Az információs rendszereket, adatokat támadó, ismertté vált bűncselekményekkel egyre több tanulmány, időszakos szakmai kiadvány foglalkozik. Ezek vagy átfogó értelmezési keretet igyekeznek adni a kibertér társadalomra veszélyes jelenségeinek, vagy egy-egy kriminalisztikai problémát, elkövetési módot elemeznek részletesebben. Ezzel szemben ritka, gyakran pedig korszerűtlen az anyagi jogi jogértelmezéssel foglalkozó szakmai anyag, másként fogalmazva: kommentár. A tanulmány ezt a hiányosságot igyekszik pótolni az információs rendszer és adat elleni bűncselekmény terén.
Kiindulópontomat az a felismerés képezi, hogy a Büntető Törvénykönyvről szóló 2012. évi C. törvény (a továbbiakban: Btk.) 423. és 424. §-ában meghatározott tényállások értelmezése kizárólag interdiszciplináris módszerekkel végezhető el, ennek figyelmen kívül hagyása kudarcra ítéli a kizárólag a büntető anyagi jogi jogszabályokból kiinduló vagy a kezdeti kommentárokon alapuló jogértelmezési törekvéseket. E megközelítés eredményességét jelentősen megkönnyíti, ha felismerjük a digitális konvergencia joganyagra gyakorolt hatását.
Törvényszerű volt, hogy a technológiai és gazdasági területeken mind meghatározóbbá váló digitális konvergencia az információs társadalom jogviszonyaiban, illetve az azokat szabályozó joganyagban is megjelenik. A digitalizációval kölcsönhatásba került hagyományos jogterületek egyre több technológiai eredetű normával bővültek, infokommunikáció specifikus rendelkezésekkel kiegészítve az addigi szabályozást, gondoljunk pl. a szerzői jogra, fintechszabályozásra vagy a hírközlési jogra. A másik oldalon, a technológia lehetővé teszi, hogy magatartás-szabályozókat, jogi normákat érvényesítsünk technológiai szinten, gondoljunk pl. a privacy by design megközelítésre, a magánszféra védelme érdekében kötelezően előírt titkosítási eljárásokra, az információs rendszerek védelmére, vagy az önvezető autózás ideáljára, a közlekedési rendszabályok automatikus végrehajtására.
Az adott információs rendszer felhasználási területére, az érintett társadalmi viszonyra vonatkozó ágazati szabályozás a legtöbb esetben az adott adatkezelésre, kommunikációra vonatkozó jogi rendelkezéseket, alapfogalmakat is meghatároz az adott társadalmi viszonnyal összhangban. Az elektronikus hírközlést szabályozó, az információbiztonságra vonatkozó nemzeti és EU-jogszabályok értelmező rendelkezései segíthetnek áthidalni a technológiai és jogi terminológia közötti távolságot. Jelen téma szempontjából kiemelkedő jelentősége egy különleges szabályrendszernek, az információbiztonságnak van, amely nélkül a hacking büntetőjogi tényállásai sem értelmezhetők.
Az információbiztonság alapját technológiai szabványok alkotják (Cobit, ISO, Common Criteria, BS). E technológiai szabványok - definíciók, értelmezési rendszerek - is megjelentek az információbiztonságra vonatkozó jogszabályokban, ezáltal jogi fogalmakká is váltak. A "jogrendszer egysége" elve alapján pedig e fogalmak a büntetőjog területén is relevanciával bírnak, a konvergencia felismerése ezért a büntetőjogi tényállások értelmezése során jogalkalmazók segítségére szolgál. Jóllehet az információs rendszer és adat elleni bűncselekmények nem tekinthetők ún. kerettényállásnak, értelmezésükhöz egyszerűen elengedhetetlen az adat- vagy információbiztonság fogalomrendszerének alkalmazása.
A Btk.-tényállások uniós, illetve nemzetközi jogi hátterét alapvetően az Európai Parlament és a Tanács információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról szóló 2013/40/EU Irányelve, valamint az Európai Tanács 2004. évi LXXIX. törvénnyel kihirdetett ún. Budapesti Egyezménye jelentik. Úgy vélem, a mögöttes normaanyagként kell alkalmazni az információbiztonsággal foglalkozó jogforrásokat is, így például a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló, 2016. július 6-i, (EU) 2016/1148 európai parlamenti és tanácsi irányelvet is, valamint az annak megfelelő, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényt (a továbbiakban: Ibtv.) és végrehajtási rendeleteit.
Az információbiztonság terén az információ bizonyos tényekről, tárgyakról vagy jelenségekről hozzáférhető formában megadott megfigyelés, tapasztalat vagy ismeret, amely valakinek a tudását, ismeretkészletét, annak rendezettségét megváltoztatja, átalakítja, alapvetően befolyásolja, bizonytalanságát csökkenti vagy megszünteti.[2] Az adat pedig az információ hordozója, a tények, fogalmak vagy utasítások formalizált ábrázolása, amely az emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra alkalmas.[3] A legáltalánosabb értelmében minden testet öltött információt, kódolt közleményt adatnak tekintünk. Az adat az információ megjelenése, azaz a tények, elképzelések nem értelmezett, de értelmezhető közlési formája.
Az adat esszenciája tehát az általa megtestesített információ, amelyhez - a teljesség igénye nélkül - gazdasági, nemzetbiztonsági és személyes érdekek egyaránt fűződhetnek. A jogalkalmazónak e körülményre elsősorban akkor kell emlékeztetnie magát, amikor a vizsgált cselekmény minősítéséről kell állást foglalnia. Az adat tartalmához és az információs rendszer adott funkciójához kapcsolódó társadalmi érdeket minden esetben tisztázni kell, különösen, ha a hacking más törvényi tényállás révén (is) védett társadalmi érdeket sért vagy veszélyeztet. Mindez egészen egyszerűen a technológia mint eszköz mibenlétéből fakad. A támadás érheti alapvetően az információt hordozó adatot, veszélyeztetheti az adat bizalmasságát, sérthetetlenségét, hitelességét, de értünk a támadás alatt minden olyan fenyegetést, amely a rendszer működését, az adatok rendelkezésre állását, a funkcionális követelményeknek megfelelő felhasználásukat veszélyezteti.[4]
A Btk. az elektronikus adat fogalmát a Budapesti Egyezmény és a vonatkozó EU irányelvnek megfelelve, némiképp eltérően határozza meg. A Btk. 423. §-ának (5) bekezdése alapján az elektronikus adat e szakasz alkalmazása során az információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs rendszer általi feldolgozásra alkalmas, ideértve azon programot is, amely valamely funkciónak az információs rendszer által való végrehajtását biztosítja. E megszorító, a Btk. 423. §-ára korlátozó értel-
- 6/7 -
mezés jogszabályszerkesztési kérdéseket is felvethet, különösen a Btk. 423. §-ára épülő, a hackinget részben eszközcselekményként magában foglaló Btk. 375. §-ában meghatározott tényállás miatt. A Btk. XLIII. Fejezetét illetően, különösen a Btk. 422. §-át tekintve azonban van értelme a definíció megszorító értelmezésének.
Ennek kapcsán kell kitérnem az elektromágneses emisszió kérdésére, amely a definíció alapján nem értelmezhető elektronikus adatként, annak úgymond befogása mégis alkalmas arra, hogy azt egy e célra tervezett információs rendszer elektronikus adattá konvertálja, illetve megállapítsa, mintegy rekonstruálja az ilyen elektronikus adat tartalmát. Ezzel az információs rendszerben (ideértve a hálózatot és az adatátvitel csatornáját is) folytatott kommunikáció tartalmának vagy a rendszerben kezelt adat kifürkészése és az észleltek technikai eszközzel rögzítése lehetséges úgy is, hogy az elkövetési magatartás a védett információs rendszeren kívüli, olyan műveletekkel történik, amelyek tárgya nem közvetlenül az adat. E tényállásszerű magatartás is leírható a "kifürkész" kifejezéssel.
Ezt követően azt a környezetet kell jellemeznünk, amelyben az adat elhelyezkedik. Az adatra irányuló támadások az adatokat ugyanis rendszerint nem közvetlenül, hanem az adatot körülvevő rendszerelemeken keresztül érik. Ilyenek: a rendszer fizikai környezete és infrastruktúrája, hardverrendszer, szoftverrendszer, kommunikációs, hálózati rendszerek, adathordozók, dokumentumok és dokumentáció, személyi környezet. A Budapesti Egyezmény és az EU irányelv szerint az információs rendszer bármely olyan önálló eszköz, illetve egymással kapcsolatban lévő vagy összekötött eszközök összessége, amelyek, illetőleg amelyeknek egy vagy több eleme program végrehajtásával adatok automatikus feldolgozását biztosítja. A hazai szabályozás ezt a fogalmat vette át kismértékben módosítva: a Btk. 459. §-a (1) bekezdésének 15. pontja alapján az információs rendszer az adatok automatikus feldolgozását, kezelését, tárolását, továbbítását biztosító berendezés, vagy az egymással kapcsolatban lévő ilyen berendezések összessége.[5]
A rendszerelem a rendszer működése szempontjából meghatározott funkcióval rendelkező, jól elkülöníthető egysége. A rendszerelemek tárgyalása azért lényeges, mivel az adatok, rendszerek támadása nem közvetlenül, hanem az egyes rendszerelemeken keresztül történik. Tehát az adat maga közvetlenül nem elérhető, ebből következően a védelmi rendszereknek is az adatot körülvevő rendszerelemekhez kell kapcsolódniuk.
Figyelemmel arra, hogy az információs rendszer fogalma felöleli az összetett rendszereket, azaz a hálózatokat is, különös gonddal vizsgálandó egy adott esetnél az, hogy miként lehet a jogellenes cselekmény hatókörét, a cselekménnyel végső soron (célként) támadott rendszerelemet és az azzal való összeköttetés révén közvetlenül vagy közvetve veszélyeztetett rendszerelemeket körülhatárolni. Egy durván leegyszerűsített példát említve: a globális internet protokollja révén hálózatba kötött megannyi számítógép kapcsolata ad hoc jellegű, egy végfelhasználó számítógépét érintő támadás nem tekinthető az internet infrastruktúrája elleni támadásnak. Anyagi jogi szempontból, a jogtárgysérelem beazonosításának és körülhatárolásának van jelentősége, így annak, hogy az adott cselekmény pontosan milyen funkcióellátó rendszerelemek működését akadályozza, milyen adatok integritását sérti vagy veszélyezteti. Ha tehát egy állami, önkormányzati hivatal számítógépét érintő támadásról van szó, jelentősége van annak, hogy az adott információs rendszer pontosan milyen más információs rendszerekkel (pl. állami hálózatok), milyen fizikai és logikai kapcsolat révén áll összeköttetésben, és a cselekmény az ezekhez való hozzáférést is célozza-e, illetve ezek biztonságát is veszélyezteti-e.
Az információbiztonság az (elektronikus) információs rendszert a Btk. értelmező rendelkezésénél tágabban fogalmazza meg. Információs rendszer a) az elektronikus hírközlésről szóló törvény szerinti elektronikus hírközlő hálózat; b) minden olyan eszköz vagy egymással összekapcsolt vagy kapcsolatban álló eszközök csoportja, amelyek közül egy vagy több valamely program alapján digitális adatok automatizált kezelését végzi; vagy c) az a) és b) pontban szereplő elemek által működésük, használatuk, védelmük és karbantartásuk céljából tárolt, kezelt, visszakeresett vagy továbbított digitális adatok.[6] Emellett az információbiztonság fogalmi körében az információs rendszernek kell tekinteni adott adatkezelő vagy adatfeldolgozó által, adott cél érdekében az adatok, információk kezelésére használt eszközök - így különösen környezeti infrastruktúra, hardver, hálózat és adathordozók -, eljárások - így különösen szabályozás, szoftver és kapcsolódó folyamatok -, valamint az ezeket kezelő személyek együttesét is.[7]
Mindennek abban van jelentősége, hogy az információbiztonság elleni cselekmény nem kizárólag a védett információs rendszeren belül, azt közvetlenül érintően, hanem a tágabb környezetében is végrehajtható az azt alkotó rendszerelemeken keresztül. Az információs rendszer biztonságát közvetlenül támadó cselekmények jellemzően a Btk. 423. §-ában meghatározott tényállás keretei közé illeszkednek, míg a közvetett vagy előkészítő jellegű tevékenységek, amelyek a közvetlen támadás előkészületeként értékelhetők, a Btk. 424. §-a szerint minősülhetnek. Ez utóbbira lehet példa az ún. social engineering, a jelszavak, más azonosítók megszerzését célzó adathalászat, amelyek célpontjai a fentiek szerint az információs rendszert kezelő személyek.
Célszerű e helyütt szót ejteni az érzékelőkről (szenzorokról) is. A környezethez történő adaptáció képességével rendelkező intelligens rendszerek - pl. okosotthonok, gépjármű vezetéstámogató eszközei - technológiai kulcstényezője a szenzor. A szenzorok az érzékeléstechnika különféle rendeltetésű, az esetek jelentős részében feldolgozó- és tárolókapacitással rendelkező eszközei.[8] Lényegük, hogy lehetővé teszik a környezet és az információs rendszer közötti kapcsolatot, mivel a környezet valamely mérhető tulajdonságáról az információs rendszer számára kezelhető jelet szolgáltatnak. A szenzorok a környezet valamely elemének, információnak az információs rendszer számára kezelhető, feldolgozható formába, elektronikus adattá történő átalakítását végzik el. Ez az adat bevitelének önálló, emberi beavatkozás nélküli módja, amely feltétele a környezethez való adaptációnak, az intelligens működésnek. E folyamat manipulálásának tényállásszerűsége ugyanakkor nem feltétlenül magától értetődő.
Az adat megvédése érdekében minden esetben céltudatos, tervszerű emberi magatartás szükséges, amely a kívánt emberi magatartásokat előírások (jogszabályok, szabályzatok, szabványok stb.) formájában rögzíti.[9] Az információbiztonság két alapterületet foglal magában: az információvédelem, amely az adatok által hordozott információk sértetlenségének, hitelességének és bizalmasságának elvesztését hivatott megakadályozni és a rendszer megbízható működése területét, amely az adatok rendelkezésre állását és a hozzájuk kapcsolódó alkalmazói rendszerek funkcionalitását hivatott biztosítani. Az információs rendszerben működő alkalmazások és a hozzájuk kapcsolódó adatok fenyegetettségét a legszélesebb körben a következőkkel lehet jellemezni: az adatra vonatkozóan a bizalmasság elvesztése, a sértetlenség elvesztése, a hitelesség elvesztése, míg az adatot körülvevő rendszerre vonatkozóan a rendelkezésre állás elvesztése, a funkcionalitás elvesztése. Ezeket a fogalmakat alapfenyegetettségeknek nevezzük. Az adatot tehát az így körülírt minőségében kell büntetőjogi védelemben részesíteni, a jogosult számára értéket csak e minőségében képvisel. A rendszer megbízható működése a rendelkezésre állás és a funkcionalitás biztosítását jelenti.
Ebben az értelemben a biztonság az információs rendszerekben olyan előírások betartását jelenti, amelyek a rendszer működőképességét, az adatok (információk) rendelkezésre állását, sértetlenségét, bizalmasságát és hitelességét erősítik.[10] Az információs rendszer biztonsága: az elektronikus információs rendszer olyan állapota, amelyben annak védelme az elektronikus információs rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre ál-
- 7/8 -
lása, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos.[11]
A bizalmasság az információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról.[12] A rendelkezésre állás annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetők és az abban kezelt adatok felhasználhatók legyenek.[13] A sértetlenség az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az az elvárt forrásból származik (hitelesség) és a származás ellenőrizhetőségét, bizonyosságát (letagadhatatlanságát) is, illetve az elektronikus információs rendszer elemeinek azon tulajdonságát, amely arra vonatkozik, hogy az elektronikus információs rendszer eleme rendeltetésének megfelelően használható.[14]
A biztonság olyan előírások, szabványok betartásának eredménye, amelyek az információk elérhetőségét, sérthetetlenségét és megbízhatóságát érintik, és amelyeket az informatikai rendszerekben vagy komponenseikben, valamint az informatikai rendszerek vagy komponenseik alkalmazása során megelőző biztonsági intézkedésekkel lehet elérni. Más, tágabb értelmű megfogalmazásban az informatikai biztonság alatt valamely informatikai rendszer azon állapota értendő, amelyben a kockázatokat, amelyek ezen informatikai rendszer bevezetésekor a fenyegető tényezők alapján adottak, elfogadható intézkedésekkel elviselhető mértékűre csökkentettük. A védelem akkor teljes körű, ha az elektronikus információs rendszer valamennyi elemére kiterjed.[15] Zárt, ha az összes számításba vehető fenyegetést figyelembe veszi.[16] A védelem akkor arányos a kockázatokkal, ha a védelem költségei arányosak a fenyegetések által okozható károk értékével.[17] Végül folytonos a védelem, ha az időben változó körülmények és viszonyok között is megszakítás nélkül megvalósul.[18]
E fogalmi keretekkel körvonalazhatók az információs rendszer és az adat elleni bűncselekmények absztrakt jogi tárgyai a számítástechnikai rendszerek zavartalan működése, a bennük kezelt adatok megbízhatóságához, hitelességéhez, titokban maradásához fűződő érdek, és mögöttesen az ezekhez fűződő érdekek.
A legáltalánosabb értelemben az elkövetési magatartások olyan tevékenységek, amelyek egy információs rendszer vagy az abban kezelt adat - fent körülírt - minőségére, állapotára, biztonságára nézve kedvezőtlen hatást gyakorolnak. A szabványokra épülő jogi keretrendszer fogalmai szerint e hátrányos behatások a következőképpen írhatók le.
A biztonsági esemény: nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat, amely az elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül.[19] A súlyos biztonsági esemény olyan informatikai esemény, amely bekövetkezése esetén az állami működés szempontjából kritikus adat bizalmassága, sértetlensége vagy rendelkezésre állása sérülhet, emberi életek kerülhetnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be, súlyos bizalomvesztés következhet be az állammal vagy az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek.[20] A Btk. 423. §-át illetően a legtöbb tényállásszerű cselekmény biztonsági eseményként írható le.
Az információbiztonság e konkrét sérelmét megelőző kategória a fenyegetés, amely olyan lehetséges művelet vagy esemény, amely sértheti az elektronikus információs rendszer vagy az elektronikus információs rendszer elemei védettségét, biztonságát, továbbá olyan mulasztásos cselekmény, amely sértheti az elektronikus információs rendszer védettségét, biztonságát.[21]
Az információs rendszerek elleni támadások értelmezéséhez nem szükségszerű, de adott esetben hasznos fogalom a sérülékenység, amely az elektronikus információs rendszer olyan része vagy tulajdonsága, amelyen keresztül valamely fenyegetés megvalósulhat.[22]
A védett információs rendszer elleni jogellenes cselekmény lehet közvetlen vagy áttételes. Utóbbi esetben arról van szó, hogy az elkövető a védett információs rendszert az azt körülvevő információs rendszereken és rendszerelemeken keresztül támadja. Az elkövető tehát részben vagy egészen a védett információs rendszeren kívül végez valamilyen műveletet. Az egyes elkövetési módokat illetően annak van jelentősége, hogy az egyes műveletek eredményeként milyen változás következik be az információs rendszer biztonságának állapotában.
A sérülékenység és sérülékenységvizsgálat szintén egy jól alkalmazható értelmezési mankó. Hiszen a sérülékenység felfedezése az egyik oldalról a védekezéshez szükséges tevékenység, míg a másikról éppen az elkövetés lehetősége. A sérülékenységvizsgálat műveletei ezért a jogalkalmazói minősítés során alkalmasak az információs rendszer elleni támadások leírására is.
A sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet 1. §-ában meghatározott értelmező rendelkezések alapján külső informatikai vizsgálat az informatikai rendszer internet felőli, külső sérülékenységvizsgálata, amelynek során az interneten fellelhető, nyilvános adatbázisokban való szabad keresésre, célzott információgyűjtésre, valamint az elérhető számítógépek szolgáltatásainak, sebezhetőségének feltérképezésére kerül sor. A pszichológiai manipuláció olyan tevékenységi forma, technikák és módszerek összessége, amely az emberek befolyásolására alapozva teszi lehetővé bizalmas információk megszerzését vagy kártékony program terjedését és működését. Ez utóbbi fogalom tulajdonképpen a social engineeringet jelöli. Visszautalva az információs rendszer fogalmi elemeire, látható, hogy az információbiztonság fogalmi rendszere következetes, az információs rendszer egyes elemei viszonylatában értelmezi a lehetséges támadásokat és védelmi intézkedéseket.
Az egyes tényállások közös jellemzője, hogy a tevékenységnek jogosulatlannak kell lennie. A leírt magatartás tehát nem kizárólag a büntetőjogi norma alapján jogellenes, a büntetőjogi felelősség alóli kivételeket pedig nemcsak a klasszikus felelősséget kizáró okok - pl. sértetti beleegyezés, jogos védelem, végszükség - jelentik. A "jogosultság" kifejezést mindig az adott információs rendszer használatának viszonylatában kell vizsgálni. A jogosultságot megalapozhatja valamely jogszabály, végrehajtási, közigazgatási, bírósági rendelkezés, szabályzat, szerződéses vagy konszenzusos viszony (akár közös háztartási megegyezés egy közös e-mail-fiókról).
Csak akkor tényállásszerű a magatartás, ha az az információs rendszer védelmét szolgáló intézkedés megsértésével történik. A védelmi intézkedésnek objektíve és szubjektíve is alkalmasnak kell lennie arra, hogy a jogosult titoktartási akarata felismerhető legyen.[23] Ha azonban az információs rendszer védett, és a védelem ténye az elkövető számára ismert, a bűncselekmény megvalósul akkor is, ha a védelem épp az elkövetés eredményeként nem működik, és álláspontom szerint abban az esetben is, ha az elkövetőtől független okból, például rosszul kivitelezett karbantartás folytán. Offline analógiával
- 8/9 -
élve, ha egy ház kerítéssel van körbevéve, de a kapu nyitva marad vagy a kerítést már letaposták, attól még felismerhetően kijelöli a védett terület határait. A védelmi intézkedés megsértésének minősül bármely olyan magatartás, amely nem a rendeltetésszerű hozzáférés útján teremti meg az elkövető hozzáférési lehetőségét az adathoz vagy a rendszer funkcióihoz.
A jogosulatlan hozzáférés különös védelem alatt álló adatokat kell, hogy érintsen. A jogszabály immár megköveteli, hogy a védelmet megvalósító biztonsági intézkedések műszaki-technikai jellegűek legyenek. Az információs rendszerek védelme a következő fogalmi rendszerrel írható le. A logikai védelem az információs rendszerben információtechnológiai eszközökkel és eljárásokkal (programokkal, protokollokkal) kialakított védelem.[24] A fizikai védelem a fizikai térben megvalósuló fenyegetések elleni védelem, amelynek fontosabb részei a természeti csapás elleni védelem, a mechanikai védelem, az elektronikai jelzőrendszer, az élőerős védelem, a beléptetőrendszer, a megfigyelőrendszer, a tápáramellátás, a sugárzott és vezetett zavarvédelem, klimatizálás és a tűzvédelem.[25] A lehetséges védelmi intézkedések ezen elméleti kategorizálása a teljes körű védelem elvéhez igazodik, így az információs rendszer valamennyi elemére kiterjedő védelmet felöleli.
Az elsőként elemzett tényállás elkövetési magatartásai a jogosulatlan belépés és bent maradás. Nem szerencsés e magyar kifejezések használata, mert a cselekmény jellegét illetően téves képzet kialakítására alkalmas. Helyesebb lenne - pl. a Budapesti Egyezmény és az EU irányelv terminológiájának szó szerinti átvételével - a hozzáférés alkalmazása, amely kifejezés pontosabban visszaadja a cselekmény adatokra és információs rendszerre irányultságát.
Az információs rendszerbe történő belépés úgy értelmezhető, hogy a védett információs rendszerben lehetővé válik további műveletek elvégzése, az információs rendszer erőforrásainak használata, a rendszer funkciói és az abban kezelt adatok elérhetők. A bűncselekmény akkor befejezett, amikor a tettes a rendszer védelmét szolgáló technikai intézkedést leküzdve hozzáfér az adatokhoz vagy az információs rendszer funkcióihoz.
A Kúria BH 2017.392. számú eseti döntésében kifejtett álláspontja szerint a büntetőjog alapelveivel összhangban a jogosultság keretein való túllépés is akkor minősül bűncselekménynek, ha az egyben a rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával történik; pusztán e jogosultság kereteinek túllépése nem éri el azt a veszélyességi szintet, mint amit az első fordulat megkíván. A Kúria irányadó jogértelmezése alapján nagyon szűk elméleti lehetőségekre szorítható a tényállás alkalmazhatósága. A rendszer védelmét biztosító technikai intézkedés ugyanis elsősorban a "belépés", azaz az információs rendszer funkcióihoz történő hozzáférés viszonylatában értelmezhető. Ha a belépés a rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával eleve jogosulatlan volt, akkor a jogosulatlan bent maradás megállapításának a minősítés szempontjából már nincs jelentősége. A rendeltetésszerű, jogosultkénti belépés pedig feltételezi, hogy az illető birtokában vagy ismeretében van azoknak az eszközöknek, illetve jelszavaknak vagy technikai megoldásoknak, amelyek a belépéshez szükségesek. Az eseti döntés alapján tehát a tényállás úgy értelmezendő, hogy az elkövetés tényállásszerűségéhez szükség van az információs rendszer olyan védelmére is, amely a jogszerű hozzáférés valamilyen terjedelmi - pl. időbeli - szempontú korlátozására is kiterjed. Azonban, ha a belépés rendeltetésszerű volt, akkor a védelmi intézkedések megsértése, megkerülése, kijátszása jó eséllyel csak a rendszeren belüli adatmanipulációval valósítható meg. Azonban minden további, az információs rendszeren belül végzett, az ott kezelt adatokat érintő jogosulatlan művelet nem az (1) bekezdés, hanem a (2) bekezdés szerint minősül. Ezért e jogértelmezés gyakorlatilag kiüresíti a jogosulatlan bent maradás elkövetési magatartást.
Nem szükséges, hogy az elkövető bármilyen műveletet végezzen az információs rendszerben. Az illetéktelen hozzáférés önmagában olyan esemény, amely kedvezőtlen a rendszer, illetve annak jogszerű használója számára. Álláspontom szerint már az is tényállásszerű, ha egy úgynevezett távoli hozzáférést biztosító programot (remote access tool, RAT, pl. Anydesk) a jogosult az elkövető tévedésbe ejtése következtében maga telepít a számítógépén, és maga alakítja ki a két (az elkövető és a sértett) információs rendszere közötti kapcsolat lehetőségét. Függetlenül attól, hogy az ehhez szükséges adatok bevitele a jogosult által és az elkövető közreműködésével történik, mégis csak az elkövető teremti meg a jogosulatlan hozzáférés lehetőségét. Nem társul eredmény a Btk. 423. §-ának (1) bekezdésébe ütköző elkövetési magatartásokhoz, ám ettől még e fordulatokhoz szintén kapcsolódhat a minősített eset, így pl. a közérdekű üzem elleni elkövetés.
Az a) pont szerinti elkövetési magatartás a számítástechnikai rendszer működésének jogosulatlan akadályozása. A törvény nem határozza meg az elkövetés módjait, nyitott törvényi tényállásról, eredménybűncselekményről van szó. Ennek megfelelően nem kizárólag informatikai műveletekkel, így pl. adat bevitele, továbbítása, megváltoztatása, törlése, illetve egyéb művelet végzése útján valósítható meg, hanem más olyan behatással is, amely a rendszer működését akadályozza. Álláspontom szerint ezért az információs rendszer rendelkezésre állását biztosító, a fizikai védelem tárgyát képező rendszerelemeket érintő külső behatások is tényállásszerűek lehetnek. Ilyen eset állhat fenn pl. a szerverszoba klimatizálását szolgáló berendezések megrongálása esetén. A jogalkotó ugyanis a nyitott törvényi tényállással a korábbi elkövetési módokat már nem nevesítette.
A továbbiakban annak értelmezése szükséges, hogy milyen következmény értelmezhető akadályozásként. Kérdés, hogy a legtágabb értelemben véve minden olyan eset akadályozásként minősül-e, ha az információs rendszer az adott funkció végrehajtására nem alkalmas, vagy csak azon esetek tartoznak ide, amikor a rendszeren belüli adatfeldolgozás vagy valamely rendszerelem hibája miatti átmeneti vagy tartós működésképtelenség lép fel. Az első esetben az információs rendszerben nem keletkezik üzemzavar, hiba, a program az adott funkció végrehajtását el tudná végezni, annak integritása nem sérül. A második esetben az információs rendszeren belül történik a rendszert érintő hátrányos változás, amely kihat a funkciók végrehajtására, mert például meghibásodik egy rendszerelem vagy program.
A megkülönböztetés relevanciája azzal érzékeltethető, ha az információs rendszeren kívüli olyan eseményeket vizsgálunk, mint a szenzor által mért környezet, az így gyűjtött és rögzített információk manipulálása. Ha a szenzor funkciója az információs rendszer számára rögzítendő információ elektronikus adattá konvertálása és ekként az információs rendszerbe történő bevitele, akkor a cselekmény a b) pontban meghatározott bűncselekményt nem alapozza meg, mert az adat bevitelét a tényállás nem határozza meg. A valóságnak nem megfelelő adat ténye ily módon irreleváns. Viszont az a) pont esetében az adat bevitele tényállásszerű lehet. Ha a szenzor éppen a környezet érzékelését, mérését és emiatt az adat bevitelét nem tudja teljesíteni, akkor e szituációnak a rendszer működésének akadályozásaként való értelmezése megkérdőjelezhető.
Szűk értelemben véve akkor akadályozott a rendszer működése, ha az információs rendszer funkciói, a benne kezelt adatok a jogosultak számára elérhetetlenek, a rendszer nem vagy valamilyen módon korlátozottan áll a jogosult felhasználók rendelkezésére. Az akadályozás csak abban az esetben állapítható meg, amennyiben az jelentős az adott rendszer működésének következményeihez viszonyítva, de ide kell érteni azt is, ha a rendszer üzemeltetője az adatfeldolgozás esetén a feladatait a továbbiakban nem, vagy csak jelentős többletráfordítással tudja ellátni.[26]
- 9/10 -
Nem kizárt e bűncselekmények kísérlete. A korábban hivatkozott alapdefiníciók alapján egyértelmű, hogy az információbiztonság az adat és az információs rendszer védelmét tágabban értelmezi és a büntetőjogi védelemhez képest korábban vezeti be. Célszerű ezért megvizsgálni azt is, hogy egyes tényállásszerű cselekmények eredménytelensége miként értelmezhető.
A védelmi intézkedések egyik jogszabályban is meghatározott eleme az ún. korai figyelmeztető rendszer. A korai figyelmeztetés valamely fenyegetés várható bekövetkezésének jelzése a fenyegetés bekövetkezése előtt annyi idővel, hogy hatékony védelmi intézkedéseket lehessen hozni.[27] Az elektronikus információbiztonsági korai figyelmeztető rendszerre vonatkozó részletszabályokat a 214/2020. (V. 18.) Korm. rendelet határozza meg. A Korm. rendelet alapján [1. § g) pont] a korai figyelmeztető rendszer egy központosított előrejelző rendszer, amely az egyes egyirányúan összekapcsolt védett elektronikus információs rendszerek hálózati forgalmának szenzorokkal történő elemzésével automatizált módon azonosít információbiztonsági kockázatokat, valamint biztonsági eseményekre, adatokkal való visszaélésre vagy ezek kísérletére utaló eseményeket. A figyelmeztető rendszer és a védett rendszer kapcsolatának egyik eleme az ún. forgalomkicsatoló eszköz, ami a korai figyelmeztető rendszer határán elhelyezkedő olyan eszköz, amely a hálózati forgalom másolatát elvezeti a korai figyelmeztető rendszer szenzorai felé [1. § a) pont]. Ez a rendszerelem álláspontom szerint már nem a védett rendszer része, hanem a védett rendszerhez kapcsolódó, annak védelmét szolgáló technikai intézkedések egyik eleme. A védett infrastruktúra a védett intézmény korai figyelmeztető rendszerhez csatlakoztatott, annak szenzorai által felügyelt, elektronikus információs rendszere [1. § j) pont]. A szenzor pedig a korai figyelmeztető rendszerbe integrált, olyan hálózati forgalommonitorozó célhardver, amely dedikált hálózati kapcsolattal rendelkezik a védett infrastruktúra felé, a védett rendszer szempontjából logikailag egyirányú eszköz, amellyel az aktív beavatkozás lehetősége kizárt [h) pont].
A figyelmeztető rendszer működésének célja tehát egy, az információs rendszer ellen megindított cselekményről való információszerzés a hatékony elhárítás érdekében. Álláspontom szerint büntetőjogi tekintetben, a támadás elhárításának lehetőségétől és képességétől függetlenül, a fenyegetésként értékelt olyan események, amely tervszerű elkövetési magatartás kifejtésének kezdeti folyamatát (következményét, eredményét) jelentik, kísérleti szakaszba juttatják a bűncselekményt. Azaz a korai figyelmeztető jelzés hatékony működése esetén egy DDOS-támadás sikeres elhárítása (pl. sinkhole vagy honeypot) révén befejezett kísérletként értékelhető.
A b) pont szerinti elkövetési magatartások az adatok megváltoztatása, törlése vagy hozzáférhetetlenné tétele.[28] Az adat megváltoztatása az adat tartalmának műszaki úton való változtatása. Az adatok megváltoztatása az adatok tartalmának technikai megváltoztatását jelenti, az adatok módosítása következtében a hordozott információ változik meg.
Az adat törlésével az adat kikerül a rendelkezésre jogosult rendelkezési köréből, szoros értelemben véve megsemmisül, azaz az adathordozóról történő visszaállítása lehetetlen. Az objektív szemlélettel szemben indokoltabb azonban az elkövető tudattartamát előtérbe helyezni, azaz töröltnek kell tekinteni azt az adatot is, amit csak különleges szakértelem és eljárások eredményeként lehet visszaállítani.[29] Az elkövetési magatartás ez esetben a jogosulatlan, illetve jogtalan programmanipulációval fogalmazható meg, amely jelentheti a védelemben részesített adatok megváltoztatását, amely gyakorlatilag a programutasítások teljes vagy részleges átírását, a program lefutásának megváltoztatását is jelenti. A törvény megfogalmazásából következik, hogy akár egyetlen adat törlésével is befejezett a bűncselekmény. Amennyiben az adaton végzett jogosulatlan művelet a számítástechnikai rendszer működésének akadályozását is eredményezi, akkor a (2) bekezdés a) pontjában meghatározott cselekmény is megvalósul, ugyanakkor álláspontom szerint az alaki halmazat feloldásának módja az lehet, ha az érintett adat jellegét megvizsgáljuk. Ha az adat a rendszer rendeltetésszerű működését szolgálja - pl. valamilyen programrész -, akkor az a) pont szerinti magatartás valósul meg. Ha az adat tartalmának van jelentősége - pl. dokumentum törlése esetén - és az adatmanipuláció nincs kihatással a rendszer működésére, akkor a b) pont szerinti alakzat valósul meg.
Az adatok hozzáférhetetlenné tétele azt jelenti, hogy a rendelkezésükre jogosult személy számára az adat nem áll rendelkezésre, az adattal - annak valamely tulajdonsága miatt - műveletet nem tud végezni, de álláspontom szerint idetartozik az az eset is, ha az adat által hordozott információt nem tudja elérni. Az adatok elérhetetlenné tétele magában foglalhatja az adatok titkosítását, áthelyezését vagy a hozzáférés más technológiai megtagadását bárki számára (pl. ransomware). Az adatok elérhetetlenné tételével ellehetetlenül a jogosult rendelkezési joga. Az adatok (tartalma) tehát nem pusztul el, továbbra is létezik, csak a jogosultat megfosztja az adatok kezelésének lehetőségétől.
A tanulmány második részében a Btk. 424. §-ában meghatározott bűncselekmény, a súlyosabb minősítést megalapozó esetek elemzése, továbbá halmazati és elhatárolási kérdések tárgyalása következik. ■
JEGYZETEK
[1] A kézirat lezárva: 2022. október 3.
[2] Ibtv. 1. § (1) bek. 25. pont.
[3] Ibtv. 1. § (1) bek. 1. pont.
[4] A támadás eredendően emberi magatartást feltételez, mégpedig szándékos emberi magatartást, tudjuk azonban, hogy az adat sérülését eredményezheti emberi gondatlanság, de az embertől független körülmény, pl. természeti jelenség, mint pl. a villámcsapás is.
[5] A meghatározás felöleli a számítógépes rendszeren túl a kommunikációs rendszert is, illetve minden, akár fizikai eszközök, akár elektronikus vagy rádióhullámok útján összekapcsolt, információáramlást, adatkezelést lehetővé tevő rendszert. Lényeg, hogy ezen definíciók ismérvei alapján az informatikai rendszer fogalma kiterjeszthető az úgynevezett nagyszámítógépekre, irodai rendszerekre, munkahelyi számítógépekre (pc-k, laptopok, munkaállomások), mikroszámítógépekre (ilyen lehet a mobiltelefonok chipkártyája), kommunikációs rendszerekre, számítógép-hálózatokra.
[6] Ibtv. 1. § (1) bekezdés 14b. pont.
[8] Égen-Földön informatika 801. o.
[9] Az ISO (International Standards Organisation) az ISO 27000-es szabványcsaládot tartja fenn az információvédelemmel összefüggő szabványok részére.
[10] Csuka Dénes - Gasparezt András - Tarján Gábor - Dósa Imre: Szabványos információbiztonság, ISO 27001-nek való megfelelés - Információvédelmi fogalmak. in: Takács Tibor (szerkesztő): Az informatikai jog nagy kézikönyve. Complex Kiadó, Budapest, 2009. 688. o. Lásd egy korábbi forrásban részletesebben: az Informatikai Tárcaközi Bizottság 12. számú ajánlása az informatikai rendszerek biztonsági követelményeiről.
[11] Ibtv. 1. § (1) bekezdés 15. pont.
[12] Ibtv. 1. § (1) bekezdés 8. pont.
[13] Ibtv. 1. § (1) bekezdés 38. pont.
[14] Ibtv. 1. § (1) bekezdés 39. pont.
[15] Ibtv. 1. § (1) bekezdés 44. pont.
[16] Ibtv. 1. § (1) bekezdés 48. pont.
[17] Ibtv. 1. § (1) bekezdés 31. pont.
[18] Ibtv. 1. § (1) bekezdés 21. pont.
[19] Ibtv. 1. § (1) bekezdés 9. pont.
[20] Ibtv. 1. § (1) bekezdés 41a. pont.
[21] Ibtv. 1. § (1) bekezdés 19. pont.
[22] Ibtv. 1. § (1) bekezdés 40. pont.
[23] Szabó Imre: Informatikai bűncselekmények. in: Takács Tibor (szerkesztő): Az informatikai jog nagy kézikönyve. Complex Kiadó Budapest, 2009. 607. o.
[24] Ibtv. 1. § (1) bekezdés 34. pont.
[25] Ibtv. 1. § (1) bekezdés 20. pont.
[26] Szabó (2009.): i. m. 612. o.
[27] Ibtv. 1. § (1) bekezdés 32. pont.
[28] Például számítástechnikai rendszer és adatok elleni bűncselekményt valósít meg a főiskola számítástechnikai hálózatának felügyeletét ellátó informatikus, aki a hallgatók vizsgakötelezettségét és vizsgaeredményeit nyilvántartó számítástechnikai rendszerben levő adatok jogosulatlan megváltoztatásával - a vizsgát előírás ellenére nem tett hallgatóval kapcsolatban - olyan adatokat rögzít a rendszerben, amelyek szerint a hallgató a meghatározott tantárgyból eredményes vizsgát tett (BH 2009.264.).
[29] Szabó (2009.): i. m. 610. o.
Lábjegyzetek:
[1] A szerző mb. fellebbviteli főügyészhelyettes, Fővárosi Fellebbviteli Főügyészség.
Visszaugrás
