Számítógépes trükkel jutott luxusautóhoz a kilencvenes évek közepén egy amerikai férfi. Betört egy telefoncég hálózatába, s úgy alakította át a nyereményjáték-rendszert, hogy a sorsoláson éppen övé legyen a jármű. Ám nem sokáig örülhetett, fény derült a manipulációjára. Lebukott az az orosz férfi is, aki Szentpétervárról negyven alkalommal tízmillió dollárt hívott le a Citibank számláiról, és a pénzösszegeket holland és finn bankokhoz irányította át. Az információtechnológia rohamos fejlődésével soha nem látott erejű fegyver került az elektronikus betörők kezébe, elfogásuk pedig legalább olyan nehéz, mint egy tűt megtalálni a szénakazalban – vallják a nyomozóhatóságok.
KÉSÉSBEN. “A számítógépes hálózatok világméretűvé válásával bármely ország állampolgára bármely időpontban, bármilyen távolságra lévő pénzintézet, hivatal vagy más intézmény adatállományához hozzáférhet. Emiatt veszélyes különösen az elektronikus betörés, s ez indokolja a nemzetközi összefogást” – mondja Nagy Zoltán, a pécsi Janus Pannonius Tudományegyetem állam és jogtudományi kara büntetőjogi tanszékének docense. A számítógépes bűncselekmények további jellemzői – magyarázza a büntetőjogász – az elkövetés hihetetlen gyorsasága, jól leplezhetősége, s az elkövetők felkészültsége. Éppen emiatt nagy a látencia e bűncselekményeknél.
A gazdasági, illetőleg politikai célú cyber-betörések megfékezése érdekében dolgozták ki közel négy év alatt az Európai Unió szakértői azt a nemzetközi számítógépes bűnözés elleni egyezményt, amelyet november végén az Európa Tanács és a Miniszterelnöki Hivatal Informatikai Kormánybiztosságának szervezésében 30 ország, köztük az Egyesült Államok, Kanada, Japán és a Dél-afrikai Köztársaság is aláírt Budapesten. “Rohamosan fejlődik az információtechnológia! Futnunk kell, méghozzá elszántan” – figyelmeztetett Lord Russel-Johnston, az Európa Tanács parlamenti közgyűlésének elnöke a dokumentum aláírását követően. Nem titkolta, a jogalkotás máris késésben van a web-bűnözéssel szemben.
A magyar törvényhozás mindenesetre dicséretes vágtába kezdett. A nemzetközi egyezmény uniós szentesítését követő alig néhány hét elteltével beillesztette a Büntetőtörvénykönyvbe (Btk.) az újonnan definiált számítógépes bűncselekményeket, amelyekhez szigorú szankciókat rendelt (lásd külön).
Új törvényi tényállások a Btk.-ban300/C. § Számítástechnikai rendszer és adatok elleni bűncselekmény
Elkövetési mód:
a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével, vagy kijátszásával jogosulatlanul lép be a rendszerbe, vagy a jogosultság kereteit túllépve, illetőleg azt megsértve bent marad
Büntetés: vétség miatt maximum 1 évi szabadságvesztés
E bűncselekmény súlyosabb változata, ha valaki a számítástechnikai rendszerben tárolt, feldolgozott, kezelt vagy továbbított adatot jogosulatlanul megváltoztatja, törli, hozzáférhetetlenné teszi, vagy e műveletekkel a rendszer működését jogosulatlanul akadályozza
Büntetés: vétség miatt maximum 2 évi szabadságvesztés
Bűntett miatt maximum 3 évi szabadságvesztéssel büntethető, aki a fenti bűncselekményeket jogtalan haszonszerzés végett követi el, és ezzel kárt okoz
• 1-5 évig terjedő szabadságvesztés, ha a bűncselekmény jelentős kárt okoz
• 2-8 évig terjedő szabadságvesztés, ha a bűncselekmény különösen nagy kárt okoz
• 5-15 évig terjedő szabadságvesztés, ha a bűncselekmény különösen jelentős kárt okoz
300/E. § Számítástechnikai rendszer védelmét biztosító technikai intézkedések kijátszása
Elkövetési magatartás: aki a 300/C. §-ban meghatározott bűncselekmény elkövetése céljából az ehhez szükséges, vagy ezt könnyítő számítástechnikai programot, jelszót, belépési kódot vagy a rendszerbe való belépést lehetővé tevő adatot készít, megszerez, forgalomba hoz, vagy más módon hozzáférhetővé tesz
Büntetés: vétség miatt maximum 2 év szabadságvesztés
Ugyanígy büntethető, aki számítógépes bűncselekmény elkövetéséhez gazdasági, műszaki, szervezési ismereteit másnak rendelkezésére bocsátja
ROBIN HOODOK. A számítógépes támadások egy része nem közvetlenül gazdasági indíttatású! Elég példaként felidézni az Axelero előfizetői adatainak közlését a neten, vagy a Nemzetbiztonsági Hivatal honlapjára való nyár eleji illetéktelen bejutást. A világháló “Robin Hoodjai” mégis felbecsülhetetlen károkat okoznak már azzal is, ha “csak szétnéznek” a honlapon, s ennek tényét közzéteszik. Ezzel ugyanis rombolják a cég hírnevét, s attól elpártolhatnak ügyfelei. Egyre gyakoribb jelenség, hogy az elkövetők zsarolásra használják fel a tudomásukra jutott bizalmas információkat, s furcsa mód az érintettek igen gyakran fizetnek is. Nem szívesen tesznek feljelentést a rendőrségen, mert drágábbnak tartják a jó hírüket. A pénzintézetek, bankok, biztosítók, nyugdíjpénztárak inkább lenyelik a veszteséget, semhogy a tettesek kézre kerítésének reményében nagydobra verjék az ellenük elkövetett támadást. Pohly Ferenc, az Axelero pr-igazgatója állítja: ügyfeleik érdeke minden más szempontot megelőz.
Néhány hónappal ezelőtt, amikor valaki megszerzett egy axelerós kódot, s hozzáfért az előfizetők passwordjeihez, az internetszolgáltató kivétel nélkül értesítette felhasználóit, hogy változtassanak jelszót. Pohly szerint az e-bűnözés nemcsak az érintett intézményekre, cégekre, vagy pénzintézetekre jelent veszélyt, hanem magára az internetre is. A világhálóba vetett bizalmat ingatja meg. “Pedig úgy gondolom, nagyobb veszélyben van a bankkártyám, ha étteremben fizetek vele, mintha az interneten vásárolnék. A pincér ugyanis egy másik helyiségben többször is lehúzhatja, míg a világhálón számos biztonsági program védi” – érvel az internetes szolgáltató jó híréért felelős igazgató, aki azért elismeri, hogy a virtuális világban sincs garancia a bűnözők ellen.
Főleg nem akkor, ha éppen a technológiát kezelő ember téved rossz útra. Tresch Ádám, a Proware Kft. informatikai szakembere szerint nem a külső betörések jelentik a legnagyobb veszélyt. “A leggyengébb láncszem mindig az ember. A számítógépes bűncselekmények 80 százalékát ugyanis belülről támogatva követik el. Miért fizessen ki valaki egymillió dollárt kódfeltörésért, ha százezer dollárért is megveheti a jelszót vagy a belső embert?” – fogalmaz Tresch.
Az informatikai szakember szerint a web-bűnözés ellen leghatékonyabban az elektronikus aláírások megkövetelésével, a napló file-ok hitelesítésével lehet védekezni, ugyanis ekkor a felhasználó minden cselekedetéhez a nevét adja. Az illetéktelen belépés ellen további “tűzfalként” szolgál a kétfaktorú azonosítás: például smart-carddal vagy ujjlenyomattal.
“A cégeknek el kell dönteniük, mire helyezik a hangsúlyt: a kritikus információk hitelességére, azok megbízhatóságára, avagy mindkettőre. Ezek ismeretében kell a biztonságpolitikai és biztonsági szabályzatot, valamint az üzletfolytonossági tervet kidolgozni, amelyek persze folyamatos karbantartást igényelnek. Az új veszélyek felismerésekor pedig új intézkedési tervet kell készíteni” – foglalja össze a tennivalókat a számítástechnikai biztonsági szakértő.
Mindez persze komoly költséggel jár. A vállalatirányítási és levelező rendszerek védelmét szolgáló szoftverek tekintélyes összeget igényelnek. Ha magas biztonságot céloznak meg, egy 500 számítógéppel dolgozó cégnél mintegy 100 millió forintba kerül az “elhárítás” kiépítése, a működtetése pedig évente további 20-30 millió forint.
INDUL A NET-RENDŐRSÉG. Az Axelero pr-igazgatója elismeri a technológiai védekezés szükségességét, de a fokozott jogi védelemre hívja fel a figyelmet. A felhasználói szerződésekben rögzített feltételek önmagukban is jogkövető magatartásra sarkallják az ügyfeleket. “Ha ugyanis valaki megszegi az általa vállalt normákat, tekintélyes összegre perelhető. Úgy tapasztaljuk, a szankciók kilátásba helyezése kellő visszatartó erővel bír” – ismerteti a magyarországi piacvezető cég tapasztalatait Pohly Ferenc.
Vele együtt több internetszolgáltató várja kíváncsian, hogy a hamarosan hatályba lépő új büntető jogszabályok milyen kötelezettségeket rónak rájuk. A bűncselekmények feltárása érdekében meddig és milyen jellegű adatokat kell őrizniük ügyfeleikről, s azokat milyen feltételek esetén kell átadniuk a nyomozóhatóságnak.
A magyar rendőrség mindenesetre készen áll a web-bűnözők kézrekerítésére. (Magyarországon 1995 óta folyamatosan emelkedik a számítógépes bűncselekmények száma: míg hat évvel ezelőtt mindössze 20 ilyen esetet tartottak nyilván, addig 1999 és 2000-ben már közel 400 számítógépes csalást és bankkártyával való visszaélést regisztrált a bűnügyi statisztika.) Heteken belül létrejön az ORFK-n az internetes bűncselekményekkel foglalkozó rendőri csoport. A Figyelőhöz eljuttatott közlemény szerint az egység technikai felszereltsége szolgálati titkot képez. A hatóság derűlátón tekint a jövőbe. Legalábbis erre lehet következtetni abból, hogy a csoportot mindössze négy hivatásos tiszt alkotja majd.