Belföld
04 January 2019, Mecklenburg-Western Pomerania, Schwerin: ILLUSTRATION - Between the binary code on a laptop monitor you can see the text "Hacker". (posed photo) Photo: Jens Büttner/dpa-Zentralbild/ZB

Szüksége van a világnak a hackerekre

2017-ben meghackelték a BKK, majd a tavaly a Magyar Telekom rendszerét is. Az egyik hacker a bíróság szerint nem veszélyes a társadalomra, a másikat jelenleg is 8 évvel fenyegetik. Vajon mi fontosabb: egy informatikai rendszer biztonsága, vagy a jószándékú hacker rabosítása? Követi-e a jog a kibervilág fejlődését, vagy a törvény és a rend a lelke mindennek?

Mielőtt a belekezdenénk az említett két ügy elemzésébe, lépjünk ki a saját szűk kis portánkból és nézzünk körül a világban! Az egyik legnagyobb technológiai óriáscég, az Apple úgynevezett hibavadászprogramot működtet. Vagyis óriási pénzjutalmat ígér annak, aki komolyabb hibát talál a rendszerében és ezt közli a céggel. Egy 14 éves kisfiú akár 7 millió forintnak megfelelő dollárt is kaphat egy általa feltárt szoftverhibáért. Svájcban a választás lebonyolításához használatos informatikai rendszert tesztelték úgy, hogy arra buzdították az embereket, próbálják feltörni a rendszert. Bárki regisztrálhat a hibakereső programba, melynek összdíjazása mintegy 42 millió forintnak megfelelő svájci frank. A Samsung 200 ezer dollárt (mintegy 50 millió forintot) fizet annak, aki valamelyik készülékének sebezhetőségét megtalálja, de bőkezű a Microsoft is, ha a Windows-ban bárki hibát talál és ezt jelzi a cégóriásnak.

Amiről valószínűleg, kevesen tudnak, Magyarországon is született ilyen felhívás, méghozzá éppen egy héttel a Budapesti Közlekedési Központ T-Systems által működtetett rendszerében hibát találó fiatalember rendőrségi ügyét követően.

Nem fogják elhinni, éppen a Kormányzati Eseménykezelő Központ tette közzé, hogy bárkitől szívesen fogad tájékoztatást bármilyen szervezetnél észlelt rendszerhibáról, sérülékenységről, méghozzá akár anonim módon is.

Kétségtelen, az említett példák mindegyikében az adott cég vagy az állam maga kezdeményezte saját rendszerének meghackelését. Az informatika világában csak azt tekintik úgynevezett etikus hackernek, aki vagy a céggel kötött szerződés, vagy nyilvános felhívás alapján próbál rendszerhibát találni. Az, aki bármilyen jó szándékkal is, de nem így lép be a rendszerbe, az nem nevezhető etikus hackernek. Márpedig, ha ez így van, és látjuk, hogy így van, akkor kerül szóba a büntetőjog.

A büntető törvénykönyv szerint „aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép (…) vétség miatt két évig terjedő szabadságvesztéssel büntetendő”.

Emlékezzünk vissza arra a srácra, aki a BKK rendszerébe hatolt be, és 50 forintért tudta megvenni a több ezer forintos utazási bérletet. Amikor erre rájött, azonnal értesítette a BKK-t, egyúttal le is írta nekik, hol és miért lyukas a rendszerük. Mellesleg az 50 forintos bérletet sohasem használta fel. Ennek ellenére a rendszert kezelő T-Systems feljelentést tett, a fiút rendőrök vitték el a lakásáról. Kitört a népharag, tüntetést szerveztek a BKK épülete elé. A T-Systems azzal próbált magyarázkodni, hogy „ismeretlen tettes és nem konkrét személy ellen tettek feljelentést”. Nem mintha ez valamit is számítana, hiszen jól tudták ők is meg a rendőrök is, ki az „ismeretlen tettes”. A T-Systems ugyan „sajnálatát fejezte ki” a történtek miatt, de azt állította, hogy kötelességük volt feljelentést tenni, nem tehettek mást.

Budapest, 2012. július 17.
Bíbor színű lószobor a Magyar Telekom székháza előtt Budapesten, a Krisztina körúton.
MTI Fotó: Mohai Balázs
Fotó: Mohai Balázs /MTI

Ez utóbbi állítás persze büntetőjogilag nem igaz. A Btk. nem ír elő ilyen feljelentési kötelezettséget. Azt ennél kicsit drámaibb esetekre tartogatja, például emberrablás, állam elleni bűncselekmény, vagy terrorcselekmény feljelentésének elmulasztását fenyegeti büntetéssel.

Az információs rendszer megsértése miatt senki nem köteles feljelentést tenni.

A fiú ügye végül „szerencsésen” zárult: az ügyészség megszüntette vele szemben a nyomozást arra hivatkozva, hogy az általa elkövetett cselekmény nem veszélyes a társadalomra.

Ugyanakkor ugyanaz az ügyészség – ami egy központi irányítású hierarchikus rendszer, vagyis elvárható lenne tőle a következetesség – most megvádolta a Magyar Telekom információs rendszerébe belépő, amúgy programozást tanuló főiskolást. Méghozzá nem is akármivel: a vád szerint a fiú közérdekű üzem információs rendszerét sértette meg. Ezt a minősítést pedig a törvény már kettőtől nyolc évig terjedő szabadságvesztéssel fenyegeti. Ez a történet azért egy kicsit bonyolultabb az előző esetnél. A főiskolás először itt is rögtön tájékoztatta a céget az általa felfedezett biztonsági résről, sőt, a hacker és a Telekom között tárgyalások is kezdődtek egy esetleges együttműködésről. Az anyagiakról azonban nem tudtak megállapodni, így a tárgyalások megszakadtak. Ekkor a fiú ismét belépett a rendszerbe és további hibákat keresgélt. Amikor rájött, hogy a Telekom informatikusai felfedezték a behatolást, abbahagyta a próbálkozást. A Telekom ekkor tett feljelentést.

A fiú védelmét ellátó Társaság a Szabadságjogokért (TASZ) szerint az ügyészség súlyos vádja azért is érthetetlen, mert a Telekom maga cáfolta, hogy a behatolás megzavarta volna a működését. A cég nyilatkozata szerint a támadás az ügyfelek személyes adatait, valamint az ügyfelek kommunikációjáért felelős távközlési hálózatokat nem érintette. Azt gondolom, a cselekmény minősítését illetően a TASZ téved. A törvény szerint a súlyosabb minősítés – közérdekű üzem sérelmére történt elkövetés – megállapításához ugyanis nem feltétel, hogy ténylegesen meg is zavarja a rendszer működését. Ehhez már az is elég, ha valaki pusztán csak belép a közérdekű üzem informatikai rendszerébe.

A probléma lényege azonban nem elsősorban és nem csupán a jogi minősítés. Az igazi kérdés az, vajon a büntetőjog mit kezdjen a köznyelv által „etikus hackernek” nevezett ifjú titánokkal.

Az már az eddigiekből kiderült, hogy az „etikus hacker” fogalma alapvetően különböző a köznyelvben és az informatikai szakmában. Kürti Sándor, az informatikai biztonsággal foglalkozó Kürt Zrt. alapítója például számos nyilatkozatában tette egyértelművé, hogy aki nem a cég megbízásából vagy nyilvánosan meghirdetett felhívás alapján, vagyis nem az informatikai rendszer tulajdonosának tudtával és beleegyezésével lép be a rendszerbe, az nem tekinthető etikus hackernek.

Ebből következik, hogy a jognak más úton kell eldöntenie, bűncselekményt követ-e el az, aki ugyan megsérti a törvény betűjét, de azt jó szándékkal, a hiba kiküszöbölésének céljával teszi. Bár tudom, hogy enyhén szólva nem öröm, ha valakit az ügyészség megvádol, én mégis azt gondolom, ez az egyetlen útja annak, hogy ebben a meglehetősen bonyolult kérdésben a bíróság dönthessen. A Btk. kínál olyan lehetőségeket, amelyek alapján a bírói ítélet megfelelhet mind a törvénynek, mind az igazságérzetünknek. Ahhoz, hogy egy magatartásról kimondhassuk, hogy az bűncselekmény, két feltételt is vizsgálni kell: az egyik, hogy a szándékosan (esetenként gondatlanul) elkövetett cselekményre a törvény büntetés kiszabását rendeli-e, a másik pedig, hogy az ilyen cselekmény veszélyes-e a társadalomra. A társadalomra pedig az a cselekmény veszélyes, amely „mások személyét vagy jogait, illetve Magyarország Alaptörvény szerinti társadalmi, gazdasági, állami rendjét sérti vagy veszélyezteti”. Igen, tudom, ez e definíció meglehetősen általános. Ráadásul jogász körökben is évtizedek óta viták folynak a társadalomra veszélyesség fogalmáról. Én hajlok arra – egyetértve az informatikusokkal – hogy még a jószándékú, de önkényes hackelés is a társadalomra veszélyes cselekmény. Az persze más kérdés, hogy mennyire. De erre is van megoldás a Btk.-ban.

Ha valakinek a cselekménye az elbíráláskor olyan csekély fokban veszélyes a társadalomra, hogy a törvény szerinti legkisebb büntetés vagy intézkedés is szükségtelen, elegendő, ha a bíróság úgynevezett megrovást alkalmaz.

Ilyenkor a bíró elmagyarázza a vádlottnak, hogy helytelenül cselekedett és felszólítja, hogy a jövőben ne tegyen ilyent. Nincs tehát büntetés, nincs priusz.

De hogy lássák, a jog nem olyan egyszerű tudomány, létezik másféle lehetőség is. Szintén a Btk.-ban. Ezt úgy hívják, hogy „tévedés”. E szerint „nem büntethető, aki a büntetendő cselekményt abban a téves feltevésben követi el, hogy az a társadalomra nem veszélyes, és erre a feltevésre alapos oka van.” Vagyis jogászként állíthatom én, hogy a hackelés veszélyes a társadalomra, ha a hacker azt hiszi, hogy nem az. Ilyenkor azt kell megvizsgálni, vajon jó okkal hiheti-e, hogy amit tesz, az veszélytelen. Ismerve a hazai informatikai kultúrát és azt összevetve a nemzetközi példákkal – lásd Apple, Samsung, Microsoft – én hajlanék erre a megoldásra. Ha pedig a bíró is e szerint dönt, akkor fel kell mentenie a jószándékú – ám etikusnak nem minősíthető – hackert.

US computer security specialist Bruce Schneier gives a lecture during the largest computer hackers' conference in eastern Europe, the 'Hacktivity' in Budapest on September 18, 2010. Hacktivity 2010, the largest computer hackers' conference in eastern Europe, kicked off on September 18, with some 1,000 participants expected to attend the two-day event, according to organisers. The conference was to bring together officials and computer experts from Hungary and abroad in an informal setting, combining lectures and discussions on serious issues such as Internet security, with lighter fare and games. Bruce Scheier, a world-renowned cyber security expert, opened the congress with a keynote speech.  AFP PHOTO / ATTILA KISBENEDEK (Photo by ATTILA KISBENEDEK / AFP)
Bruce Schneier informatika-biztonsági szakértő Fotó: Kisbenedek Attila /AFP

Bruce Schneier, a világ legismertebb informatika-biztonsági szakértője szerint „a hackerek oly régóta léteznek, mint az emberi kíváncsiság, bár a kifejezés maga modern. Galilei hacker volt. Madame Curie szintén. A komputer-hackerek is ebbe a csoportba tartoznak”.

A világnak tehát szüksége van a hackerekre. De meg kell őket tanítani arra, hogy miként működhetnek jogszerűen. És persze a cégeket is arra, hogy a feljelentgetésnél hasznosabb módszerekkel ők maguk is többet profitálhatnának.

(A szerző volt bíró)

Kiemelt kép: Jens Büttner/dpa-Zentralbild/ZB

Ajánlott videó mutasd mind

Ha kommentelni, beszélgetni, vitatkozni szeretnél, vagy csak megosztanád a véleményedet másokkal, a 24.hu Facebook-oldalán teheted meg. Ha bővebben olvasnál az okokról, itt találsz válaszokat.

Image: 73882123, K¸lˆnleges GÈsa est a Sushi Seiben 2019 ·prilis 4.-Èn., Place: Budapest, Hungary, Model Release: No or not aplicable, Property Release: Yes, Credit: smagpictures.com
Nézd meg a legfrissebb cikkeinket a címlapon!
24-logo

Engedélyezi, hogy a 24.hu értesítéseket
küldjön Önnek a kiemelt hírekről?
Az értesítések bármikor kikapcsolhatók
a böngésző beállításaiban.