“Büszkén mondhatjuk, hogy Magyarország világszinten is az elsők között dolgozott ki kibervédelmi stratégiát és teremtett ehhez megfelelő jogszabályi környezetet” – mondja Krasznay Csaba kiberbiztonsági szakértő, a Nemzeti Közszolgáltai Egyetem oktatója, a Kiberbiztonsági Kutatóintézet vezetője, aki hangsúlyozza, “jóhiszeműen eljárva nem válhatunk kiberbűnözővé”. Kiberbűnözésről és kibervédelemről beszélgettünk, a kibertérhez kapcsolódó fogalmakat tisztáztunk.
Kit nevezünk kiberbűnözőnek? Válhatunk-e kiberbűnözővé jóhiszemű magatartással?
A kiberbűnözőt a laikusok többsége úgy képzelik el, mint egy kiváló hackert, aki nagy informatikai szaktudással rendelkezik, így bármit fel tud törni, bárhova be tud jutni – a valóságban azonban a kép ennél sokkal összetettebb. Ma már gyakorlatilag szaktudás nélkül is bárki, akinek erre irányuló bűnös szándéka van lehet kiberbűncselekmény elkövetője.
A szakzsargonban megjelent a „crime as a service” fogalom, amely leegyszerűsítve azt jelenti, hogy a technikai ismereteimet, a tapasztalatok útján szerzett tudásomat szolgáltatom azoknak, akik ezzel a tudással nem rendelkeznek, annak érdekében, hogy a szolgáltatásom segítségével bűncselekményt kövessenek el. A kiberbűnözői csoportok gyakorlatilag bérbe adják azokat az infrastruktúra elemeket, amelyek segítségével pl. egy adathalász kampányt megfelelően össze lehet állítani. Nem is a know-howt, hanem magát az eszközt adják bérbe – a hozzáférést azokhoz a hardver, vagy szoftver elemekhez, amelyeken keresztül a csalás megvalósítható, a megfertőzött számítógépeket, okostelefonokat, okoseszközöket.
Fontos kiemelni, hogy a szándékosság lényegi eleme a kiberbűnöző elkövetői magatartásának – jóhiszeműen eljárva nem válhatunk kiberbűnözővé.
Mit jelent a kiberbűnözés? Mikor jelent meg a fogalom? Tipizálhatóak-e ezek a bűncselekmények?
A kiberbűnözés kifejezés alapvetően a számítástechnikai, illetve az informatikai bűnözés fogalmából alakult ki. 20 évvel ezelőtt maga a kibertér, mint fogalom hivatalosan még nem is létezett. Az Európa Tanács 2011-ben Budapesten elfogadott rendelete, a Budapest Egyezmény (Európa Tanács Számítógépes Bűnözés elleni Egyezménye) volt a jogterület szempontjából az a kiemelten fontos jogi aktus, amely gyakorlatilag egész Európában és világszerte is lefektette a kiberbűnözéssel kapcsolatos jogi háttér alapjait – és ebben a dokumentumban már szerepelt a kiberbűnözés fogalma.
Az Egyezmény körülírja azokat a bűncselekmény típusokat, amelyek az informatikai bűnözéshez kapcsolódnak. Ezek tipikusan számítógép segítségével követhetők el, de az elkövetési eszköz nem kizárólagos eleme a kiberbűnözés fogalmának. Ma már egy csalásban, vagy akár egy betörésben, mint elkövetést segítő eszköz a számítógép is megjelenik, de önmagában ettől még nem minősül a bűncselekmény kiberbűncselekménynek.
Elsősorban tehát a klasszikusan számítógép segítségével elkövetett bűncselekményeket tekintjük kiberbűncselekményeknek, mint például a számítástechnikai rendszer és számítástechnikai adat hozzáférhetősége, sértetlensége és titkossága elleni bűncselekmények (hacking), az kibertérben elkövetett adatlopás (adathalászat), titoksértés és adatmanipuláció, a gyermekek ellen elkövetett szexuális visszaélések az online térben (gyermekpornográfia), a bankkártya-csalások, illetve azok a csalások, hamisítások, amelyeknek nincs a fizikai térben megjelenő változata.
A Büntető Törvénykönyvben nincs olyan fejezet, hogy kiberbűncselekmények. A tényállások kellően általánosan vannak megfogalmazva ahhoz, hogy lehessen azokat használni az újabb és újabb elkövetési módszerekre, melyeket lehetetlen lenne a törvényben mindig átvezetni. A jogi megfogalmazások – mint például információs rendszer vagy adat megsértése – a gyakorlatban sok mindent lefednek, így képesek kiállni az idő próbáját.
Mikor vált a világ országai számára nyilvánvalóvá, hogy globálisan foglalkozni kell a kiberbűnözéssel, illetve a jelenséggel szembeni hatékony fellépéssel, vagyis a kibervédelemmel? Magyarország mióta kezeli stratégiai szinten a problémát?
A 2000-es évek elejtől világszerte kezdett terítékre kerülni a kibertámadásokkal szembeni fellépés témája, de a 2007-es Észtország elleni kibertámadás volt az a mérföldkő, amikor minden fejlett ország elkezdte komolyan venni a kibervédelem feladatkörét. A 2010-es évet követően több olyan esemény is történt a világban, amely nyilvánvalóvá tette, hogy állami intézményrendszer nélkül nem lehet megvédeni egy országot ilyen jellegű támadástól.
Büszkén mondhatjuk, hogy Magyarország világszinten is az elsők között dolgozott ki kibervédelmi stratégiát és teremtett ehhez megfelelő jogszabályi környezetet. Nem sokan jártak előttünk 2010 és 2013 között ezen területen. A 2012-es Nemzeti Biztonsági Stratégia már foglalkozott a kibertérből érkező fenyegetések kérdésével, 2013-ban pedig megszületett Magyarország első Nemzeti Kiberbiztonsági Stratégiája.
És hogyan viszonyulnak a kiberbűnözéshez, hogyan kezelik a jelenséget a világ más államaiban?
Azt látjuk, hogy a kiberbűnözés elleni küzdelem képessége északról délre, az ezzel kapcsolatos felderítési szándék pedig nyugatról keletre gyengül.
Hogy érhető legyen: A kiberbűnözői csoportok egyik jelentős központja, ‘tartózkodási helye’ Oroszország, illetve a volt Szovjet Köztársaság területe, mégis – a nyugati világgal ellentétben – mintha hiányozan ezekben a keleti országokban a felderítési szándék, az akarat – főként most a háború kapcsán – arra, hogy „utána menjenek” ezeknek a bűnözői csoportoknak. Ami pedig az észak-déli viszonylatot illeti, a klasszikus online csalások melegágya Afrika nyugati része, főként Nigéria és környéke, itt viszont elsősorban a képesség hiányzik a bűncselekmények felderítéséhez.
Ezek a külnbségek problémát okoznak globális szinten, jelentősen megnehezítik más államok bűnüldöző szerveinek a dolgát. Az orosz és afrikai bűnelkövetői csoportok kapcsolattartói ugyanis átlépik az országhatárokat, megjelennek a világ más részein, így többek között hazánkban is, azonban a származási ország hatóságainak szándéka és képessége nélkül roppant nehéz az elfogásuk.
A kibertér nem ismer határokat, így a kiberbűncselekmények sem. Sikerül a világ államainak globálisan, nemzetközileg együttműködve felvenni a harcot a kiberbűnözéssel?
A képesség minden országban megvan arra, hogy felismerjék a bűncselekményt, illetve nyomozzanak az adott tárgyban, és a bizonyítékok beszerzésének képessége is gyorsan fejlődik világszerte. Az utolsó láncszem azonban rendre hiányzik: a felderítés sikeres, megvan az elkövető vagy akár az elkövetői kör is, mégsem kerülnek kézre, lokálisan nem kerül sor letartóztatásra. Oroszországban például helyi bűnüldöző szervek az elmúlt években gyakorlatilag nem tartóztattak le kiberbűnözőt.
A jól működő nemzetközi együttműködések terén az Europol (Európai Rendőrségi Hivatal) és az Interpol (International Criminal Police Organization – Nemzetközi Bűnügyi Rendőrségi Szervezet) szerepét és jelentőségét kell kiemelni. Az Europol kiberbűnözés elleni fellépése rendkívül hatékony. Példaként felhozható, ahogy az elmúlt években igen kiterjedt, országhatárokon átívelő pedofil hálózatokat sikerült felszámolni az Europol égisze alatt, melynek keretében több országban is történténtek letartóztatások. A gyermekek elleni szexuális visszaélések terén egyre jelentősebb az Interpollal való jó együttműködés szerepe is.
Statisztikailag melyik a leggyakoribb bűnelkövetési magatartás a kibertérben? Maradjunk elsősorban Magyarországnál.
Egyértelműen a csalásokat emelném ki – ezt támasztják alá a magyar rendészeti statisztikák is. A csalások mára már gyakorlatilag teljesen áttevődtek a kibertérbe. A legnépszerűbbek jelenleg az adathalászatra épülő cselekmények, az álhíreken alapuló social media csalások, a zsarolóvírusok és a business email compromise csalások.
Hazánkban az online csalások számának ugrásszerű növekedése egyértelműen a Covid-járvány hatásaként könyvelhető el. A karantén-időszakban ugyanis megjelentek az online térben azok a potenciális „áldozatok”, akiknek a nagy része korábban nem használt internetet – itt kifejezetten az idősebb generációra gondolok. A csalók pedig tipikusan az idősebb generációt célozzák meg, akik előzményi felhasználói ismeret és felkészültség nélkül regisztrálnak fel különböző oldalakra és válnak aktív közösségi médiafelület használóvá.
Magyarországon a kibertérben elkövetett pedofil bűncselemények száma nagyon alacsony, nem gyakori a magyar elkövető. A pedofil tartalomak előállítása inkább tőlünk keletebbre, a fogyasztás pedig nyugatabbra jellemző.
Visszatérve az elkövetőkre, a mindennapi internethasználó gyakorta találkozik a hacker fogalmával. Ki a hacker? Illetve mit jelent az etikus hacker kifejezés? Hogyan határolható el a kettő egymástól?
A hacker szót eredetileg olyan természetes személy megjelölésére használták, aki magas szintű informatikai, programozási és hálózati ismeretekkel rendelkezik, és képes a különféle programok, operációs rendszerek, szabványok, webes alkalmazások fejlesztésére és tesztelésére. Ma már a köznyelvben negatív előjellel használjuk, olyan személyre, aki betör gépekre, képes kódokat feltörni, a hálózatot átkonfigurálni és mindenféle adatokat megszerezni. Hacker alatt az 1980-as évek óta értünk számítógépes bűnözőt, elsősorban a sajtónak köszönhetően.
Eredetileg a hackerek fő tevékenységi területe a különféle biztonsági rések megtalálása és korrigálása, viszont ma már általánosságban úgy tekintünk rájuk, hogy ők azok, akik jogosulatlanul betörnek mások számítógépébe és hálózatába.
A fogalom árnyalása érdekében, a törvényességhez való viszony alapján ezért kekategorizálni kellett, így megkülnböztetünk fehér kalapos, szürke kalapos és fekete kalapos hackereket.
A fehér kalapos hacker az etikus hacker, olyan számítástechnikai szakember, akinek a munka azt szolgálja, hogy a felhasználók biztonságosabban használhassák számítógépeiket. Az etikus hacker tehát szerződéssel (egyéni szakértőként vagy állami keretek között), engedéllyel hajt végre vizsgálatokat. Fontos kiemelni, hogy az etikus hacker fogalmi eleme az, hogy az munkavégzés keretében, engedéllyel végzi a tevékenységét. A kizárólag jó szándék vezérelte hacker tehát nem minősül etikus hackernek!
Vannak mindemellett olyan programok, amelyeken belül bárki megpróbálhat egy rendszert feltörni, a szolgáltatásban a hibákat megkeresni, ezek az úgynevezett „bug bounty” programoknak. Ezeket az adott szolgáltatás termékfejlesztője, szolgáltatója kifejezetten azért hozta létre, hogy az interneten bárki lehetőséget kapjon arra, hogy lejelentsen egy hibát az adott szolgáltatónak.
Szürke kalapos az a hacker, aki öncélúan, jó szándéktól vezérelten hackel meg egy adott rendszert, de erre semmilyen felhatalmazása nincsen. Tevékenysége nem mindig törvényes, de általában nem is káros. A feltört rendszer adatállományát nem semmisíti meg, általában a feltörés nyomait is eltünteti, így a rendszergazda nem is észleli, hogy hálózatát feltörték.
Itt megemlíteném, hogy a Nemzeti Kibervédelmi Intézetnél lehet bejelentést tenni, amennyiben valaki hibát vél felfedezni egy adott rendszerben. Magyarországon két szürke kalapos bejelentő esete vált ismertté – a BKK hacker, valamint a Telekom rendszerét feltörő hacker. Az utóbbi esetben bíróság elé került az elkövető, mivel ráutaló magatartásával jelezte, hogy ellenszolgáltatást vár azért cserébe, hogy ne keressen további hibákat, illetve hogy az általa felfedezett további hibákat ne fedje fel – ezzel pedig ki is merítette a Btk. vonatkozó tényállásait.
A fekete kalapos hacker (vagy ahogy a többi hacker nevezi – cracker) az, aki szaktudását etikátlan módon használja fel. Kifejezetten azért hatol be egy rendszerbe, hogy annak adatállományát megváltoztassa vagy törölje. Általában anyagi érdek vagy politikai elfogultság motiválja, de van, hogy a puszta szórakozás is. A fekete kalaposok írják a különféle vírusokat, férgeket, egyéb kártékony szoftvereket, ők a leghatékonyabb spammelők és adathalászok. Meglehetősen nehéz elkapni őket, mert profi módon álcázzák és védik magukat.
A világszerte ismert álarcos „Anonymus-csoport” tagjai melyik kategóriába sorolhatók?
Az Anonymus-csoport egy úgynevezett hacktivista csoport, amely attól különleges, hogy nincsen egy központi Anonymus, hanem egy decentralizáltan működő csoportról van szó. Ők a politikai aktivizmus megtestesítői az online térben, mivel tevékenységüket egy jól körülhatárolt politikai érdek vezérli. Esetükben tipikusan szabadságharcos motivációról beszélhetünk.
Tisztázzuk akkor az említett hacktivizmus fogalmát is.
A hacktivizmus fogalom a hackelés és az aktivizmus kifejezések összeházasításából ered. A politikai aktivizmus fizikai térben megvalósuló mintáinak az online térben való megjelenése – például „defacement” útján, ami egy weboldal feltörését és átírását jelenti. Kifejezetten ideológiailag motivált tevékenység, leggyakrabban a szólásszabadság, az emberi jogok és az információ szabadsága jegyében, az írott jog szempontjait az etikai, illetve morális szempontoknak rendelik alá.
Magyarországon a már említett Anonymus-csoportnak volt egyfajta politikai aktivitása a 2010-es évek elején, amikor az Alkotmányból Alaptörvény lett – az Alkotmánybíróság honlapját törték fel és írták át ideológiai okok által motiváltan.
Az orosz-ukrán háború is ‘kitört’ az online térben hacktivizmus formájában. A cél itt elsősorban szenzitív és manipulatív információk kiszivárogtatása.
Ha már az orosz-ukrán háború szóba került, ejtsünk szót a kiberhadviselés és a kiberterrorizmus fogalmakról.
A kiberhadviselés kimondottan a katonai tevékenységek megjelenése a kibertérben, mint műveleti térben. Az orosz-ukrán háborúra kifejezetten, aktív elemként jellemzőek az online térben végrehajtott műveletek, tipikusan például a dezinformáció, a befolyásolás, nyílt forrású hírszerzések különböző közösségi hálózatokban fellelhető információkból – ezeket mind a két hadviselő fél aktívan használja.
A kiberterrorizmus ettől eltérő fogalom, amikor terrorcselekmény elkövetői a kiberteret használják félelemkeltés céljából, a politikai rendbe, az ország vezetésébe vetett hit aláásására. Fontos kiemelni, hogy nem minősül kiberterrorizmusnak az online térben finanszírzási vagy propaganda célból cégzett tevékenység.
Hazánkban ezideig még nem követtek el kiberterrorista cselekményt.
Hogyan épül fel a kibervédelem intézményrendszere Magyarországon?
Hazánkban 2013 óta van jogszabályi háttere ezen intézmények működésének. A magyar kibervédelmnek van egy civil, valamint egy katonai ága. A civil ágon a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete felelős elsődlegesen a hatósági eljárások lebonyolításáért, az incidens-kezelések végrehajtásáért, továbbá a Nemzeti Eseménykezelő Központ feladatait is ellátja, emellett pedig mára már gyakorlatilag minden rendőrkapitányságon van kiberbűncselekményekkel foglalkozó szervezeti egység.
A katonai területen a Katonai Nemzetbiztonsági Szolgálat látja el gyakorlatilag ugyanezt a feladatkört. Emellett megvannak azok az egyéb szakosított háttérintézmények, amelyeknek egy-egy részfeladatuk van, így például a Magyar Honvédség Kiberműveleti Parancsnoksága felel a kiberhadviselésért, a Terrorelhárító Központ felelős a kibertérben megvalósuló terrorcselekmények felderítéséért és elhárításárét.
A Nemzeti Nyomozó Iroda Kiberbűnözés Elleni Főosztálya felelős az összetett kiberbűnözések nyomozásáért valamint a határon átívelő cselekményekért. A Külgazdasági- és Külügyminisztériumban található a kiberdiplomáciával foglalkozó testület.
Az elmondható, hogy mindenkinek megvan a maga kis feladat-rendszere, de alapvetően a Nemzeti Kibervédelmi Intézet az, amely a civil területen gyakorlatilag mindenért felelős. E köré szerveződik az ún. kiberkoordináció intézményrendszere. Magyarország kiberkoordinátorának a feladata, hogy az említett szervek közötti kommunikációt elősegítse és azokat együttműködésre ösztönözze a hatékony kibervédelem érdekében.
Ön mit javasol, mit tegyünk, hogy ne váljunk kiberbűncselekmény áldozatává?
Tájékozódás, tudatosság, odafigyelés – ez felhasználói szinten a prevenció kulcsa! A kibertérben könnyű elrejteni a nyomokat, ezért a kiberbűncselekményeket viszonylag nehéz felderíteni, kellő figyelemmel viszont könnyű megelőzni.
________________________________________________________________________________
Dr. Krasznay Csaba a Nemzeti Közszolgálati Egyetem docense, kutatási témája a kiberbiztonság, jelenleg az egyetem Kiberbiztonsági Kutatóintézetének intézetvezetője. Az Önkéntes Kibervédelmi Összefogás elnökségi tagja. 2003-ban szerezte meg diplomáját a Budapesti Műszaki és Gazdaságtudományi Egyetem Villamosmérnöki és Informatikai Kar villamosmérnöki szakán, majd PhD-ját az NKE-n 2012-ben katonai műszaki tudományok területén. 2011-ben az “Év Útmutató Biztonsági Szakemberének” választották. Felsőoktatási tevékenysége mellett folyamatosan dolgozik piaci közegben is.