A T-Systems feljelentése nyomán szükségszerű volt a BKK botrányban a büntetőeljárás megindulása

A napokban óriási felháborodást keltett a T-Systems azon döntése, hogy feljelentést tett, amelynek nyomán a rendőrség gyanúsítottként hallgatott ki egy, a BKK rendszerének hiányosságaira rámutató, mindössze 18 éves fiatalembert. Bármilyen meglepő, de a T-Systems feljelentése miatt az egyébként jóhiszemű bejelentővel szembeni büntetőeljárás megindulása, a Büntető Törvénykönyv sajátosságai nyomán már szükségszerű volt.

A T-Systems későbbi közleményében hangoztatta, hogy a csak a cég belső protokollját követte az egyébként ismeretlen tettes ellen tett feljelentésével, mégis az eddig jóhiszeműnek tartott bejelentő került büntetőeljárás alá. Bár a feljelentés pontos szövege nem ismert, de feltételezhető, hogy milyen bűncselekmény elkövetésével vádolhatták meg az ismeretlen elkövetőt.

A feljelentés kapcsán egyébként többféle közvádas bűncselekmény elkövetése is szóba jöhetett. Az informatikai rendszerek megtámadásával összefüggésben természetesen minden esetben szükséges a sértett hathatós közreműködése, amely nélkül nem valószínű a nyomozó hatóság eljárásának eredményes lefolytatása.

Vagyis a T-Systems dönthetett volna úgy, hogy a konkrét esetben, feljelentés helyett inkább a különböző támadások és bejelentések nyomán feltárult biztonsági rések befoltozásával és a BKK-nak több millió forintos havidíjért nyújtott szolgáltatásának a továbbfejlesztésére koncentrál, és nem kíván jogi eszközökkel is fellépni.

Miután viszont a T-Systems a feljelentést megtette a rendőrség látókörébe nyilvánvaló evidenciával kerülhetett már az a fiatalember, aki 50 forintért vásárolhatott ennél jóval drágább bérletet a rendszerbe bevitt adatok apró módosításával. Érdemes megnézni azt is, hogy milyen bűncselekmény elkövetésének gyanúja merülhetett fel ezzel kapcsolatban.

Egyrészt, a büntető törvénykönyv (Btk.) 375. § (1) bekezdése szerint,

információs rendszer felhasználásával elkövetett csalás bűntettét követi el az,

aki „jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz.”

Nyilvánvaló persze, hogy a jelen esetben erről szó sem lehetett, hiszen az elkövetési magatartás célja nem a jogtalan haszonszerzés volt. Ez következik a fiatalember magatartásából, miszerint saját maga jelezte, hogy oly módon befolyásolta az információs rendszer működését, amely alkalmas lehet arra, hogy azzal más, a BKK részére kárt okozzon. A megfelelő időben történt bejelentés ténye ugyanis kizárhatja a jogtalan haszonszerzés szándékát, kár pedig az ismereteim szerint nem következett be. Legalábbis a fiatalember magatartásából.

A médiában megjelent információk nyomán úgy tűnik azonban, hogy nem is a fenti tényállás, hanem egy másik nyomán indult a büntetőeljárás. Aki ugyanis az egyébként „közvádas” Btk. 423. § (2) bekezdés szerint „információs rendszerben lévő adatot jogosulatlanul, vagy jogosultsága kereteit megsértve megváltoztat, töröl, vagy hozzáférhetetlenné tesz” az információs rendszer vagy adat megsértése bűntettét követi el. Az eddig nyilvánosságra került információk szerint a konkrét esetben valami ilyesmi történhetett.

Az törvény értelmező rendelkezése szerint a tényállás alkalmazásában adatnak minősül az információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs rendszer általi feldolgozásra alkalmas, ideértve azon programot is, amely valamely funkciónak az információs rendszer által való végrehajtását biztosítja.

Kérdés persze, hogy

egy URL adattartalma a tényállás szempontjából is adatnak minősül-e.

A véleményem szerint igen, mert a törvény meglehetősen tág értelmezésébe beleilleszthető akár egy URL tartalmát jelentő karaktersor is. Érdekes, hogy volt már egy másik, ugyancsak nagy médiaérdeklődést kiváltó eset is a hazai joggyakorlatban, amelyben ezt a kérdést is vizsgálni kellett.

Ennek kapcsán érdemes felidézni Pintz György és ügyvédi irodája esetét a Szellemi Tulajdon Nemzeti Hivatalával (SZTNH).  Az egyébként szabadalmi ügyekben is eljáró ügyvéd egy banális biztonsági hibát talált az SZTNH rendszerében, melynek segítségével, pusztán az URL megváltoztatásával olyan szabadalmi bejelentésre vonatkozó iratok is megismerhetővé váltak, amik egyébként szabadalmi eljárás sajátosságai miatt titkosak lettek volna.

Az ügyben az SZTNH azt állította, hogy 2013. augusztus 27. – szeptember 16. között Pintz György nagyobb számú titkos iratot ismert meg a biztonsági hiba kihasználásával. Az SZTNH az ügyben tett korábbi közleményeiben kifejtette, hogy alapvető fontosságúnak tartja a köz javát szolgáló közérdekű bejelentők védelmét. Ez a védelem azonban az SZTNH szerint nem illeti meg azokat, akik nem a köz-, hanem egyéni érdekből, és ezt szolgáló, másokat lejárató szándékkal járnak el. Az SZTNH ezért 2013. szeptember 19-én ismeretlen tettes ellen büntető feljelentést tett. A büntetőügyben a BRFK Korrupciós és Gazdasági Bűnözés Elleni Főosztály Gazdaságvédelmi Alosztálya rendelt el nyomozást.

Pintz György szerint viszont az SZTNH koncepciós eljárásba kezdett, amelynek eredményeként kizárták a kamarából. Dr. Hüttl Tivadar, a TASZ ügyvédje, aki az ezzel a döntéssel összefüggő perben Pintz György védelmét látta el úgy vélte, hogy az ítélet megállapításaiból egyértelműen kiderül, hogy ügyfele jóhiszemű fellépésével szemben egy bosszúhadjárat indult egy koncepciós fegyelmi vizsgálat keretében, ami a közérdekű bejelentő üldözését jelentette. Szerencsésnek nevezte, hogy a szabadalmi ügyvivői kamara eljárását a bíróság nagyon határozott módon jogellenesnek nyilvánította.

Arról sajnos nem esett szó egyik forrásban sem, hogy mi lett a büntetőeljárás sorsa. A korábbi és a mostani eset ugyan részben eltér egymástól, de közös elem, hogy az információs rendszerben pusztán egy URL, illetve az abban foglalt paraméter megváltoztatásával történő beavatkozás vezetett egy biztonsági hiba feltárásához, és ezzel valamilyen bűncselekmény elkövetésének a gyanújához.

Jelenleg sincs olyan generális szabály, amely kizárná, hogy hasonló esetekben a büntetőeljárás megindulhasson. Az információs rendszer sebezhetőségét és sérülékenységét jóhiszeműen vizsgáló személyek magatartása a már megindult büntetőeljárás során kerülhet értékelésre, amely természetesen több ponton is a büntetőjogi felelősség megállapítása nélkül lezárulhat.

Érdemes lenne ezért olyan jogszabályi környezetet kialakítani, amely meghatározott személyekkel szemben már a büntetőeljárás megindulását is megakadályozhatná, például úgy, hogy a rendelkezések nyomán kizárná a tényállás megvalósulását a megfelelő időben történő, önkéntes bejelentés lehetőségének megteremtése, amennyiben a haszonszerzés szándéka, vagy károkozás ténye kizárható.

Jelenleg egyébként egy meglehetősen visszás jogi helyzetben találhatjuk magunkat,

egyetlen gondolat erejéig megpróbálva némi indokot találni a T-Systems eljárására. Persze, a konkrét ügyben a lenti gondolatmenet csak akkor releváns, ha a T-Systems feljelentésében nem kifejezetten a fiatalembert jelölte meg a jogsértés elkövetőjének, ami pedig a T-Systems feljelentésének szövege ismerete nélkül egyelőre nem megismerhető.

Az ismeretlen tettes elleni feljelentésben ugyanis ráirányítható a nyomozó hatóság figyelme akár konkrét személyre, személyekre is, mint ahogy Kaszás Zoltán, a T-Systems vezérigazgatója is úgy nyilatkozott a fiatalember esete kapcsán, hogy „a feljelentést követően és a továbbiakban is, valamennyi érintett félre vonatkozó tisztázó információt és adatot a hatóságok rendelkezésére bocsátunk.”

A probléma megértéséhez azonban most a konkrét feljelentés ismerete nélkül is tegyük fel, hogy a T-Systems rendszerét (ami persze lehet, hogy hibás volt, nemcsak technikai, hanem jogi értelemben is, ahogy egyébként azt már korábban jeleztem) valóban érték olyan rosszindulatú támadások, amelyek nem segítő szándékú felhasználóktól – mint amilyen a bejelentő volt – hanem igazi „hekkerektől” származtak.

Tételezzük fel továbbá azt is, hogy a T-Systems nem „példát akart statuálni” a jó szándékú bejelentő(k) meghurcoltatásával, hanem a „valódi” támadók ellen szeretett volna a büntetőjog eszközével is fellépni. Az, hogy egyébként milyen szinten volt sérülékeny a rendszerük az ebből a szempontból másodlagos, mivel a Büntető Törvénykönyv rendelkezései a sérülékeny rendszereket is védik.

Amennyiben valóban támadások érték a T-Systems informatikai rendszerét úgy a T-Systems-nek nem nagyon volt más lehetősége, mint ismeretlen tettes ellen feljelentést tenni. Erre utaltak a korábbi nyilatkozatok, melyek szerint a belső előírások nyomán indítottak feljelentést. Ha pedig ezt megtették, akkor annyiban már nem számítanak az eljárás „urának,” hogy az ismeretlen tettes ellen folyamatban levő, közvádas eljárásban a nyomozó hatóság eljárási cselekményeit előre meghatározzák.

A nyomozó hatóságnak pedig evidens, hogy a feljelentés nyomán megindult büntetőeljárás alá vonja azokat a személyeket, akár gyanúsítottként is, akik a látókörébe kerülnek. A szóban forgó fiatalember pedig nemhogy a látókörükbe került, hanem saját maga jelentkezett nagy nyilvánosság előtt olyan korábbi magatartására utalva, amellyel a feljelentésben foglalt tényállást megvalósíthatta.

Mindenesetre

a T-Systems vezetősége erkölcsi értelemben könnyedén „tisztázhatná” a helyzetet,

amennyiben anonimizált módon, az esetleges üzleti titok kitakarása mellett nyilvánosságra hozná a feljelentésének szövegét, amelyből egyértelműen kiderülne, hogy az ismeretlen tettes elleni feljelentésben milyen potenciális elkövetői kör lett megjelölve, és az valóban nem kifejezetten és szándékosan a jóhiszemű bejelentő ellen irányult.

A generális megoldást pedig az ilyen esetek elkerülése érdekében talán az jelenthetné, ha a Büntető Törvénykönyv maga rendelkezne arról, hogy meghatározott feltételek fennállása esetén kizárt legyen az információs rendszer vagy adat megsértése bűncselekményi tényállás megvalósulása, amennyiben nyilvánvalóan jó szándékú magatartásról van szó, a tevékenység kárt nem okoz és a bejelentés megfelelő időben megtörténik.

A fentiekben természetesen csak nagy vonalakban meghatározott jogi környezet a nyomozó hatóság számára még ismeretlen tettes elleni nyomozás során is egyértelművé tehetné, hogy egy ilyen, jóhiszemű bejelentő nem követheti el például az információs rendszer, vagy adat megsértése bűntettét.

A kiberbiztonsággal összefüggő hibák feltárása és bejelentése ugyanis nemcsak az érintettek, hanem az egész digitális társadalom közös érdeke, egyben a kiberbiztonság megteremtésének egyik alapfeltétele. Mindezt pedig az érintett informatikai vállalkozások nem feljelentéssel, hanem jutalmazással szokták meghálálni.

Jegyzetek

A képek forrásai: itt, itt és itt.

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.