2017. július 22., szombat

Nyílt kérdések a BKK-kapcsán

Megjelent a T-Systems, szinte már sajnálkozó közleménye a BKK rendszerének feltörhetőségével kapcsolatban. De a közlemény, mintha hiányos lenne. Leginkább a felelősség megállapítása terén. Ezért is gondoltam, hogy egy nyílt kérdéssel talán segíthetek előrébb jutni ezen a téren.


Nagyon kedves T-Systems!

Egy on-line kereskedelmi rendszert beüzemelés előtt le kell tesztelni. Nem szoktak, nem elvárható, hanem kötelezettség. Egy böngésző alapú alkalmazást a gyakori operációs rendszerek, gyakori böngészőivel, és a még telepíthető verziókkal meg kell nézni. Nem jófejségből, hanem a szakma írott, illetve íratlan szabályai alapján.

Ezekről a tesztekről, azok körülményeiről tesztelési jegyzőkönyveket kell felvenni. Olyanokat, amely a funkiconális és nem-funkcionális tesztek elvégzését kellően igazolja. Olyan esetben, amelyben a felhasználó adatai is „utaznak” a rendszerben, biztonsági teszteket is el kell végezni. Ezekről egy, a biztonsági auditok alapját képező jegyzőkönyvet szintén fel kell venni. Az élesítést megelőzően, ahogy egy liftet is átvesznek műszakilag, egy biztonsági és funkcionális audit elvárható. Referenciaként megtekinthetők az ISTQB és ITIL tanfolyamok tankönyvei is. 

Ezt követően azok lennének a kérdések, hogy:


  • Ki, illetve kik végezték a teszteket?
  • Ki, illetve kik írták alá a tesztelési jegyzőkönyveket?
  • Ki, pontosabban melyik ismert auditor végezte el az auditálást?
  • Ki írta alá az auditálás jegyzőkönyvét?
  • Milyen hiányosságokat állapítottak meg a tesztek, illetve az auditálás során?
  • Milyen intézkedési terv született az esetleges problémák megoldására?
  • Az intézkedési tervet ki ellenőrizte, és végrehajtását ki hagyta jóvá?
  • Az UAT-tesztet ki végezte, arról milyen jegyzőkönyv készült, és azt ki írta alá?
  • Mindezek alapján a rendszert ki vette át, és az élesítéséről ki döntött?

Mert az elképzelhető, hogy a fiú hibát követett el, amikor nem fülbe-gyónta a saját tesztjeinek az eredményét. De az elképzelhetetlen, hogy a fejlesztést és beüzemelést végzők részéről ne lehetne megállapítható a szakmai felelősség. Így az lenne az elvárható, ha a következő közleményükben a fenti kérdésekre is megadnák a választ. Azok névsorával, akik aláírói voltak azoknak a dokumentumoknak, amelyek nélkül egy on-line személyes adatokat is forgalmazó, fizetés-érzékeny rendszert nem illik, nem szoktak, és nem is igen lehet megvalósítani.

S ez a felelősi kör nem a takarítónő, és nem is csak sokadik beosztott szoftvertesztelő, hanem a döntéshozatali lánc egyes tagjai.

Simay Endre István

Nincsenek megjegyzések:

Megjegyzés küldése