Ha éjszaka arra ébrednénk, hogy egy idegen bejutott a lakásunkba, és épp az ágyunk fejtámlája mögött lopakodik, vajon szívesen látnánk a vendéget? Megérdeklődnénk tőle, hogy etikus vagy etikátlan betörővel van dolgunk? Az informatikai rendszereink biztonsága hasonlóan kényes ügy: aki felhatalmazás nélkül tör be egy hálózatba, az kétségtelenül hacker – de semmiképp nem etikus.
Bár alapvetően senki nem rajong érte, ha rámutatnak a hibáira, ezt az emocionális luxust egy nagyvállalat nem engedheti meg magának. A gyakran sokezer személyes adatot kezelő céges informatikai rendszerek maximális védelme alapvető elvárás mind a társaságok ügyfelei és munkavállalói, mind vezetői és tulajdonosai részéről, így az esetleges biztonsági rések befoltozása minden érintett számára fontos. A vállalatoknak épp ezért elemi érdekük, hogy megbecsüljék azokat, akik tesztelik a védelmet és segítenek azonosítani a réseket a pajzson. Idáig minden világos. De mi a helyzet akkor, ha valaki ezt kéretlenül, saját szakállára teszi?
„Súlyos félreértés van az emberek fejében az „etikus hacker” jelenség kapcsán. Valóban léteznek etikus hackerek, de ezek nem önjelölt csodainformatikusok, hanem jól képzett, információbiztonságra szakosodott szakemberek, akik egy legalább húsz éve lefektetett szabályrendszer mentén végzik a munkájukat” – mondja Frész Ferenc, Magyarország egyik legfontosabb kiberbiztonsággal foglalkozó vállalata, a Cyber Services Zrt. vezérigazgatója. A szakember szerint a hazai és a nemzetközi jogszabályok is egyértelműen fogalmaznak: ha valakit nem kérnek fel kifejezetten egy informatikai hálózat biztonsági tesztelésére, és ennek ellenére, önhatalmúlag betör oda, akkor bűncselekményt követ el – függetlenül attól, hogy utána önként jelentkezik-e a rendszer üzemeltetőjénél.
A közelmúltban nagy port kavart a magyar sajtóban az az ügy, melynek kapcsán az illetékes ügyészség komoly, akár nyolc év börtönnel is büntethető bűncselekmény miatt emelt vádat egy, a Telekom rendszerébe több alkalommal behatoló fiatal hacker ellen. „A sajtó automatikusan „etikus hackerként” emlegeti a fiatalembert, holott világosan látszik, hogy megsértette a legalapvetőbb szakmai normákat. Az első betörés után valóban jelezte a rendszer üzemeltetőinek a biztonsági rést, ám miután a Telekom nem tett az elvárásainak megfelelő ajánlatot, ismét belépett a rendszerbe – ráadásul ekkor már nem is jelentette ezt. Ha a Telekom ezután nem tett volna feljelentést, akkor nem jár el az előírt körültekintéssel az általa kezelt személyes adatok védelme érdekében” – magyarázza Frész Ferenc.
A szakértő hangsúlyozza: a konkrét esetben nem tartja indokoltnak a maximális büntetés kiszabását, hiszen ez nem lenne arányos a betörés következményeivel. Ez azonban egy szerencsés helyzet – történhetett volna sokkal rosszabbul is. A kéretlen betöréssel a hacker akaratlanul olyan károkat okozhat, amelyek az általa megtalált biztonsági résnél is nagyobb kockázatot jelenthetnek. Az agresszív behatolás következtében fontos adatok veszhetnek el, megsérülhetnek biztonsági védővonalak, súlyosabb esetben a teljes rendszer leállhat. Nem véletlen, hogy a céges hálózatok sérülékenységét mindig a belső rendszermérnökök felügyelete mellett végzik.
Bár előfordul, hogy sikeres és bejelentett behatolás után egy vállalat alkalmazásba veszi a rendszerét feltörő hackert, fontos látni, hogy ez a szituáció nem lehet alapja egy korrekt tárgyalásnak. A helyzet ugyanis akár így is olvasható: adott egy bűnöző, aki eldicsekszik azzal, hogy képes kirabolni valakit, de ha jól megfizetik, hajlandó ezt a tudását arra használni, hogy távol tartsa a konkurens kollégákat. Ezt az üzleti modellt az éjszakai életből ismerhetjük, és többnyire védelmipénz-behajtásnak hívjuk. Természetesen a konkrét esetben erről nem volt szó, de az analógia rámutat arra, hogy megfelelő keretek lefektetése nélkül a rendszer üzemeltetője rendkívül kiszolgáltatott helyzetbe kerül.
Frész Ferenc szerint az ügy fontos tanulságokat hordoz mind az érintettek, mind a közvélemény számára, mivel rámutat a fejekben élő kép és a gyakorlat közti jelentős különbségekre és a terület szabályozásának pontatlanságára. Jó hír, hogy ezeknek a hiányosságoknak a kijavítása nem megoldhatatlan, sőt Magyarország már tett is fontos lépéseket ebbe az irányba. Tavaly év végén született meg például az új, állami szintű hálózatbiztonsági stratégia, mely részletes útmutatásokat tartalmaz az informatikai rendszerek védelmével kapcsolatban. Az ehhez hasonló irányelvek megfogalmazása elengedhetetlen ahhoz, hogy mindenki számára világossá váljon, a virtuális térben is léteznek határok, melyeket még a legjobb szándék mellett sem illik átlépni.
Aki továbbra is érdeklődik a kibertér szürke zónái iránt, annak ajánljuk figyelmébe a TASZ etikus hackereknek készített útmutatóját.