Komoly hibák a BKK-nál, de meddig mehet el egy etikus hacker?

Pár napja bejárta a teljes magyar sajtót a hír, mely szerint több súlyos biztonsági probléma is van a frissen átadott BKK webshop rendszerében. Bármekkora összegért vásárolható bérlet, titkosítási gyengeségek, titkosítatlan jelszó, személyes adatokhoz való hozzáférhetőség és ehhez hasonló problémák – írja elemzésében Hubert Csaba információbiztonsági szakértő.

Az egyik ilyen biztonsági rést felfedező 18 éves fiatal fiú 50 Ft-ért vásárolt egy bérletet, majd ezután felhívta a BKK figyelmét a problémára. A rendszert üzemeltető T-Systems jelentése szerint nagy számú kibertámadás érte az új rendszert, a támadásokkal összefüggésben büntetőfeljelentést tettek a Nemzeti Nyomozó Irodánál.

Az ügy több fontos és érdekes kérdést vet fel, melyet érdemes tisztázni annak érdekében, hogy pontosan lássuk a helyzetet és a jövőbeni megoldási lehetőségeket. Jelenleg a hatályos Btk. 423. §-a  nevesíti az „Információs rendszer vagy adat megsértése” bűntett tényállását és büntetési mértékét. A törvény egyértelműen kimondja, hogy „információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.”

Jogilag rendben van a T-Systems eljárása

A szakmában etikus hackernek hívják azokat a szakembereket, akik a megrendelő felkérésére és hozzájárulásával, ellenőrzött, dokumentált körülmények között végzik el a rendszerek sérülékenység vizsgálatát. Ebben az esetben nem is kérdéses tehát, hogy a fiatal fiú törvényt sértett e vagy sem, ugyanis a hibát engedély hiányában, jogosulatlanul derítette fel és használta ki, arról csak utólagosan értesítette a BKK-t és ráadásul nyilvánosságra is hozta a problémát, ami a cégre nézve további súlyos károkat eredményezhetett.

Külföldön már bevett dolog

Érdemes azonban vizsgálni a társadalmi, erkölcsi, morális kérdéseket is, illetve a közérdek fontosságát. Sajnos hazánkban jelenleg nem terjedt még el az a rendszer, amit külföldön már előszeretettel alkalmaznak, mely szerint a cégek úgynevezett „Bug Bounty” program keretében a feltárt hibákért cserébe pénzt fizetnek a hackereknek.

További megoldásként általában a hacker jelzi a cégnek a feltárt sérülékenységeket és megjelöl egy ésszerű határidőt, mely letelte után ha nem kerül javításra, nyilvánosságra hozza azt. Ez egy rendkívül erős motiváló tényező a cégek számára, hiszen nekik nagyon kellemetlen lehet egy komolyabb hiba nyilvánosságra hozatala.

Az ügyészségnek, illetve ha odáig eljutna, akkor a bíróságnak van jogköre megítélni, hogy a fiú által okozott cselekmény mennyire számít komoly bűncselekménynek. Ők vizsgálhatják a közérdek fontosságát is, ami alapján akár enyhe pénzbírsággal, közérdekű munkával vagy megrovással is megúszhatja a gyanúsított. Ha az eset bírósági szakaszba jut, az ítélet mindenképpen precedensértékű lehet.