékenységünket. Másrészt, amennyiben maga a támadó üzemelteti wifi végpontot amihez csatlakozunk, úgy egyéb támadásokat is képes végrehajtani például „eltéríti” a webes forgalmunkat, illetve bizonyos esetekben megtámadhatja a gépünket. Fentiek miatt mindenképpen érdemes kerülni a nyilvános wifi hálózatokat vagy legalábbis nagyon nem ajánlott ilyen hálózatokról érzékenyebb (levelezés, bankolás, stb.) műveleteket végezni.

127

A 15. ábra szemlélteti a fenti veszélyeket, bemutatja, hogy a „hacker” hogyan szerezhet érzékeny adatokat azzal, ha lehallgatja a nem titkosított hálózati forgalmat, vagy az általa üzemeltetett végponthoz csatakozik a felhasználó.

17. ábra: Wifi hálózatok kockázatai Forrás: summit4med.com

128