Mielőtt a belekezdenénk az említett két ügy elemzésébe, lépjünk ki a saját szűk kis portánkból és nézzünk körül a világban! Az egyik legnagyobb technológiai óriáscég, az Apple úgynevezett hibavadászprogramot működtet. Vagyis óriási pénzjutalmat ígér annak, aki komolyabb hibát talál a rendszerében és ezt közli a céggel. Egy 14 éves kisfiú akár 7 millió forintnak megfelelő dollárt is kaphat egy általa feltárt szoftverhibáért. Svájcban a választás lebonyolításához használatos informatikai rendszert tesztelték úgy, hogy arra buzdították az embereket, próbálják feltörni a rendszert. Bárki regisztrálhat a hibakereső programba, melynek összdíjazása mintegy 42 millió forintnak megfelelő svájci frank. A Samsung 200 ezer dollárt (mintegy 50 millió forintot) fizet annak, aki valamelyik készülékének sebezhetőségét megtalálja, de bőkezű a Microsoft is, ha a Windows-ban bárki hibát talál és ezt jelzi a cégóriásnak.
Nem fogják elhinni, éppen a Kormányzati Eseménykezelő Központ tette közzé, hogy bárkitől szívesen fogad tájékoztatást bármilyen szervezetnél észlelt rendszerhibáról, sérülékenységről, méghozzá akár anonim módon is.
Kétségtelen, az említett példák mindegyikében az adott cég vagy az állam maga kezdeményezte saját rendszerének meghackelését. Az informatika világában csak azt tekintik úgynevezett etikus hackernek, aki vagy a céggel kötött szerződés, vagy nyilvános felhívás alapján próbál rendszerhibát találni. Az, aki bármilyen jó szándékkal is, de nem így lép be a rendszerbe, az nem nevezhető etikus hackernek. Márpedig, ha ez így van, és látjuk, hogy így van, akkor kerül szóba a büntetőjog.
Emlékezzünk vissza arra a srácra, aki a BKK rendszerébe hatolt be, és 50 forintért tudta megvenni a több ezer forintos utazási bérletet. Amikor erre rájött, azonnal értesítette a BKK-t, egyúttal le is írta nekik, hol és miért lyukas a rendszerük. Mellesleg az 50 forintos bérletet sohasem használta fel. Ennek ellenére a rendszert kezelő T-Systems feljelentést tett, a fiút rendőrök vitték el a lakásáról. Kitört a népharag, tüntetést szerveztek a BKK épülete elé. A T-Systems azzal próbált magyarázkodni, hogy „ismeretlen tettes és nem konkrét személy ellen tettek feljelentést”. Nem mintha ez valamit is számítana, hiszen jól tudták ők is meg a rendőrök is, ki az „ismeretlen tettes”. A T-Systems ugyan „sajnálatát fejezte ki” a történtek miatt, de azt állította, hogy kötelességük volt feljelentést tenni, nem tehettek mást.
Ez utóbbi állítás persze büntetőjogilag nem igaz. A Btk. nem ír elő ilyen feljelentési kötelezettséget. Azt ennél kicsit drámaibb esetekre tartogatja, például emberrablás, állam elleni bűncselekmény, vagy terrorcselekmény feljelentésének elmulasztását fenyegeti büntetéssel.
A fiú ügye végül „szerencsésen” zárult: az ügyészség megszüntette vele szemben a nyomozást arra hivatkozva, hogy az általa elkövetett cselekmény nem veszélyes a társadalomra.
Ugyanakkor ugyanaz az ügyészség – ami egy központi irányítású hierarchikus rendszer, vagyis elvárható lenne tőle a következetesség – most megvádolta a Magyar Telekom információs rendszerébe belépő, amúgy programozást tanuló főiskolást. Méghozzá nem is akármivel: a vád szerint a fiú közérdekű üzem információs rendszerét sértette meg. Ezt a minősítést pedig a törvény már kettőtől nyolc évig terjedő szabadságvesztéssel fenyegeti. Ez a történet azért egy kicsit bonyolultabb az előző esetnél. A főiskolás először itt is rögtön tájékoztatta a céget az általa felfedezett biztonsági résről, sőt, a hacker és a Telekom között tárgyalások is kezdődtek egy esetleges együttműködésről. Az anyagiakról azonban nem tudtak megállapodni, így a tárgyalások megszakadtak. Ekkor a fiú ismét belépett a rendszerbe és további hibákat keresgélt. Amikor rájött, hogy a Telekom informatikusai felfedezték a behatolást, abbahagyta a próbálkozást. A Telekom ekkor tett feljelentést.
A fiú védelmét ellátó Társaság a Szabadságjogokért (TASZ) szerint az ügyészség súlyos vádja azért is érthetetlen, mert a Telekom maga cáfolta, hogy a behatolás megzavarta volna a működését. A cég nyilatkozata szerint a támadás az ügyfelek személyes adatait, valamint az ügyfelek kommunikációjáért felelős távközlési hálózatokat nem érintette. Azt gondolom, a cselekmény minősítését illetően a TASZ téved. A törvény szerint a súlyosabb minősítés – közérdekű üzem sérelmére történt elkövetés – megállapításához ugyanis nem feltétel, hogy ténylegesen meg is zavarja a rendszer működését. Ehhez már az is elég, ha valaki pusztán csak belép a közérdekű üzem informatikai rendszerébe.
Az már az eddigiekből kiderült, hogy az „etikus hacker” fogalma alapvetően különböző a köznyelvben és az informatikai szakmában. Kürti Sándor, az informatikai biztonsággal foglalkozó Kürt Zrt. alapítója például számos nyilatkozatában tette egyértelművé, hogy aki nem a cég megbízásából vagy nyilvánosan meghirdetett felhívás alapján, vagyis nem az informatikai rendszer tulajdonosának tudtával és beleegyezésével lép be a rendszerbe, az nem tekinthető etikus hackernek.
Ebből következik, hogy a jognak más úton kell eldöntenie, bűncselekményt követ-e el az, aki ugyan megsérti a törvény betűjét, de azt jó szándékkal, a hiba kiküszöbölésének céljával teszi. Bár tudom, hogy enyhén szólva nem öröm, ha valakit az ügyészség megvádol, én mégis azt gondolom, ez az egyetlen útja annak, hogy ebben a meglehetősen bonyolult kérdésben a bíróság dönthessen. A Btk. kínál olyan lehetőségeket, amelyek alapján a bírói ítélet megfelelhet mind a törvénynek, mind az igazságérzetünknek. Ahhoz, hogy egy magatartásról kimondhassuk, hogy az bűncselekmény, két feltételt is vizsgálni kell: az egyik, hogy a szándékosan (esetenként gondatlanul) elkövetett cselekményre a törvény büntetés kiszabását rendeli-e, a másik pedig, hogy az ilyen cselekmény veszélyes-e a társadalomra. A társadalomra pedig az a cselekmény veszélyes, amely „mások személyét vagy jogait, illetve Magyarország Alaptörvény szerinti társadalmi, gazdasági, állami rendjét sérti vagy veszélyezteti”. Igen, tudom, ez e definíció meglehetősen általános. Ráadásul jogász körökben is évtizedek óta viták folynak a társadalomra veszélyesség fogalmáról. Én hajlok arra – egyetértve az informatikusokkal – hogy még a jószándékú, de önkényes hackelés is a társadalomra veszélyes cselekmény. Az persze más kérdés, hogy mennyire. De erre is van megoldás a Btk.-ban.
Ilyenkor a bíró elmagyarázza a vádlottnak, hogy helytelenül cselekedett és felszólítja, hogy a jövőben ne tegyen ilyent. Nincs tehát büntetés, nincs priusz.
De hogy lássák, a jog nem olyan egyszerű tudomány, létezik másféle lehetőség is. Szintén a Btk.-ban. Ezt úgy hívják, hogy „tévedés”. E szerint „nem büntethető, aki a büntetendő cselekményt abban a téves feltevésben követi el, hogy az a társadalomra nem veszélyes, és erre a feltevésre alapos oka van.” Vagyis jogászként állíthatom én, hogy a hackelés veszélyes a társadalomra, ha a hacker azt hiszi, hogy nem az. Ilyenkor azt kell megvizsgálni, vajon jó okkal hiheti-e, hogy amit tesz, az veszélytelen. Ismerve a hazai informatikai kultúrát és azt összevetve a nemzetközi példákkal – lásd Apple, Samsung, Microsoft – én hajlanék erre a megoldásra. Ha pedig a bíró is e szerint dönt, akkor fel kell mentenie a jószándékú – ám etikusnak nem minősíthető – hackert.
Bruce Schneier, a világ legismertebb informatika-biztonsági szakértője szerint „a hackerek oly régóta léteznek, mint az emberi kíváncsiság, bár a kifejezés maga modern. Galilei hacker volt. Madame Curie szintén. A komputer-hackerek is ebbe a csoportba tartoznak”.
(A szerző volt bíró)
Kiemelt kép: Jens Büttner/dpa-Zentralbild/ZB