A napokban nagy sajtóvisszhangot kapott, hogy a Jász-Nagykun-Szolnok Megyei Főügyészség megvádolt egy fiatalembert azzal, hogy betört a Magyar Telekom rendszereibe, amivel elkövette a közérdekű üzem megzavarásának bűntettét. Az ügyészség szerint a fiatalember tette társadalmilag is veszélyes.
Az ősbűn egy véletlenül kibukott hiba
Mivel a fiatalember némely felfedezését megosztotta a Telekommal, a vállalat sok bírálatot kapott amiatt, hogy fejlelentette. De mit mond minderre a szakértő? Megkérdeztük Frész Ferenc kiberbiztonsági szakértőt, etikushekker-oktatót, a Cyber Services vezérigazgatóját.
A történetet még tavaly nyáron írta meg az Index. Egy programozóhallgató véletlenül biztonsági rést fedezett fel a Magyar Telekom rendszereiben. Erről értesítette a vállalatot. Utána a Telekom be is hívta, sőt kezdetben közös munkáról is volt szó, végül azonban nem sikerült megállapodniuk. A fiatalember azonban tovább folytatta a kutakodását – állítása szerint aggasztotta, hogy a Telekom rendszerei ennyire támadhatók –, és további súlyos sérülékenységeket is felfedezett. Ekkor azonban már a Telekom szakértői is észlelték az illegális hekkertevékenységet, azt el is hárították, majd a vállalat feljelentést tett ismeretlen tettes ellen. Mivel a fiatalember nem is rejtette el, hogy milyen IP-címről jutott be a Telekom rendszereibe, viszonylag könnyen eljutottak hozzá a nyomozó hatóságok, és letartóztatták.
A nyomozás lezárult, az ügyészség vádat emelt, és ennek kapcsán a hekker története ismét körbejárta a magyar sajtót. Több cikkben felvetették, hogy a Telekom etikátlanul járt el, mert egy segítő szándékú ügyfelét jelentette fel, az ügyészséget pedig azzal vádolták, hogy teljesen felkészületlen. A Telekom egyébként arra hivatkozik, hogy csak az ilyenkor szokásos protokoll szerint járt el, és nem is tehetett mást.
Az ügyészég azzal vádolja a fiatalembert, hogy jogosulatlanul lépett be egy olyan, a Magyar Telekom által üzemeltetett szerverre, amely a dolgozók belépési adatait tárolta, majd a saját részére illegálisan felhasználói profilokat hozott létre, és gyűjtötte a dolgozók adatait, jelszavait. Mivel a hírközlő hálózat részét képező szerverre lépett be jogosulatlanul, ezért tette közérdekű üzem veszélyeztetésének minősül, ami súlyosbító körülmény, és 2-8 évig terjedő szabadságvesztéssel büntethető.
Szó sincs etikusságról
A Cyber Services vezérigazgatója, Frész Ferenc lapunknak elmondta, hogy az etikus hekkerek tevékenységének pontos jogi keretei vannak. Csak az nevezhető etikus hekkernek, aki hekkermódszerekkel és eszközökkel, de a rendszert üzemeletető (tulajdonló) féllel kötött szerződéses keretek között vizsgál egy rendszert. A szerződés pontosan rögzíti, hogy a vizsgálat mire terjedhet ki, mit tehet és mit nem az etikus hekker.
Frész szerint épen ezért az első alapvetés: itt szó sincs etikus hekkelésről. Ugyanakkor kétségtelen, hogy akár véletlenül is fel lehet fedezni súlyos biztonsági rést. Például valaki belép egy online fiókjába, és egyszer csak egy másik, például magasabb jogosultságot biztosító hozzáféréshez jut, mert a rendszer hibázott. Ilyenkor az az eljárás, hogy értesíti a rendszer üzemeltetőjét, és pontosan leírja a tapasztalt hibajelenséget.
Ha azonban valaki, akár jó szándékból is, aktívan kezd biztonsági rések keresésébe jogosulatlanul – azaz szerződéses felhatalmazás hiányában –, lényegében illegális tevékenységet végez, amire az üzemeltetőnek be kell indítania az ilyenkor szokásos protokollt: el kell hárítani hibát, és ha van ilyen belső előírás, büntetőfeljelentést kell tenni.
Mindenki hibázott
A szakember szerint ebben a történetben mindenkinek megvan a maga sara. Hibázott a hekker. Addig ugyanis felelősségteljesen viselkedett, amíg az általa véletlenül felfedezett hibát a Telekom szakértőinek és csakis nekik fedte fel. Akkor azonban hibázott, amikor saját szakállára további biztonsági réseket kezdett keresni.
Frész Ferenc,
a Cyber Services alapító-vezérigazgatója
A neves kibervédelmi szakember korábban a Kürt Zrt. Biztonsági Intelligencia Központját vezette. Részt vett a KürtAkadémia (abból később kiválva a Cyber Institute) etikus hekkereket képző kurzusának létrehozásában, ahol jelenleg is tanít. 2011-től több mint négy éven át vezette a Nemzeti Biztonsági Felügyelet CDMA kibervédelmi központját. 2015-ben alapította a Cyber Services Zrt.-t, melynek keretében felépítette Európa egyik legjelentősebb etikus hekker csapatát.
A Btk. ugyanis nem kezeli – logikusan nem is kezelheti – külön a segítő szándékú és a támadó szándékú hekkelést, hiszen mindkettőt ugyanolyan módon követik el. Ha tehát valaki szerződéses felhatalmazás nélkül kutatkodik egy rendszerben biztonsági rés után, még akkor is fel kell készülnie arra, hogy tevékenysége miatt bíróságra kerül, ha amúgy csakis a jobbítási szándék vezette, és kutatásainak eredményét azonnal átadja az érintett üzemeltetőnek. Ilyenkor már a bíróság feladata lesz, hogy mérlegelje az eset súlyosságát, illetve azt, hogy mennyiben vezette a hekkert jó vagy ártó szándék. Ha a bíróság megbizonyosodik az elkövető jó szándékáról, akár nulláig is csökkentheti a büntetési tételt.
A Telekom a Portfoliónak küldött reakciójában azt állítja, hogy azonnal javították a hibát, ismeretlen tettes ellen azért tettek feljelentést, mert a hekker újabb támadásokat indított, az addig megszerzett adatok segítségével pedig további jogosultságokat próbált megszerezni. A vállalat közölte azt is, hogy ha valaki feltöri a rendszerüket, de azonnal jelzi a hibát és nem él vissza az információkkal, nem tesznek ellene feljelentést.
De összességében Frész szerint hibázott a Telekom is. A Btk. ugyan egyértelműen szabályozza az információs rendszerek védelmét, de a vállalat mint üzemeltető nem bújhat el emögött. A szakember nagyon is aggasztónak tartja, hogy egy távközlési rendszerben, ami végső soron kritikus infrastruktúrának tekinthető, ennyire könnyen lehet ki-be járkálni. "Nem tudom elfogadni, hogy ilyen rendszerek üzemeljenek egy távközlési hálózatban, de bárhol" – mondta lapunknak. Ez ugyanis arra utal, hogy az adott vállalat nem tesz meg mindent a rendszere védelmében.
Nagy valószínűséggel az ügyészség és a bíróság sem áll a helyzet magaslatán, véli Frész. Nagyon úgy tűnik, hogy az ilyen ügyekre egyszerűen nincsenek felkészülve, nincsenek birtokában a megfelelő digitális ismereteknek, ahogy tapasztalatuk sincs még hasonló ügyekben. Emiatt a per során nagy szerep jut majd a vád és a védelem oldalán bekapcsolódó szakértőknek. A 8 év börtönnel való fenyegetőzést ugyanakkor túlzott reakciónak tartja, mintha az ügyészség példát akarna statuálni.
Utolsóként azért megemlíti a médiát is. Mint mondta, teljesen félrevezető, hogy a legtöbb lap etikus hekkert emleget az ügy kapcsán. Itt szó sincs etikus hekkelésről, amit a programozóhallgató a tudatos hibavadászat során csinált, egyértelműen illegális. És ha valaki ilyen tevékenységbe fog, számolnia kell az esetleges jogi következményekkel.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak