A sérülékenységvizsgálat az információs rendszerek gyenge pontjainak, és az ezeken keresztül fenyegető biztonsági eseményeknek a feltárása. Mára e tevékenység egyik módja az információs rendszer üzemeltetője és a vizsgáló közötti szerződésen alapuló, szolgáltatói iparággá fejlődött, amelyet etikus hacking-ként (white-hat hacking) jelölhetünk. A köznyelv a hackerkedés egy másik módját - pusztán a célok közti hasonlóság miatt, nagyvonalúan - ugyancsak az "etikus" jelzővel hajlamos ellátni. A hackerek ezen köre felkérés nélkül keresi az információs rendszerek biztonsági réseit, jó esetben haszonszerzési, illetve károkozási szándék nélkül. Ez utóbbi tevékenység a közvélekedést leginkább etikai és nem jogi szempontok mentén osztja meg. Ennek oka, hogy bár a kéretlen sérülékenységvizsgálat céljai tetszetősnek tűnhetnek, mégis olyan tényállásszerű magatartásról van szó, amely a Büntető Törvénykönyvről szóló 2012. évi C. törvény 423. §-ában meghatározott információs rendszer vagy adat megsértését, illetve a 424. §-ában meghatározott információs rendszer védelmét biztosító technikai intézkedés kijátszását valósítja meg.
A továbbiakban röviden azt vizsgálom, hogy e kéretlen tevékenység körüli vita hogyan rendezhető megnyugtatóan, a hacking milyen körülmények között tekinthető méltányolhatónak, illetve mely feltételek teljesülése esetén maradhat el a büntetőjogi felelősségre vonás. A téma büntetőjogi vonatkozásait illetően nem áll rendelkezésre bőséges hazai jogirodalom, ami fellelhető, az is az etikus hacking szolgáltatási tevékenységével kapcsolatos.[1] Ugyanakkor átvehető, működőképes megoldásnak tűnik az ún. CVD-eljárás (Coordinated Vulnerability Disclosure), amelynek szempontrendszere alapvetően összeegyeztethető a társadalomra veszélyességet kizáró körülmények vizsgálatával. Jelen esetben ugyanis, egy konkrét hacking tényállásszerűsége esetén a büntetőjogi felelősségre vonás akadályát a cselekmény társadalomra veszélyességének hiánya, és nem annak morális megítélése képezheti.
Ma már nem igényel különösebb magyarázatot, hogy az infokommunikációs technológia szinte valamennyi társadalmi szférára meghatározó befolyással van, és talán nem túlzás azt sem állítani, hogy jó úton haladunk egy teljesen technológiafüggő társadalom kialakulása felé. E sajátos közegben a magán- és közszféra, valamint a gazdasági élet interakcióit közvetítő információs rendszerek megbízható működése társadalmi érdek. Ezért társadalmi elvárás az állam és polgárai számára elengedhetetlen információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint a rendszer sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.[2] E jogtárgy meglehetősen absztrakt. A technológia társadalmi beágyazottsága miatt az információs rendszerek biztonsága tulajdonképpen nem is önálló jogtárgy. Az információs rendszerek eltérő felhasználási területeire figyelemmel inkább tekinthető a megannyi mögöttes társadalmi érdek védelmének közvetítőjeként, úgy is mondhatnánk "interfész-jogtárgy". Jól érzékelteti mindezt a Btk. 423. §-ának általános jellege a Btk. 375. §-ához képest, illetve a hacking más bűncselekmények mellett egyre gyakoribb, látszólagos halmazatkénti értékelése. Az információs rendszereket érő fenyegetések megelőzése és kezelése szabványosított, a rendszerek egyes elemeit, valamint a környezetüket érintő, logikai és fizikai jellegű védelmi intézkedések kialakításával történik. Az információs rendszerek védelmén belül keletkező sérülékenység azonosítása és javítása ezen áttételes és absztrakt jogtárgyvédelem, az információbiztonság része.
Az információbiztonság egyik axiómája, hogy nem létezik tökéletes biztonság, legfeljebb a felmerülő kockázatokkal arányos védelem.[3] A biztonságot veszélyeztető fenyegetés, a rendszer sérülékenysége többféle formát ölthet, számtalan okból keletkezhet magában az információs rendszerben vagy annak környezetében. Így például az infokommunikációs eszközök gyártói, fejlesztői esetében a piaci verseny diktálta gyors fejlesztések következtében előfordul, hogy egy-egy termék hibákkal kerül forgalomba. Az sem kizárt, hogy a fejlesztő tud erről, de gazdasági érdekeivel ellentétes a termék visszatartása, a
- 340/341 -
hiba javítása ugyanis jelentős többletköltséggel, a termék késedelmes kiadása pedig a versenytársakkal szembeni lemaradáshoz vezetne. Az éveken át, eltérő fejlettségű technológiák összehangolásával bővített elektronikus hírközlési hálózatok információs rendszerei esetében is komolyabb költséget jelent az információbiztonság és a folyamatos szolgáltatásnyújtás egyidejű és megfelelő szinten tartása. A problémának ily módon adott egy erősen gazdasági kontextusa is.
A sebezhetőség létrehozása, eltitkolása, fenntartása és kihasználása nem, ám a javítása érdekében egy már létező sebezhetőség megfelelő garanciális keretek közötti feltárása és az érintettekkel való közlése - adott esetben nyilvánosságra hozatala - már társadalmilag hasznos célként értékelhető. Az e cél szolgálatába állított szabályozás az információbiztonsági ökoszisztéma egyik részévé válhat, amely egyfelől közvetlenül hozzájárul a védelmi szint növeléséhez, másfelől közvetve - a nyilvánosság révén - arra ösztönözheti a szolgáltatókat, hogy az információbiztonsággal kapcsolatos kötelezettségeiket komolyan vegyék. A sérülékenység bárki által, de ellenőrzött keretek közötti keresésének lehetősége így lehet a társadalmi-felhasználói kontroll egyik eszköze. Nem szabályozott keretek között a sérülékenység keresése és nyilvánosságra hozatala viszont kockázatokat hordoz, ezáltal fenyegetésként értelmezhető, amely értelemszerűen nem járul hozzá az információbiztonság javításához, akkor sem, ha a hacker magát etikusnak véli. Mire alapozható ez?
A kibervédelemre vonatkozó hazai joganyag "alaptörvénye" az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.). A törvény hatálya a) az alkotmányos rend fenntartása szempontjából kiemelt fontosságú közszolgálati szervek adatait kezelő szervezetek és a nemzeti adatvagyont kezelő szervezetek mellett b) az európai és nemzeti létfontosságú információs rendszerek, rendszerelemeket üzemeltető szervezetekre terjed ki. Ez a személyi és tárgyi hatály kellően széles körű ahhoz, hogy Magyarország kibervédelme szempontjából minden, az állam működése szempontjából lényeges információs rendszer védelmére kitérjen, ugyanakkor más, gazdasági szereplőkre nem vonatkozik. Ezért az Ibtv. 18. §-a is csak a törvény hatálya alá tartozó szervezetek kapcsán szabályozza a sérülékenységvizsgálatot. Az Ibtv. fogalomrendszerében a sérülékenység az elektronikus információs rendszer olyan része vagy tulajdonsága, amelyen keresztül valamely fenyegetés megvalósulhat.[4] A sérülékenységvizsgálat az elektronikus információs rendszerek gyenge pontjainak (biztonsági rések) és az ezeken keresztül fenyegető biztonsági eseményeknek a feltárása.[5] A részletszabályokat az Ibtv. felhatalmazása alapján kiadott, az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet határozza meg. Az érintett szervezeteket érintő sérülékenységvizsgálat részletesen szabályozott, kontrollált keretek között zajló eljárás, amelyet a Nemzetbiztonsági Szakszolgálat szervezeti keretein belül felállított Nemzeti Kibervédelmi Intézet folytathat le.[6] A sérülékenységek keresésének más formája nincs szabályozva.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
