"Nem kéne az oroszlánok közé dobni" - Kürti Sándor kiáll a Telekom rendszerét feltörő hacker mellett
Mint azt mi is megírtuk, az ügyészség vádat emelt az ellen a médiában etikus hackerként emlegetett fiatalember ellen, aki egy biztonsági rést kihasználva feltörte a Telekom rendszerét, de azt állítja, felhívta a figyelmet a problémára. A cég feljelentést tett, a hacker akár 8 év letöltendő börtönbüntetést is kaphat. Az ügyről az informatikai biztonság egyik hazai szaktekintélyét, dr. Kürti Sándort kérdeztük.
- Kit nevezünk etikus hackernek?
- Nagyon közelről ismerem az adott problémát, hiszen korábban a KÜRT is képzett etikus hackereket. Maga a képzés is hosszú folyamat. A képzés befejezése után az etikus hackernek szerződéses viszonyban kell lennie a „védendő” céggel.
Tehát ez nem úgy megy, hogy csókolom, én etikus hacker vagyok, és akkor ott és akkor hackelek ahol éppen kedvem tartja.
Az etikus hacker megbízási szerződéses alapon „támadja” a megbízójának rendszerét, együttműködve a megbízó szakembereivel. Az etikus hackelés szabályozva van, ahogy sok minden más is Magyarországon. Viszont azt az esetet is tolerálni kell, ha valaki beül egy kormány mögé jogosítvány nélkül és egy vajúdó nőt elvisz a kórházba. Erre a személyre, noha törvényt sértett, nem megrögzött bűnözőként kéne tekinteni.
- Ön hogy látja, igazságos lenne a kért büntetés?
- Egy régi történet jut erről eszembe. Egy csata után egy hajó kapitánya a lehető legmagasabb kitüntetésben részesült, mert megnyerte a csatát, és igaz, hogy a hajója oldalán nagy lyuk tátongott, de azt a saját testével védve megmentette a hajót is. Viszont mivel ő volt a felelős azért, hogy a hajó oldalán lyuk keletkezett, közvetlenül a kitüntetése után ki is végezték. Nagyon hasonló a helyzet az itt említett dilemmában is.
„A törvények nem ismerete nem mentesít a felelősségre vonástól”.
Ugyanakkor a bíróságunk éppen azért van, hogy különbséget tegyen elvetemült bűnöző, és megtévedt ember között. Ez a fiatalember nem az elvetemültek közé tartozik.
Én például arra ítélném, hogy büntetésből a Magyar Állam fizesse be őt egy etikus hackerképzésre, és kötelezze annak elvégzésére. Így rablóból a legjobb pandúrok egyikévé válhatna. Nem szabad nem hogy 8 évre, de fél napra sem bezárni, mert ismerem a magyar börtönállapotokat. Ott egy ilyen fiatalembert az első napokban darabokra szednének.
- Tehát összességében a hacker pártján áll?
- Szívesen kiállnék a fiatalember mellett. Mondom mindezt, mint Széchenyi-díjas, és mint olyan ember, aki évtizedek óta foglalkozik informatikai biztonsággal. Tehát tudom, miről szól ez a történet. Igen, törvényt sértett a fiatalember, és egyáltalán nem akarom ezt elbagatellizálni. De nem kéne az oroszlánok közé dobni. Ha felkérnének szakértőnek a tárgyalására, örömmel elvállalnám. Nem kellene egy kapitányt – átvitt értelemben – kivégezni, amikor győztes csatába vitte a hajót. Mert azzal, ahogy ez a fiatalember cselekedett, nagyon sok embert megmentett attól, hogy pórul járjon.
Háromféle hacker van. Black (fekete), grey (szürke) és white (fehér). Az ügyben szereplő illető nem white, mert az olyan hacker, aki előzetesen megbízást kapott a cégtől. De nem is black, mert nem okozott kárt, nem élt vissza a feltárt hibával. Amit ő csinált, azt hívják greynek. A szabályozatlanság határán egyensúlyozva talál öntevékenyen (és jogellenesen) egy hibát, de azzal nem él vissza, hanem jelzi. Amit ő tett, formailag kimeríti a grey hackerkedés büntetőjogi tényállását, mert jogosultság nélkül fért hozzá egy informatikai rendszerhez. Innentől az a kérdés, hogy veszélyes-e a társadalomra a grey hacker cselekménye vagy sem.
https://www.szeretlekmagyarorszag.hu/nem-kene-az-oroszlanok-koze-dobni-kurti-sandor-kiall-a-telekom-rendszeret-feltoro-hacker-mellett/
Ez egy rajtaütés! Adja át a telefonját!
A Gazdasági Versenyhivatal egyre szigorúbban csap le, célkeresztben a kkv-k. A hajnali rajtaütés jogintézményéről dr. Kocsis Márton ügyvéd foglalja össze a legfontosabb tudnivalókat.
A napokban adta ki legújabb tájékoztatóját a Gazdasági Versenyhivatal (GVH), ezúttal az előzetes értesítés nélküli helyszíni ellenőrzések, a szakirodalomban hajnali rajtaütésnek („dawn raid”) nevezett sajátos jogintézmény kapcsán. A hajnali rajtaütések a kartellek elleni harcban a legfontosabb fegyverek a GVH eszköztárában, ugyanakkor a gyanúba került cégek jogai is itt sérülhetnek a legnagyobb mértékben. A legfontosabb szabályokat a CHSH Dezső és Társai szakértő ügyvédje, dr. Kocsis Márton ismerteti.
Elég a gyanú is
A GVH előzetes értesítés nélküli helyszíni vizsgálatokat tarthat, amennyiben megfelelően valószínűsíti, hogy a vizsgálattal érintett vállalkozás kartellezésben vagy erőfölénnyel való visszaélésben érintett. A GVH akkor is rajtaüthet a cégeken, ha fúzióik során nem tartják be a versenyjogi szabályokat, vagy félrevezetik a Hatóságot. Garanciális elem ugyanakkor, hogy a GVH csak bírói jóváhagyással végezhet rajtaütéseket.
A GVH vizsgálói tehát előzetes figyelmeztetés nélkül, váratlanul bukkanhatnak fel, így a meglepetés erejénél fogva számos olyan bizonyítékot képesek felkutatni, amelyek a versenyjogi jogsértés bizonyítékai lehetnek. A vizsgálattal érintett vállalkozások, akik pedig elszenvedői ennek a kellemetlen szituációnak, szinte semmit sem tehetnek a hatósági szigorral szemben. A GVH tájékoztatója ugyan segíthet a felkészülésben, ugyanakkor minden vállalkozásnak érdemes azon is elgondolkodnia, hogy megfelelő szakértelemmel rendelkező jogi segítséget vesz igénybe, nemcsak tényleges rajtaütés, hanem az azt megelőző fölkészülés idejére is.
Ráadásul a GVH tájékoztatása szerint egyre többször elszenvedői az ilyen kutatásoknak a hazai kkv-szektor képviselői is, akiknek nem állnak rendelkezésére a nagy cégekhez mérhető erőforrások a felkészülésre. Ezért elengedhetetlen, hogy a kisebb cégek vezetői is tisztába legyenek az alapvető szabályokkal.
Magánlakások is „veszélyben”
Bírói engedély birtokában a GVH szakemberei ráadásul nemcsak cégek székhelyén, de a vizsgálattal érintett cégvezetők, érdekeltek otthonaiban, magánhasználatú autóiban is kutakodhatnak. Nem érdemes tehát a terhelő bizonyítékokat otthon a szennyestartóban tárolni, mivel az végül onnan is előkerülhet.
A GVH – amennyiben ellenállást tapasztal – a rendőrség közreműködését is igényelheti, így az ellenszegüléssel (a porta lezárása, tűzriadó élesítése, az ajtó becsapása a vizsgálók előtt – mind megtörtént eset) sem érdemes próbálkozni. A kutatások jellemzően munkanapokon, délelőtt 10 órakor kezdődnek, és a munkanap végéig tartanak, de ettől speciális esetekben a Hivatal eltérhet. Előfordulhat az is, hogy a hatóság több napig marad a nem tervezett „vendégségben”.
A bírói engedély átvétele után a cégek alkalmazottai kötelesek jóhiszeműen együttműködni a GVH szakembereivel, és minden szükséges tájékoztatást részükre megadni annak érdekében, hogy eredményes legyen a kutatás. Ugyanakkor azt is fontos tudni, hogy a hatóság keresztkérdéseire, ami magára a gyanúra vonatkozik, célszerű csak jogi képviselő jelenlétében válaszolni, mert a felkészületlen kollégák sok stresszes rajtaütési helyzetben sodorták már bajba vállalkozásukat a meggondolatlan nyilatkozataikkal.
Telefonok, tabletek, határidőnaplók: minden lehet bizonyíték
A GVH vizsgálói elsősorban írásos vagy elektronikus bizonyítékokat keresnek. Jellemző, hogy a cégvezetők magánhasználatú mobiltelefonjait is átvizsgálják, amennyiben rögtön nem bizonyítható, hogy azt csak magánhasználatra tartja az illető személy. Rendszeresen elkérik a kulcspozícióban lévő munkatársak laptopjait, jegyzeteit, határidőnaplóit is. Az sem lehet akadály, ha a kérdéses eszköz nincs a helyszínen, azt a hatóság szakemberei távolról is zár alá vehetik, ilyen esetekben a terhelő adatok utólagos eltüntetése súlyosan szankcionálható.
A GVH technikailag igen fejlett arzenállal rendelkezik az elektronikus bizonyítékok összegyűjtésére. Modern szoftvereik és hardvereik segítségével még a véglegesen törölt állományokat is helyre tudják állítani, nem éri tehát meg trükközni próbálni az adatokkal. A vizsgálók egész szerveket, postafiókokat is le tudnak másolni, ráadásul úgy, hogy azok minden kétséget kizárólag tanúsítani tudják az e-mailek, dokumentumok eredetiségét. Szintén kötelessége a kutatással érintett cégeknek, hogy a távoli szerverekhez, felhőben tárolt adatokhoz is hozzáférést biztosítsanak a rajtaütés során. Ezen felül a szigorú vizsgálók akár le is állíthatják a cég levelezését, illetve blokkolhatják telefonvonalaikat is.
Súlyos bírságok
A GVH egy-egy kartellügy végén a jogsértőnek bizonyuló vállalkozásokra akár milliárdos bírságot is kiszabhat (az előző évi nettó árbevétel 10 %-áig terjedhet a bírság). Ugyanakkor magán a rajtaütésen is könnyen szorult helyzetbe kerülhet egy-egy cég, mivel együtt nem működés esetén eljárási bírság is kiszabható. a GVH például 10 millió forintra bírságolt egy vállalkozást, aki nem működött együtt a rajtaütésen, de az Európai Bizottság kiszabott már 38 millió eurós büntetést is egy hatósági zár feltörése miatt.
Mit tehetünk tehát?
Fontos, hogy a GVH vizsgálóival a helyszíni kutatás során együtt kell működni, és nem ajánlott a bizonyítékok eltüntetésével sem próbálkozni. Ugyanakkor fontos azt is látni, hogy a hatóság jogosítványai sem korlátlanok.
Egyrészről, mindenképpen segít, ha az érintett vállalkozást nem éri váratlanul a GVH vizsgálata. Előzetes tréninggel, belső szabályzatokkal, és próba rajtaütésekkel is lehet javítani az érintettek kitettségén. Másrészről pedig az is fontos, hogy pártatlan, higgadt és professzionális segítséget kapjanak az érintettek egy olyan helyzetben, ahol a váratlanul kialakuló stresszhelyzetben természetszerűleg hajlamosak lennének előnytelen döntéseket hozni.
A rajtaütésekről a GVH tájékoztatóján kívül a CHSH Dezső és Társai Ügyvédi Iroda tematikus honlapján tudhat meg többet.
https://uzletem.hu/jogadokonyveles/ez-egy-rajtautes-adja-at-a-telefonjat
