Ebben a bejegyzésben a törvény oldaláról szeretnénk bemutatni a rosszakaró hackerek jogsértéseit és annak következményeit. A cikk megírásában a Havas-Sághy és Társai Ügyvédi Iroda volt segítségünkre.

Milyen súlyos jogsértést/bűncselekményt követ el az, aki egy cég számítógépes hálózatába betör egy zsarolóvírussal vagy más módszerrel? Milyen szankciói lehetnek? 

A kérdést érdemes két fő jogterületre bontva tárgyalni. Az egyik főbb terület a polgári jog, a másik pedig a büntetőjog. 

Polgári jogi értelemben elmondható, hogy aki egy cég számítógépes hálózatába bármilyen módon és eszközzel betör és ezzel kárt okoz, annak a később leírt büntetőjogi következmények mellett számolnia kell a polgári jog által szabályozott következményekkel is. 

Jellemző az ilyen jellegű cselekményekre, hogy azok elkövetője a cég vagyonában mérhető módon kárt okoz. Itt szóba jöhet a ténylegesen bekövetkezett kár, az üzletmenet folytonossága miatti elmaradt haszon és sok egyéb tényező is. A Polgári Törvénykönyv (Ptk.) általános szabálya szerint minden károkozás jogellenes. 

Különböző módon alakul a károkozó felelőssége attól függően, hogy a kárt szerződésen kívül, vagy a résztvevők közötti szerződés megszegésével okozta.

Előbbi esetben a károkozó azzal mentesülhet a kárfelelősség alól, ha bizonyítja, hogy úgy járt el, ahogy az az adott helyzetben elvárható. Ha tehát a károkozó nem a Ptk. szerinti általánosan elvárt módon járt el, akkor kárfelelőssége megállapítható. 

Utóbbi esetben, azaz a szerződés megszegésével okozott károk esetében a felelősség kimentése szigorúbb feltételekhez van kötve. A károkozó csak akkor mentesül a kárfelelősség alól, ha bizonyítja, hogy a szerződésszegést ellenőrzési körén kívül eső, a szerződéskötés időpontjában előre nem látható körülmény okozta, és nem volt elvárható, hogy a körülményt elkerülje vagy a kárt elhárítsa. Számos szerződéses együttműködésben érdemes lehet ezért kikötni, hogy a partner számítógépes rendszereibe való belépést, adatváltoztatást, törlést stb. kifejezetten megtiltják a részes felek. 

Fontos ugyanakkor figyelembe venni azt is, hogy a kárt szenvedő cégnek kármegelőzési, kárelhárítási és kárenyhítési kötelezettsége is fennáll. Ennek értelmében olyan IT biztonsági intézkedéseket szükséges alkalmazni a mindennapi ügymenetben, amely a kár bekövetkezését, annak mihamarabbi orvoslását és a negatív hatások kiküszöbölését egyaránt elősegíti.

Az másik nagy jogterület a büntetőjog, amely az alábbi rendelkezésekkel védi a számítógépes hálózatok biztonságát. 

A Büntető Törvénykönyv (Btk.) XLIII. Fejezete, a Tiltott adatszerzés és az információs rendszer elleni bűncselekmények című része tartalmazza az ilyen jellegű bűncselekmények tételesen felsorolt listáját. 

Elsősorban a Btk. 423.§ szerinti információs rendszer vagy adat megsértése bűncselekménynek felel meg az elkövető magatartása, ha egy cég számítógépes hálózatába jogosulatlanul belép, vagy a jogosultsága kereteit túllépve vagy azt megsértve marad bent. Fontos tehát látni, hogy ennél a bűncselekménynél az elkövető akár rendelkezhet is jogosultsággal a hálózatba való belépésre, de annak a kereteit nem tartja be. A cselekmény elkövetése maximum két évig terjedő szabadságvesztéssel büntetendő. 

Ha valaki információs rendszerben kezelt adatokat titokban kifürkész, és az észlelt technikai eszközzel rögzíti is abból a célból, hogy adatot jogosulatlanul ismerjen meg, tiltott adatszerzés bűntette miatt 3 évig terjedő szabadságvesztéssel büntetendő. 

Ha valaki a fentebb említett bűncselekmények elkövetése céljából ehhez szükséges vagy ezt könnyítő jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez vagy forgalomba hoz; vagy ilyen program készítéséhez szükséges gazdasági/műszaki/szervezési ismereteit rendelkezésre bocsátja, információs rendszer védelmét biztosító technikai intézkedés kijátszása vétség miatt 2 évig terjedő szabadságvesztéssel büntetendő. 

Releváns a téma szempontjából az információs rendszer felhasználásával elkövetett csalás bűncselekménye is. A zsarolóvírus alkalmazása esetében az információs rendszer vagy adat megsértése bűncselekményekhez hasonló tényállás valósul meg, de ebben az esetben megfigyelhető a jogtalan haszonszerzési cél is, illetve a bűncselekmény megvalósítható adatbevitellel, annak megváltoztatásával, törlésével, hozzáférhetetlenné tételével, valamint egyéb olyan művelet végzésével, ami az információs rendszer működését befolyásolja. A büntetési tétel függ egyrészt az okozott kár nagyságától, másrészt pedig attól, hogy az elkövetők azt bűnszövetségben és/vagy üzletszerűen követik-e el. 

A cég milyen módon kerülhet a vádlottak padjára, ha támadás és mondjuk a felkészületlenségéből eredő adatlopás éri? 

Fontos leszögezni a kérdést illetően, hogy a sértett cég büntetőjogilag nem tartozik büntetőjogi értelemben vett felelősséggel, ha adatlopás éri, hiszen nincs ennek megfelelő bűncselekményi tényállás. 

Más kérdés ugyanakkor, hogy polgári jogi szempontból a cég képes lesz-e a már említett módokon kimenteni magát a kárfelelősség alól. 

Ki az illetékes hatóság IT biztonsági témák esetén (mint pl. a műsorszórásban a Nemzeti Média és Hírközlési hatóság), aki koordinál és aki segíthet? 

A Nemzetbiztonsági Szakszolgálat (NBSZ) szervezetén belül a Nemzeti Kibervédelmi Intézet (NKI) ( https://nki.gov.hu/ ) látja el az alábbi teendőket: 

• informatikai rendszerek informatikai biztonsági támogatása; 
• sérülékenység-menedzsment: információgyűjtés a szoftver-sérülékenységekről és káros szoftverekről;
• incidenskezelési tevékenység: fogadja az incidensek bejelentéseit, és megteszi az alapvető intézkedéseket. 

Mikor mondható az, hogy a cég minden IT biztonsági kötelezettségének eleget tett? 

Jelenlegi tudásunk szerint a teljes IT biztonságra csak törekedni lehet, de annak elérése erősen kétséges. 

Az IT biztonsági követelmények jellemzően nagy általánosságban kerülnek jogszabályi szinten megfogalmazásra. Ennek egyik klasszikus példája a GDPR rendelet, amely előírja, hogy megfelelő technikai és szervezési intézkedéseket kell végrehajtani az adatok védelme érdekében. A konkrét lépéseket ilyen esetekben ún. magatartási kódexek is tartalmazhatják, amelyek alkalmazása nagymértékű megbízhatóságot sugároz a partnerek felé. 

A legfontosabb szempontok figyelembe vételével jelentősen csökkenthető az IT biztonsági kockázat. Kiemelt jelentőséggel bír a szervezetrendszeren belüli dedikált IT biztonsági szakértő(k) kijelölése, a hardveres és szoftveres infrastruktúra naprakészen tartása, illetve az iparági jó gyakorlatok (good practises) folyamatos figyelemmel követése és azok beillesztése a napi gyakorlatba. 

Mint 2012 óta minden évben, idén is októberben zajlik az Európai Kiberbiztonsági Hónap, amelynek célja a kiberbiztonság fontosságára való figyelemfelhívás. A https://kiberhonap.hu/  honlapon számos hasznos anyag érhető el a témában ingyenesen. 

Kötelessége egy magyar KKV-nak figyelni például az Eseménykezelő Központ tájékoztatásait és riasztásait? 

Jogszabály alapján jelenlegi tudásunk szerint nem kötelezhető egy KKV arra, hogy figyelemmel kísérje az Eseménykezelő Központ tájékoztatásait, azonban a saját érdekében 

áll a lehető legtöbb információt birtokolni minden olyan témában, amely hatással lehet az őt érintő tevékenységekre, ügyekre. A folyamatos tájékozódás és az ismeretek naprakészen tartása tehát adott esetben versenyelőnyt is jelenthet az adott KKV számára. 

A streamingre sokáig a műsorszórás szabályait próbálták ráerőltetni, például meg kellett adni a csatorna frekvenciáját. Nehéz lehet lépést tartani a jogi környezetnek a technológiával. Melyek az IT biztonság szempontjából fejlesztendő vagy lefedetlen területek hazánkban/nemzetközileg? 

Álláspontunk szerint a kérdésre azért nem lehet kimerítő választ adni, mert ugyanúgy, mint számos más élethelyzetben a jogalkotás csak „kullog” a folyamatosan változó életviszonyok után. Különösen igaz ez az infokommunikáció területére, ahol a lemaradás sokkal nagyobb mértékben érzékelhető. 

Amit mindenképpen üdvözlendőnek látunk, az a nemzetközi szabályozás részéről az a törekvés, hogy az egyes államok IT biztonsági szabályait megpróbálják minél inkább harmonizálni egymással. 

Általánosságban a hazai jogalkotásról elmondható, hogy az Európai Unió vonatkozó joganyagának átültetésében jól állunk, ugyanakkor az is látszik, hogy ha nincs nemzetközi nyomás, akkor nemzeti hatáskörben lassabban vagyunk képesek alkalmazkodni a megváltozott életviszonyokhoz. 

A Bug Bounty program keretein belül az etikus hacker tevékenysége jogilag miért nem számít jogosulatlan hozzáférésnek a cég IT rendszereihez?

Egy bug bounty program keretein belül azért nem számít jogosulatlan hozzáférésnek, mert a cég szerződésben kérte fel az etikus hackert a tevékenység elvégzésére. 

A szerződő cég a program definiálása során részletesen megszabja a feltételeket, melyek a szerződés részét képezik. Ilyen lehet például a teszt időtartama, a scope-ja (tehát a tesztelendő szolgáltatások köre), használható eszközök, a bejelentés menete stb.

Milyen szerződés jön létre a Hacktify és a cég között?

A Hacktify határozatlan vagy határozott idejű szerződést köt a céggel, a kiberbiztonsági tesztelés végrehajtására publikus vagy privát bug bounty keretein belül. Ez a szerződés tartalmazza a folyamat leírását, a program díjazását és annak részleteit.

Milyen szerződést köt a Hacktify az etikus hackerrel? Mi védi őt attól, hogy a sérülékenység felfedezésénél, tesztelésénél nem követ el jogsértést?

A regisztráció során kötelezzük a sérülékenység szakértőket, hogy fogadják el a Tesztelési szabályzatot és az Általános Szerződési Feltételeket. Ezek tartalmazzák és megkövetelik az etikus magatartás betartását, a titoktartást, és az ügyfél által meghatározott program leírásban definiált részletek betartását. 

A HACKTIFY oldalon lévő összes aktív programban való részvétel legális tevékenységnek minősül, mivel szerződés jön létre az ott feltüntetett ügyféllel, céggel – így a program leírásnak megfelelő etikus tesztelés jogszerű magatartásnak minősül. Emellett a szerződés tartalmaz egy Safe Harbor részt, amiben a cég kijelenti, hogy nem indít eljárást a programban résztvevő tesztelőkkel szemben, akik betartották a meghatározott szabályokat.

Figyelmeztetés: Jelen összefoglalóban,  az IT biztonsággal kapcsolatosan felvetett témák jogi vonatkozásai  a Havas-Sághy és Társai Ügyvédi Iroda tapasztalatán és jogi érvelésén, jogértelmezésén alapulnak. Jelen dokumentum nem akadémiai célból, nem az adott téma minden részletre kiterjedő elemzésére készült, így nem célja az adott jogintézményekhez, tényálláshoz tartozó minden egyes jogszabályhely feltüntetése és elemzése. A hatóságok, bíróságok vagy más hivatalos szervezetek, illetve más személyek jogértelmezése a jelen dokumentumban foglaltaktól lényegesen eltérhet. A jelen dokumentum nem garantálja, hogy a benne foglaltak egy esetleges hivatalos hatósági, bírósági vagy más eljárásban maradéktalanul megegyeznek a jogértelmező szerv meglátásaival. A jogértelmezési eltérésekből fakadó esetleges következményekért a Havas- Sághy és Társai Ügyvédi Iroda kifejezetten kizárja felelősségét.