A szakember kitálal: Így játsszák ki az állami IT-projekteket strómanoknak

Óriási vihart kavart a múlt héten az ún. etikus hekker esete, aki a BKK új, online jegyrendszerének hiányosságaira mutatott rá. A 18 éves fiút feljelentették, meghurcolták, ám olyan óriási népharag zúdult a BKK-ra és a rendszert fejlesztő T-Systemsre, hogy visszavonulót fújtak, s a napokban együttműködést ajánlottak a fiatal informatikusnak. Egy állami projekteken is dolgozó IT-szakember a Zsúrpubinak felvázolta, hogyan is zajlik egy fejlesztési folyamat, s hogyan is kapják strómanok az állami megrendeléseket. A szakember szeretné megőrizni inkognitóját. Írása.

codemonkey

Szakmai szemmel nézve elfogadhatatlannak tartom azt, ami a BKK új e-Jegy rendszerével kapcsolatosan napvilágra került a rendszer sérülékenységét illetően. 

Elsősorban nem technikai kifogásom van amiatt, hogy hozzá nem értő emberek fejlesztették le ezt a rendszert. A probléma a háttérben működő rejtett piaci szálakkal van, melyek a szakmabeliek számára triviálisnak tűnnek, de az adófizetőknek, akiknek a pénzéből finanszírozzák az ilyen fiaskókat, tudniuk kell ezekről.

Manapság egyre több fiatal szeretne belevágni az IT-területen belül a programozásba, fejlesztésbe, és a legkönnyebbnek vélt területet célozzák meg, a weblap fejlesztést, illetve a mobilalkalmazás fejlesztés valamelyik platformját.

Ennek érdekében a többség általában megcélozza a tanfolyami lehetőségeket, melyek rövidebb idő alatt adnak át egy területspecifikus tudást a hallgatónak. Ez utóbbival nincs is gond, manapság már nem fontos, hogy egy fejlesztő több területhez értsen, hiszen egy-egy kisebb terület annyi specialistát lát el munkával, hogy elegendő ahhoz érteni, kereslet van a szakemberekre bőven.

Vállalkozói tapasztalatokra alapozva, rendszerszintűnek mondhatom azt a működést, ami a fejlesztési projekteken belül a megbízó-megbízott egymásra találását eredményezi.

A működési mechanizmus, ami a döntéseket irányítja, a projekteket lebonyolító cégeknél mindig a nyereségvágyból, a hihetetlen kapzsiságból fakad - ugyanez történt az e-Jegy esetében is.

Nemrégiben én is részt vettem egy magánvállalkozóként működő szakkolléga révén egy munkafolyamatban, aminek a végpontja állami cég volt (konkrétumokat természetesen nem írok, mert látjuk, hogy mi vár arra, aki jóhiszeműen jelez egy hibát, ezzel a strómanok következő megbízását veszélyeztetve). A megrendelő kiléte az elején nem derült ki számomra, és nagyon sok egyéb információ is csak jóval a projekt beindulása után jutott el hozzám.

Öt, azaz öt láncszemből állt ez a kapcsolat főmegbízó és főteljesítő között, tehát az állami cég és köztem. Ezeknél a „közvetítős” láncszemeknél viszont a felettem lévő cégnek kínos lett volna felvállalni a főmegbízó előtt, hogy én valójában nem is vagyok az alkalmazottjuk, ezért konkrétan jelezték, hogy tulajdonképpen hazudjam azt (a meetingen is, ha kérdik), a cégüknél dolgozom, nem pedig szabadúszóként. És nem csak a főmegbízó felé, mert még a felettem lévő cég feletti „közvetítő” cég felé is azt a látszatot kellett kelteni, mintha a felettem lévő cég alkalmazottakkal fejlesztetne.

Az üzleti kapcsolat rendszerszintűen így épült fel ennél és az összes többi projektnél. A fenti példában említett fejlesztendő rendszernek közel sem kellett olyan biztonságosnak lennie, mint az e-Jegy projektnek, ahol online fizetés vagy egyéb szenzitív adat, adatkommunikáció is beemelésre került.

Azonban ebben az esetben is hiba csúszott az egyik kolléga munkájába, ami csak egy, a főmegbízó által felbérelt - a biztonsági réseket felderítő szolgáltatással foglalkozó - külső cég bevonásának köszönhetően derült ki. Igen, volt annyi eszük, hogy felkértek egy a biztonságosságot ellenőrző céget annak kiderítésére, milyen munkát kaptak a pénzükért. A pénzükért, aminek a ránk eső része szánalmasnak mondható kis összeg lett, és mi is csak azért kerültünk a képbe, mert a cég túlterhelt volt, a bevállalt projektet viszont teljesíteniük kellett. Így bedobtak minket, az utolsó pillanatban értesített szabadúszókat, ami súlyos felelőtlenség volt a cég részéről, hiszen egy szoftver lefejlesztésénél fontos szempontokat kell figyelembe venni: például hogy a fejlesztendő rendszer által megkívánt szakmai minőségnek/szintnek megfelel-e a megbízott (erre vonatkozólag semmilyen minőségellenőrzési/background check eljárás nincs bevezetve). Ez a projekt busás jövedelmet hozott a középső láncszemeknek, azonban a valós munkát elvégzők és a főmegbízó-főmegbízott nem érezhette ugyanezt az elégedettséget.

További - hasonlóan strukturált - projektek esetében ugyanezeket a köröket futottuk le: szinte alapkövetelmény a főmegbízó és a projektet elvállaló cég felé, hogy a vállalkozói státuszt illetően kamuzni kell. Akadt olyan munka, melybe a fővállalkozói pályázatom elutasítása után harmadik láncszemként vontak be. Ugyanabba a projektbe. Ezeket a pluszköltségeket mindig a megrendelők (de valójában az adófizetők) fizették meg.

A programozási munkákra gond nélkül alkalmaztak olyan lelkes, amatőr programozót alvállalkozóként, akinek a munkáját egy az egyben újra kellett kódolni. Ebből világosan látszik, micsoda dilettantizmus van az állami megrendelések pályáztatásánál és elvégzésénél. Szinte cinikus módon hagynak figyelmen kívül alapvető normákat, szempontokat. Olyan projectek esetében is, ahol az állampolgárok szenzitív adatait kezelik, mint pl. az e-Jegy esetében.

Az állami megrendelések elbírálásánál a baráti vállalkozók gond nélkül megkapják a szakmai tudásukat jócskán meghaladó projekteket, ha a következő feltételek valamelyikét fel tudják mutatni:

  • van egy diplomád és már fejlesztettél egy bemutatható alkalmazást
  • fejlesztettél több alkalmazást, fejlesztő cégnél dolgoztál, de nincs diplomád
  • fejlesztettél alkalmazást legalább két platformra, nincs diplomád, de olcsó vagy 

Az alapvető probléma, hogy egy alkalmazottat jobban megszorongatnak/átvilágítanak szakmailag, mint egy alvállalkozót, ezért bízzák a strómanok adhoc jelleggel alvállalkozókra a legkomolyabb szakmai tudást igénylő állami projekteket. Ez megmagyarázza, hogyan is történhetett meg egy ekkora szakmai baki a BKK új, e-Jegy rendszerénél. A fenti módon, helytelenül kerülnek összepárosításra a szakemberek és a munkák, szakmaiatlan, dilettáns projektmenedzsmenttel.

Sok esetben figyelmen kívül hagyják a közvetítők, hogy a leendő munkaerő alkalmas-e a rendszer által megkövetelt eredmény létrehozására (minőségi, biztonsági, korszerűségi szempontból). Ez a sok alvállalkozói láncszem tudva vagy tudatlanul, szándékosan vagy sem, kizárólag a saját piaci előnye érdekében rosszul dönt, arra apellálva, hogy „ez majd jó referencia lesz”, „ebben nagy pénz van”.

A 200-300 milliós rendszerösszegből (ami elért a második láncszemhez), a tulajdonképpeni kódolást végző ötödik láncszemhez nagyjából 1% juthatott el egy év alatt. Ez a rendszerszintű gyakorlat. A piramis legalján lévő munkás kapja a legkevesebbet, és ha egy rossz szerződést írt alá, akkor a legnagyobb felelősséget is az ő nyakába varrják. Így történik ez az e-Jegy-fiaskó esetében is, egyetlen csúcsvezető sem lesz felelősségre vonva, senki nem fog lemondani.

Az informatikai fejlesztő cég látszatát keltő strómanoknak van kapcsolati hálójuk, nyomják a marketing bullshitet, és a pult alatt jól vissza tudnak osztani. Ám semmilyen szakmai követelménynek nem felelnek meg, magyarul hazugsággal jutnak hozzá az állami pénzhez.

Az e-Jegy rendszer felállításának körülményei is furcsák, az eredménye is – mint láttuk - több sebből vérzik. Egy szakmailag - a feladat jellegét tekintve - tapasztalatlan, képzetlen emberre bízták nemcsak a programozást, de a strukturálást is, ami azért tragikus, mert ez azt jelenti, hogy az őket irányító személy is alkalmatlan volt a posztjára és így tovább felfelé. Akik tesztelték a rendszert, fél nappal (!!!) az élesítés előtt, nem voltak kompetensek, akik átvették a teszteredmény után a rendszert, nem voltak körültekintőek.

Rengeteg alkalmatlan személy kellett ahhoz, hogy egy 18 éves fiú induló karrierje a jóhiszeműsége és segítő szándéka miatt kerékbe törhet.