Elkúrták a BKK-nál az e-jegyrendszert, ezért lehülyézték az utasokat és feljelentik azokat, akik a hibára figyelmeztették őket. Ha egyszer könyvet kellene írni a vállalati kommunikáció csődjéről, a BKK és a T-Systems e-jegyrendszeres kommunikációja lenne az esettanulmány.
Januárban még úgy volt, hogy legkorábban jövőre vezetik be az e-jegyrendszert, aztán jött egy hirtelen bejelentés: még az idén. Aztán még egy: a jövő héttől. Borítékolhatóan ez a kapkodás okozta azt, hogy triviális informatikai hibákat találtak a felhasználók a BKK és a T-Systems termékében.
Nevezzük nevén a dolgokat:
- az e-jegyrendszer egy termék,
- a BKK (T-Systems) pedig a szolgáltató;
- az utasok fizetnek, ők a felhasználók, vagyis a termék fogyasztói.
Minden kapitalista országban a termék fogyasztójának maximális kielégítéséért dolgozik a terméket előállító vállalat. Mindenfajta javítás, visszajelzés a vállalat számára hasznos, ezért a legtöbb cég kínosan ügyel arra, hogy a sajtóban mi jelenik meg róla és a termékeiről, illetve mik a fogyasztók visszajelzései.
Magyarországon, a BKK-nál és a T-Systemsnél nem.
A fenti cégek sajtótájékoztatóján úgy szúrta tökön a modern vállalati kommunikáció és az ügyfélkezelés alapelveit, hogy a fal adta a másikat. (Képzavar.) Az eseményen Dabóczi Kálmán, a BKK vezérigazgatója ahelyett, hogy megköszönte volna a sajtó és a felhasználók tesztjeinek eredményét (a jelek szerint az e-jegyrendszert úgy dobták piacra, hogy nem tesztelték rendesen), lehülyézte a fogyasztókat és feljelentette azokat, akik a biztonsági hibára hívták fel a figyelmet.
„Az okos megoldások az okos embereknek való. Aki nem érte el azt a szintet, hogy egy okostelefont tudjon kezelni, annak ez nem egy kényelmes megoldás”
– mondta a sajtótájékoztatón Dabóczi. Később hozzátette:
„Picit úgy érzem magam, hogy ahogy a focihoz is általában mindenki ért Magyarországon, most hirtelen mindenki etikus hacker lett itthon, legalábbis annak vallja magát. Felelőtlennek érzem azt, amikor valaki azt állítja, hogy bárki feltörheti a rendszert.”
Takács József, a BKK új online értékesítési rendszerét fejlesztő T-Systems Magyarország IT-biztonsági igazgatója kénytelen volt azért enyhíteni:
“Örömmel vesszük a hibajelentéseket”
-mondta.
Aztán saját magát cáfolta:
személyesen tett büntetőfeljelentést az egyik súlyos hibát kimutató és azt bejelentő felhasználó ellen.
Az eset nyomán tehát a T-Systems a rendszert ért visszaélés miatt büntetőfeljelentést tett, mivel azt rosszindulatú támadásnak tartja. Tehát a BKK és a T-Systems is úgy viselkedik az ügyben, mint a harci elefánt a porcelánboltban: kommunikációjukkal elképesztően aláásták a cégeik hírnevét, gyakorlatilag a saját vállalatukat károsították meg.
Szakmai körökben és a médiában már magában is általános megbotránkozást keltett a T-Systems által fejlesztett rendszer műszaki színvonala. Ennek oka egyszerű: nem lehet a rendszert az egyik hétről a másikra működőképessé tenni. A felmerült hibák között olyan amatőr bakik fordultak elő, mint a sima szövegként tárolt jelszavak (és azok megküldése kérésre a jelszót elfelejtő felhasználónak), vagy a mód, ahogyan a rendszer átadja a banki megbízást a fizetőkapuként használt OTP banki rendszerének – utóbbi ugyanis triviálisan, a kérés átírásával megváltoztatható. Egy átgondolt és letesztelt rendszerben erre egészen egyszerűen nem lenne lehetőség. Az említett hibák létezését egyébként a BKK és a T-Systems is elismerte.
A fenti hibák a cégek szerint nem adtak lehetőséget a rendszerben tárolt személyes adatok kiolvasására, a BKK-vezér szerint pedig visszaélésre sem került sor. A vállalat álláspontja szerint a beépített visszaélés-figyelő rendszer kijelzett, a próbaképp vásárolt bérletet pedig gyors ütemben érvénytelenítette, így igazából nem lehetett 50 forintért 10 ezer forintos bérletet váltani. Mások szerint még ez a rendszer sem működött, tehát szó sem volt érvénytelenítésről, míg a sajtóban meg nem jelent az történet.
Az még megbocsájtható lett volna, hogy kidobnak a piacra (milyen piacra, a BKK ráadásul monopolhelyzetben van, nincs is igazi verseny!) egy hibás terméket, tesztelés nélkül.
De ebbe, amit a szakemberek válságkommunikációnak hívnak, a két cég teljesen belebukott.
Amikor rájönnek, hogy hibáztak, normális esetben a cégek bocsánatot kérnek és kijavítják a termék hibáit. Megköszönik a tesztelőknek a visszajelzéseket. Ez lett volna a normális viselkedés. Ehelyett feljelentették azt a férfit, aki megírta a BKK-nak, hogy átverhető az új jegyrendszerük. Az illető az RTL Klub Híradójában elmondta, nem is tervezte kihasználni a hibát, épp azért akarta figyelmeztetni a céget, hogy rossz szándékú felhasználók ne tudjanak visszaélni a lehetőséggel.
A BKK vezérigazgatója, Dabóczi Kálmán kikelt azok ellen is, akik videón mutatták meg, hogy az ellenőrök nem tudják ellenőrizni, hogy valódi-e egy digitális bérlet, tesztjük során 10 alkalomból 10-szer tudtak hamisított bérlettel utazni. A vezérigazgató szerint viszont felelőtlen ez a magatartás, szó nincs tesztelésről, súlyosabb és durvább esetről van szó.
Aztán kikelt a rendszert próbálgatók ellen, hitetlenkedve mesélte, hogy 150 felhasználót kellett törölni a rendszerből, mert azonosítóként vulgáris vagy gyalázkodó szavakat és kifejezéseket használtak. Emellett kijelentette, hogy a cég csak a megbízással rendelkező, szerződéses viszonyban álló etikus hackerek tevékenységét tűri el, mindenki más, aki hibát keres a megoldásban, a törvény szigorával találja szembe magát.
Ezen a begyepesedett, hetvenes évekbeli gondolkodásmódon az informatika és a vállalati kommunikáció hosszú ideje átlépett.
A nagy cégek (Google, Facebook) ún. „bug bounty-program” keretében hívnak mindenkit az aktív hibakeresésre (bizonyos korlátok között), a hibát bejelentőket pedig busásan meg is jutalmazzák. Hasonló programot a hazai startupok is üzemeltetnek.
De erről a BKK vezérigazgatója és a T-Systems nyilván még soha életében nem hallott. Saját maguk csináltak hülyét magukból a sajtótájékoztatójukon.
A HWSW.hu riportere a beszámolójában még hozzátette: a sajtótájékoztató visszatérő motívuma volt, mind a BKK, mind a fejlesztők konzisztensen rosszindulatú támadásokról beszéltek (amibe amúgy a sajtó is bekerült), azt a benyomást keltve, hogy a vezetők a webre egy jóindulatú, vagy legalábbis semleges közegként tekintenének, nem pedig egy alapvetően ellenségesnek. Az újság hozzátette: egészen szürreális belegondolni, hogy a legnagyobb hazai rendszerintegrátor az internetet nem potenciális támadási felületként kezeli és váratlanul éri, hogy ott esetleg rosszindulatú szereplőkkel érdemes számolni.