Reggelre fél Magyarország arra ébredt, hogy nem töltenek be a híroldalak. Ennek oka pedig nem más, mint az a – véleményem szerint – részben látszatvédelem, ami a sütibeállításokat teszi lehetővé a felhasználók számára. Illetve annak – a feltételezhetően – átmeneti elromlása, ami megakadályozza a sütibeállítások elfogadását, és ezzel a tartalom elérését. Látszatvédelem azért, mert az esetek jelentős részében valójában a beállítástól függetlenül nem történik meg a sütik blokkolása, a nagyobb szolgáltatóknál pedig annyi süti (akár több száz) kerül felhasználásra, ami legfeljebb papíron (valójában gyakran úgy sem) lett auditálva és ellenőrizve, miközben a külső szolgáltatók bármikor módosíthatnak a tényleges használatukon.
Másik oldalról viszont felesleges kattintásra és időpocsékolásra kárhoztatja azokat, akik valamilyen privát böngészőt használnak az adataik védelme érdekében, hiszen azt sem tudják letárolni – engedély hiányában – hogy elutasítanak minden nem szükséges sütit (de a fentiek miatt ennek sincs semmi jelentősége, az esetek túlnyomó többségében) és ezért ez az ablak az idők végezetéig felugrál nekik (amíg nem engedve a zsarolásnak mégis engedik az elutasító sütik lementését). Mindenesetre a szabályozás a jogalkotó szintjén biztosan jó ötletnek tűnt (valójában életképtelen), a gyakorlat pedig nem megfelelő.
Persze, azt nem lehet állítani, hogy a szabályozatlan világ jobb volt, pusztán azt, hogy valójában most sem az, mert a ténylegesen a felhasználókat védő megoldások használatát rendkívül nehéz ellenőrizni vagy kikényszeríteni, cserében viszont ál-biztonságérzetet okoz a felhasználókban. Mint ahogy ugyanis az elektronikus aláírás nem a pici képecskében van egy PDF dokumentumon, úgy a sütivédelem sem a felugró ablakot jelenti (hanem a nem kívánt sütik tényleges elutasítását). A választás lehetősége kapcsán pedig azt gondolom, hogy a felhasználók elsöprő többségében talán nincs is meg az érdemi tudás, ami a felelősségteljes döntéshozatalhoz szükséges lenne. A lényeg számukra annyi, hogy a zavaró felugró ablak végre tűnjön el, lehetőleg örökre.
Node, ma reggel mindenféle politikai és egyéb háttére tekintet nélkül, lényegében elérhetetlenné vált az összes olyan hírszolgáltató (meg egyéb weboldal) tartalma, amely a Quantcast megoldását alkalmazta. Vicces módon a saját weboldaluk sem jön be. Persze, azok előnyben lehetnek, akik már elfogadtak korábban valamilyen beállítást és nem törölték a tárolt sütiket, szóval fél Magyarország mégsem biztos, hogy érintett, legfeljebb az adatvédelemmel ténylegesen foglalkozó néhány tízezer ember.
A hírportálok reakciója azután egészen fenomenális lett. Kezdjük ott, hogy egy részük eltávolította a kódot, így már tudnak szolgáltatni, bár nem tettek be helyette semmilyen más megoldást, így logikai úton csak arra lehet következtetni, hogy ezek a weboldalak valamilyen normatív előírást sértenek ezzel, hiszen nem tudom blokkolni a működéshez nem szükséges sütiket (pl. doubleclick.net stb…).
Egyébként az internet népe is ezt ajánlja.
Az érintettek másik része megírta, hogy elérhetetlen az oldala, de nem vette ki a blokkolást, így a blokkolás mögött görgetve lehet elolvasni a blokkolásról szóló cikket.
Mik az azonnali tanulságok az eset kapcsán? A szolgáltatók jelentős részének úgy látszik, hogy nincs begyakorolt forgatókönyve arra, hogy mit kezdjen azokban az esetekben, amikor egy harmadik féltől származó komponens vagy szolgáltatás kiesik, vagy nem jól mérik fel azokat (nem tekintették például kritikus szolgáltatásnak a cookie-GDPR nyilatkozatokat menedzselő szolgáltatás kiesését, mert szemmel láthatóan nem, vagy csak lassan voltak képesek reagálni). Van olyan weboldal, ahol ennyi idő alatt például lecserélték azt, nem Magyarországon.
Órákig tartott a döntéshozatal arról is, hogy vegyék le a blokkolást, feltételezem, hogy vállalva ezzel a normák megsértését. Ha lett volna ilyen forgatókönyv, akkor ezt már negyed óra alatt megtehették volna, az azóta eltelt időben pedig a látogatottság szinten maradása nem okozott volna bevételkiesést. Csak ugye, a be nem következett információbiztonsági incidenseket senki sem akarja figyelembe venni, „beárazni”, amikor költeni kellene rá (itt egy normális ITSec felmérés és a kapcsolódó eljárások, logikai-adminisztratív védelem kidolgozásának ára elegendő lett volna)
Másrészt azok a weboldalak, amelyek saját megoldást alkalmaznak nagyobbrészt védve vannak az ilyen jelenségektől, csak ugye az egyedi fejlesztést meg kellene fizetni (valójában senki nem kényszerítette egyetlen hírportált sem, hogy a „kényelmes”, külföldi Quantcast megoldásait használja, szemben a VG, külföldi kiszolgáltatottságot firtató cikkének sugalmazásával). Nem állítom persze, hogy mindent újra fel kell találni, csak az információbiztonság területén (ideértve az üzletmenet folytonosság kérdéskörét) kellene egy kicsit a pénztárcanyitáskor előre gondolkodni…
