Kritikus feladatokat ellátó vállalkozások informatikai sebezhetőségeire láthatnak rá NER-közeli cégek

Az előző kormány az utolsó hónapjaiban alakította ki az úgynevezett NIS 2 auditori rendszert, amely alapján a kritikus feladatokat ellátó cégeknek kötelező átvilágítaniuk informatikai rendszereiket, elvileg a sebezhetőségek kiküszöbölése érdekében. Az átvilágítást végző úgynevezett auditorok listájára nagyrészt az előző vezetésnek kedves cégek kerültek fel:  Rogán Antal, Tiborcz István és Balásy Gyula köreihez köthető vállalatok. Más, a rendszerbe bevett cégek vezetőikön keresztül az állambiztonsági szervekhez, az elmúlt négy évben Rogán irányítása alatt álló polgári titkosszolgálatokhoz kapcsolódnak.

Az EU 2022-ben fogadta el az NIS 2 irányelvet. Ennek lényege, hogy a tagállamnak szigorúbb kiberbiztonsági előírásokat kell bevezetnie a kritikus digitális infrastruktúra védelmében. A gyakorlatban, illetve a magyarországi szabályozásban ez azt jelenti, hogy számos, kritikusnak vagy kockázatosnak ítélt ágazatban működő (például energia, közlekedés, egészségügy, digitális infrastruktúra, ivóvíz- és élelmiszer, és számos digitális szolgáltatás) cégnek kötelező igazolni, hogy az informatikai rendszereik biztonságosak, vagyis nem törhetők fel, vagy béníthatók meg könnyen.

A szabályozás Magyarországon mintegy 4-5000 céget érint, nekik úgynevezett kiberbiztonsági auditot (átvilágítást) kell végrehajtaniuk. Az átvilágítást szintén magáncégek végzik, de az auditori minősítést csupán tíz cég kapta meg a Szabályozott Tevékenységek Felügyeleti Hatóságától (SZTFH). Ez ugyanaz a szerv, ami az állami monopóliumokat, például a szerencsejátékot és a dohányárusítást is felügyeli.

Az SZTFH elnökét eredetileg közvetlenül a miniszterelnök jelölhette ki, majd később a köztársasági elnök nevezte ki miniszterelnöki javaslatra: először Bíró Marcell vezette, aki korábban a Miniszterelnöki Kormányirodát irányította. Bírót 2024-ben addigi helyettese, Nagy László követte az SZTFH élén, és a legfrissebb információk szerint jelenleg is ő vezeti a hatóságot.

Ellenőrzés kontroll nélkül

Bár a NIS 2-szabályozás szigorú előírásokat ír elő az érintett vállalatok felé, magát az auditori cégek működését az SZTFH érdemben nem ellenőrzi. Iparági tapasztalat szerint több auditorcégnél előfordul, hogy a hivatalosan bejelentett kapacitás – sok helyen mindössze heti 2 órás munkaviszonyban rögzített kulcsemberek – látványosan elmarad a ténylegesen vállalt ügyfélkörtől; olyan esetek is ismertek, ahol egyetlen üzletágvezető több száz ügyfélnél szerepel.

A hivatalos létszámmal párhuzamosan jellemző gyakorlat az alvállalkozói foglalkoztatás. Ez azt jelenti, hogy az SZTFH nem lát rá arra, hogy kik férnek hozzá az átvilágított cégek bizalmas informatikai adataihoz.

A felügyeleti hézag nem csak hatósági szintű: a tényleges audit-munkát több cégnél külsősök végzik, akiknek a hozzáférése a megbízói és a hatósági oldal felé sem dokumentált megfelelően. Az iparágban ismert kockázat továbbá, hogy a kötelező auditok során keletkező érzékeny adatok – sebezhetőségi térképek, kontroll-hiányosságok, hozzáférési struktúrák – egyes munkatársak által külföldi AI-szolgáltatókhoz kerülhetnek, GDPR-megfelelőségi és nemzetbiztonsági kontroll nélkül.

A szigorú előírások így csak az auditált oldalt sújtják, az auditori oldal hasonló mértékű ellenőrzés nélkül működik.

A nevük elhallgatását kérő, az SZTFH munkájára rálátó forrásaink szerint koncepció volt, hogy az auditori szakmába minél nagyobb számban bekerüljenek a Rogán Antal által felügyelt polgári titkosszolgálatokhoz bekötött szakértők. Mint mondták, az állambiztonsági szolgálatok és az etikus hackerek, kiberbiztonsági szakemberek világa (elsősorban azoknak a cégeknek a hálózata, amelyek a Magyar Kiberbiztonsági Klaszterbe tömörülnek) között jelentős az átfedés.

Az NIS 2 irányelv bevezetése Magyarországon, illetve az azt követő, kriptoeszközökre vonatkozó érvényesítési rendszer (MiCA – Markets in Crypto-Assets Regulation) kialakítása azt szolgálta, hogy az ilyen szolgáltatást kötelezően igénybe vevő nagyvállalatok rendszereiről teljes képet kapjanak a titkosszolgálatok. Forrásaink szerint a kiberbiztonsági átvilágítást végző cégeken keresztül a titkosszolgálatoknak rálátásuk lehet több ezer magyar cég informatikai biztonsági rendszereire, megismerhetik azok esetleges sebezhetőségeit is.

Azt, hogy az auditorcégeken keresztül valóban a hírszerzéshez érkeznének magáncégek érzékeny adatai, konkrét példával nem tudjuk igazolni. A cégek listáját és azok kapcsolatait végig nézve azonban látható, hogy a kritikus munkával megbízott cégek jelentős része köthető a NER szereplőihez, köztük Rogán Antalhoz is. A NIS 2 auditorcégek kapcsolatait az alábbi ábrán mutatjuk be (a kép kattintással nagyítható):

A cégháló elkészítése után emailben kerestük Tanács Zoltánt, az új kormány tudományos és technológiai miniszterét, akitől azt kérdeztük, tervezik-e a NIS 2-auditori rendszer fölülvizsgálatát, de cikkünk megjelenéséig nem kaptunk választ. Megkerestük a Tisza Párt parlamenti frakcióját is. A frakció szóvivője azt írta, jelenleg nem tudnak az ügyben érdemi válasszal szolgálni, mivel első benyújtandó törvények között nem szerepel az NIS 2 auditori rendszer kérdése.

Megkerestük az SZTFH-t is, akiktől azt kérdeztük, milyen rendszerességgel és milyen módon ellenőrzik az auditorcégek működését, és hogy szabályos-e, ha a kötelező auditok során a cégek külsős alvállalkozókat alkalmaznak, vagy külföldi szerverekről működő mesterséges intelligenciát használnak. Rákérdeztünk arra is, hogy az előző kormányhoz vezető szálak miatt felmerült-e az auditori minősítések felülvizsgálata. Választ azonban egyelőre egyik kérdésünkre sem kaptunk.

Rogán feltalálótársa is ellenőrizhet

A tíz kiváltságos auditorcég közé bekerült például Csik Balázs cége, a HUNGUARD Kft. Csik leginkább Rogán Antal üzlettársaként ismert, a volt propagandaminiszter ugyanis vele közösen szabadalmaztatta a MobileSign bolti aláírórendszert. A szabadalmat először a MobilSign Kft. vette meg, majd átkerült Csik Balázs másik cégéhez, a ProfiTrade 90 Kft.-hez, tőlük pedig később a Telekom vásárolta meg a fejlesztést.

A ProfiTrade 90 Kft. a MobileSign révén mintegy 257 millió forintos uniós támogatást vett fel, és később még további, százmilliós nagyságrendű pályázatokon nyert közpénzt. Emiatt az Európai Csalás Elleni Hivatal, az OLAF vizsgálatot indított, aminek végén a magyar államnak vissza kellett fizetni két pályázatban elnyert támogatás összegét.

A VALILAB IT Biztonsági Vizsgálólaboratórium Kft. a tulajdonoson, Dr. Balázs Istvánon keresztül szintén a HUNGUARD-hoz köthető, ugyanis Balázs István korábban a Hunguard társasági tagja volt. Balázs István szintén tagja volt korábban a VERITAN Hírközlési és Informatikai Tanúsító Kft.-nek, ami szintén az auditorcégek egyike.

Balásy Gyula osztály- és üzlettársa

Szintén közvetlenül NER-es kötődésű a Vantasec Kft., Szabad Tamás cége. Szabad Tamás Balásy Gyulához köthető, sajtóhírek szerint Balásy osztálytársa volt, majd a Lounge Consulting Bt-ben volt beltag.

Szabad Tamás informatikai cégei később taroltak a Rogán Antal-féle Nemzeti Kommunikációs Hivatal (NKOH) pályázatain.

2022-ben az Átlátszó megírta, hogy az NKOH, ami főleg az állami propagandakampányok finanszírozásáról ismert, nettó 30 milliárd forint értékű keretszerződést kötött szervezetfejlesztési feladatokra Szabad Tamás két informatikai cégével, a p2m Consulting Kft.-vel és a p2m Informatika Kft.-vel.

A cégek korábban kis forgalmat bonyolítottak, a milliárdos közbeszerzéssel a bevételük egy év alatt megsokszorozódott. A cégek bevételeit tovább növelhették az Antenna Hungáriától, a BKK-tól, a NAV-tól, a Nemzeti Családi és Szociálpolitikai Intézettől és a Nemzeti Közművektől érkező megrendelések is, legalábbis a p2m.hu-n ezek a szervezetek szerepeltek referenciaként, bár a közbeszerzési értesítőben ezeknek a megbízásoknak nem volt nyoma.

A KÜRT Információbiztonsági és Adatmentő Zrt. főleg arról ismert, hogy 2023-ban az adatmentő módszerét a Zsolnay porcelán és Neumann János életműve mellé felvették a hungarikumok listájára, de ennél is fontosabb, hogy a következő évben a Prime Peak Magántőkealap többségi tulajdonába került. A Prime Peaket 9 másik magántőkealappal közösen a Primefund Befektetési Alapkezelő Zrt. kezeli. Ennek a cégnek többségi tulajdonosa Mészáros Lőrinc ügyvédje, Kertész József Tamás, aki a KESMA alapítói jogait is gyakorolja.

Végül hivatalos auditor a NETI Informatikai Tanácsadó Kft. is, az egyetlen olyan cég a csoportban, ami a magyar állam 100%-os tulajdona: a társaság a Belügyminisztérium rendészeti államtitkárának szakmai felügyelete alatt áll. A cég egyik képviselője, Teller Gábor korábban a NISZ projektmenedzsment igazgatója volt.

Multicég leányvállalatai volt állambiztonságiakkal

Bekerült a hivatalos auditorok közé két külföldi multicég leányvállalata is, ám ezek informatikai ágazatukon keresztül szintén köthetők a nemzetbiztonsági szolgálatokhoz. Az Ernst & Young Kft. a brit multicég leányvállalata, ám ennél fontosabb, hogy a kiberbiztonsági üzletág vezetője, Zala Mihály az ITbusiness.hu-n található életrajza szerint

„1998–2005 között az Információs Hivatal költségvetéséért, pénzügyeiért, illetve személyzeti-oktatásáért felelős igazgatója volt. Karrierje kezdetén dolgozott a Belügyminisztériumban, volt Bécsben attasé, illetve Bonnban a magyar nagykövetségen tanácsos.”

Az E&Y portréjában szintén az szerepel, hogy Zala Mihály korábban kormányzati rendszerek technológiai fejlesztésében szerzett tapasztalatokat, és csaknem tíz éven át felelt a Magyar Államkincstár informatikai szakrendszereinek áttekintéséért miniszteri biztosként.

Az Alverad Technology a Svájci SGS leányvállalata; a magyarországi cég ügyvezetője Hinkel Attila a cégadatbázis szerint társasági tag egy másik cégben, az ACPM Cert Kft-ben, amely Erdei Csaba cége. Erdei korábban az Infotér Egyesület (később Informatika a Társadalomért Egyesület) kiberbiztonsági munkacsoportját vezette.

Az egyesület, amely a Nemzeti Együttműködési Alaptól is kapott támogatást, több rendezvényt is szervezett, ahol az állambiztonsági szolgálatok vezetői is felszólaltak. A 2024-es szakmai napokon például a Katonai Nemzetbiztonsági Szolgálat és az SZTFH vezetői adtak elő. Erdei Csaba neve szerepel szerzőként két az elektronikus közigazgatással kapcsolatos oktatóanyagban a Belügyminisztérium Vezetőképzési és Továbbképzési Főosztályának honlapján.

Az Alverad és az ACPM Cert tulajdonosi köréhez áttételesen kötődik az Andrews IT – szintén hivatalos auditor – is. Az Andrews IT (közösen az Alverad Technologyval és az ACPM Certtel) emellett tagja a Magyar Kiberbiztonsági Klaszternek is. A szervezetet közösen alapította az Óbudai Egyetem (amelynek alapítványában a Jászai Gellért tulajdonában levő Ikon Befektetési Alapkezelő Zrt. látja el a tulajdonosi jogköröket) és több kiberbiztonsági cég, és hamarosan csatlakozott hozzá a Honvédség Védelmi Innovációs Kutatóintézete is (VIKI). A Honvédség akkori közleménye szerint

„VIKI részéről Balogh Péter reziliencia központ vezető elmondta, hogy a kiberbiztonsági klaszterhez most társult, általa képviselt szervezet egy kutatóintézeteken alapuló gyorsító programot és tesztközpont-hálózatot épít abból a célból, hogy a haderőben meglévő végfelhasználókat összehozza a legjobb és leghatékonyabb innovátorokkal.”

Tiborcz-céghez is vezetnek szálak

Kiemelt figyelmet kapott a döntéshozóktól a Mikroháló Kft., ugyanis az NIS 2-auditori megbízás mellett egyike lehetett annak a két cégnek is, ami kriptovaluta-tranzakciókat érvényesíthet. A cég jelenlegi (tavaly kinevezett) cégvezetője Hatvani István, aki 15 évig a Nemzeti Közlekedési Hatóságnál volt IT osztályvezető – egy időben az egyik Mikroháló Kft tulajdonostársával, Farkas Lászlóval közösen, aki akkor az NKH IT-vezetője volt – majd 2017-től néhány évig a Miniszterelnökség informatikai osztályát vezette.

Az Opten adatbázisából kiderül az is, hogy a Mikroháló eredeti anyavállalata a Datron Távközlési Zrt. volt (2015-ig, majd 2015-2019-ig a társaság tagja). A Datron Zrt. egy másik leányvállalata a Datron ITS, később Falcon GT Consulting nevű cég, ami szintén tagja a Magyar Kiberbiztonsági Klaszternek. A Falcon GT az interneten fellelhető adatok alapján átfedéseket mutat a Tiborcz-családhoz köthető Symmetria-csoporttal.

A Falcon GT egyik 50%-os tulajdonosa, Teasdale Harold Róbert NAV-os iratok alapján a Symmetria Magyarország Zrt. igazgatósági tagja volt.

A fenti tulajdonosi és cégtörténeti szálak mellé egy határozott, az Alkotmányvédelmi Hivatal felé mutató szakmai vonal is társul. A Mikroháló igazgatóságának elnöke a cégregiszter szerint Farkas László; iparági és belső információk szerint korábban az Alkotmányvédelmi Hivatal informatikai főosztályát vezette ezredesi rendfokozatban.

Ehez a céghez köthető továbbá dr. Peszleg Tibor is (a Mikroháló által adatkezelőként üzemeltetett, berepules.hu című képzési és rendezvényes honlapon adatvédelmi felelősként szerepel), aki korábban a Nemzeti Nyomozó Irodánál rendőr őrnagyként az informatikai (hi-tech) bűncselekmények és az informatikai biztonság területével foglalkozott.

Az így kirajzolódó kép szerint a Datron–Symmetria–Tiborcz-vonalból eredő tulajdonosi háttér egy markáns állambiztonsági irányultsággal egészül ki a cégnél, amely egyszerre NIS 2 auditor és kripto-validátor is.

Zubor Zalán

Címlapkép: Átlátszó montázs