Etikus hackerek kontra BKK - IT biztonság az igazságszolgáltatás árnyékában

2017.08.10. Jogi Fórum / Hubert Csaba

2017. július 14-én bejárta a teljes magyar sajtót a hír, mely szerint több súlyos biztonsági probléma is van a frissen átadott BKK webshop rendszerében. Bármekkora összegért vásárolható bérlet, titkosítási gyengeségek, titkosítatlan jelszó, személyes adatokhoz való hozzáférhetőség és ehhez hasonló problémák.

Az egyik ilyen biztonsági rést felfedező 18 éves fiatal fiú 50 Ft-ért vásárolt egy bérletet, majd ezután felhívta a BKK figyelmét a problémára. A rendszert üzemeltető T-Systems jelentése szerint nagy számú kibertámadás érte az új rendszert, a támadásokkal összefüggésben büntetőfeljelentést tettek a Nemzeti Nyomozó Irodánál. A feljelentést a 18 éves fiú ellen is megtették, akit tegnap este a rendőrség elő is állított gyanúsítotti kihallgatásra.

Az ügy több fontos és érdekes kérdést vet fel, melyet érdemes tisztázni annak érdekében, hogy pontosan lássuk a helyzetet és a jövőbeni megoldási lehetőségeket. Jelenleg a hatályos Btk. 423. §-a  nevesíti az „Információs rendszer vagy adat megsértése” bűntett tényállását és büntetési mértékét. A törvény egyértelműen kimondja, hogy „információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.” A szakmában etikus hackernek hívjuk azokat a szakembereket, akik a megrendelő felkérésére és hozzájárulásával, ellenőrzött, dokumentált körülmények között végzik el a rendszerek sérülékenység vizsgálatát. Ebben az esetben nem is kérdéses tehát, hogy a fiatal fiú törvényt sértett e vagy sem, ugyan is a hibát engedély hiányában, jogosulatlanul derítette fel és használta ki, arról csak utólagosan értesítette a BKK-t és ráadásul nyilvánosságra is hozta a problémát, ami a cégre nézve további súlyos károkat eredményezhetett. Ez a cselekedet tehát egyáltalán nem volt etikus, ráadásul a kivitelezéséhez sem szükséges komolyabb szakmai tudás. A rendszert üzemeltető T-Systems tehát jogosan, a törvényeket betartva és a cég érdekeit szem előtt tartva járt el és a rendőrség ennek megfelelően megalapozottan indított nyomozást az ügyben. A jogi szempontból való vizsgálat ezzel le is tudható.

Érdemes azonban vizsgálni a társadalmi, erkölcsi, morális kérdéseket is, illetve a közérdek fontosságát. Sajnos hazánkban jelenleg nem terjedt még el az a rendszer, amit külföldön már előszeretettel alkalmaznak, mely szerint a cégek úgynevezett „Bug Bounty” program keretében a feltárt hibákért cserébe pénzt fizetnek a hackereknek. További megoldásként általában a hacker jelzi a cégnek a feltárt sérülékenységeket és megjelöl egy ésszerű határidőt, mely letelte után ha nem kerül javításra, nyilvánosságra hozza azt. Ez egy rendkívül erős motiváló tényező a cégek számára, hiszen nekik nagyon kellemetlen lehet egy komolyabb hiba nyilvánosságra hozatala. (Súlyos veszteség, vevői elpártolás, hosszú jogi procedúra várhat rá.) Véleményem szerint egy ilyen rendszer bevezetése fontos lenne. Ezen kívül az iskolai rendszerben legalább alap szinten be kellene építeni a tananyagba a vonatkozó törvényi paragrafus értelmezését és alapvető, jól érthető példákon keresztül fontos lenne megismertetni a diákokkal azt, hogy meddig lehet elmenni ilyen esetekben és mit szabad illetve nem szabad. Ezzel már ideje korán meg lehetne előzni a hasonló eseteket.

Az ügyészségnek illetve ha odáig eljutna, akkor a bíróságnak van jogköre megítélni, hogy a fiú által okozott cselekmény mennyire számít komoly bűncselekménynek. Ők vizsgálhatják a közérdek fontosságát is, ami alapján akár enyhe pénzbírsággal, közérdekű munkával vagy megrovással is megúszhatja a gyanúsított.

Ha az eset bírósági szakaszba jut, az ítélet mindenképpen precedensértékű lehet. Kíváncsian várjuk a fejleményeket és bízzunk a legjobbakban.

  • kapcsolódó anyagok
INTERNET
HACKER