Alea Iacta Est, ugyanakkor ez a kocka máshogy támad

Írta:
Jakab Zsolt
-

A kiberbűnözést rendkívül nehéz igazán pontosan is megfogalmazni. A legegyszerűbb és legtágabb meghatározása talán az információs, illetve számítógépes rendszerek ellen elkövetett bűncselekményt jelent. A köznyelvben nagyjából ez a fogalom körülbelül az otthon símaszkban és melegítőben ülő rosszindulatú vézna fiatalember által elkövetett varázslást jelenti. Ugyanakkor ennél jóval összetettebb a kép. A kibertér ugyanis mindennapjaink meghatározó dimenziójává vált.

Az ENSZ meghatározása szerint, amit széles körben a szakirodalom is elfogad, a kiberbűnözés minden olyan bűncselekményt jelöl, ami a kibertérben kerül elkövetésre. A kibertér fogalmával kapcsolatban először William Gibson amerikai író foglalkozott a “Neuromancer” című művében, aki elsőként használta ezen kifejezést, amikor az embereket és a számítógépes rendszereket összekapcsoló hálózatra keresett elnevezést.

Elsőként pár fogalommeghatározással szeretnék kezdeni. Sok ember ugyanis az angolban nevezett deep-webbel azonosítja sokszor a kiberbűnözést, ahol folyamatos illegális kereskedelem és hackertámadások tömkelege zajlik. Ez a megközelítés ugyanakkor téves. Az internet három nagy részre tagolódik. A Surface Web-re, a dark Webre és a deep Webre. Ezt legkönnyebben egy jégheggyel lehet demonstrálni. A jéghegynek a csúcsa az, amit az átlagember elér és lát. Ez az, amihez bárki hozzáférhet és láthat különösebb megpróbáltatás nélkül, továbbá a biztonság illúzióját adja. A vízszint alatt azonban sokkal nagyobb a jéghegy. A Deep Web körülbelül 400-500-szor nagyobb, mint a szabad internet, a surface Web.  A vízszint alatti rész a deep web része. Minden amit nem lehet megtalálni egy egyszerű kereséssel a google-ön, vagy nem egy normál domainnel végződik (.hu/.com/.gov) az a deep web része. Ami a Deep Weben belül van és amihez bűncselekményt megvalósító magatartás szükséges, az a Dark Web része már. Tipikusan ilyen a szervkereskedelem. Szintén a közhiedelemmel ellentétes és a mítosznak ellentmondó, hogy mind a deep Webhez, mind a dark Webhez hozzáférni nem törvényellenes. Bárki teljesen szabadon regisztrálhat és böngészhet bármilyen nagy dark webi piacot. A büntetőjogi felelősségrevonás kérdésköre akkor kezdődik, ha vásárolni vagy eladókkal kapcsolatot létesít valaki. Ezek közül is kiemelendőek a red roomok. Az úgynevezett red roomok olyan internetes szobák, amiket a nevükből eredően általában pirosra festenek és livestreamelik, azaz élő adásban közvetítik egy személy megölését vagy kínzását.

Mégis véleményem szerint a deep web inkább jó, mintsem rossz.  Az előbb említett esetek után az olvasó biztosan felhúzza a szemöldökét ezen kijelentés után és nem elbagatellizálva az igen súlyos bűncselekményeket és fenntartva Ulpianus “Nemo ex suo delicto meliorem suam condicionem facere potest” alapelvét foglalkoznunk kell azzal a kiaknázható lehetőségek tengerével, amit a deep web képes biztosítani a társadalomnak. Újságírók milliói használják a cenzúra és propagandagépezet által vezérelt országokban, hogy külföldi információkhoz jussanak, amik hamisan, vagy egyáltalán nem jutnának el hozzájuk.

Ahhoz, hogy valaki ezen Deep Webhez hozzáférjen, annak nem lesz elegendő az Google Chrome-ba beírni, hogy Dark Web access, hanem egy különleges, úgynevezett “TOR” nevezetű böngészőn keresztül tud hozzáférni. A TOR a “The Onion Router”-nek a rövidítését jelenti, amit úgy kell elképzelni, ahogy a nevéből is adódik, mint egy hagymát. Az információk rétegenként következnek egymásból.

A Dark Web hemzseg az egyszerű emberektől megszerzett hitelkártya- és személyes adatoktól, amelyeket manapság extrémen egyszerűen képesek megszerezni a bűnözők, majd azokat továbbértékesíteni. Mikor valaki személyes adatokat vásárol, akkor nem tudja kiválasztani, hogy éppen kinek az adatait szeretné megkapni, azok véletlenszerűen a vásárlásnak megfelelő érték mennyiségében érkezik meg a hatalmas adatbázisból. Azonban elmondható, hogy nagyrészt azok az emberek érintettek, mint passzív alanyai ilyen bűncselekményeknek, akik a saját személyes biztonságát nem veszik komolyan, és egyszerűen kitalálható jelszavakat használnak, illetve az összes, különböző oldalakon lévő felhasználói fiókjához ugyanazokat a jelszavakat használják.  Ennek megelőzéseképpen erősen ajánlottak a jelszóvédő programok, amik számos személyre szabott jelszavakat kreálnak számunkra és meg is jegyzik azokat. 

Az öt leggyakoribb esete annak, ahogy a bűnözők ezeket az adatokat meg tudják szerezni:

  • A Wall Street farkasa modern köntösben: Talán a legrégebbi, a kiberbűnözés hőskorától jelenlévő jelenség. Mindenkinek megvan az a jelenet a híres Leonardo DiCaprio filmben, amikor Jordan Belfortként felhívja a leendő ügyfeleket, akiknek filléres részvényeket ajánl, busás haszonért cserébe. Ez a metódus nemcsak, hogy kiállta az idő vasfogát, talán a legkifinomultabb és legnagyobb veszélyt jelentő típussá avanzsálódott. A mai világban megszámlálhatatlan mennyiségű e-mailt kapunk, melynek lehetőségét a bűnözők igyekeznek minél inkább kiaknázni. A gyanútlan felhasználok sokszor klikkelnek rá a rosszindulatú csatolmányokra, amelyek áloldalakra irányítva, képesek kiszedni a felhasználói azonosítókat. A világunk gyors fejlődésének és a digitalizáció hatására új pénznemek jelennek meg folyamatosan. Szerencsére a legkönnyebben ezeket csak jelentős sértetti közrehatással tudják elérni az elkövetők. A legfrissebb reklámokkal, slágercikkekel teli, profitot garantáló leveleket küldenek a sértettek részére. A kriptovalutákra és NFT-kre sokan esküdnek meg, hogy ezen találmányok generációnk internete, ami egy most filléresnek tűnő befektetés később az édes és gondtalan élethez vezethet. A bűnözők ezen eszközöket használva csapják be az egyszerű embert, aki nehezen megtakarított pénzét könnyen elveszítheti.
  • A “Nigerian Prince” séma: Ez talán a legszórakoztatóbb a passzív sértettre nézve, aki rájön egy e-mail során, hogy van egy régen elveszett családfai vonalon lévő hozzátartozója, aki éppenséggel egy herceg, aki pont most örökölt hatalmas összeget. Az összeghez azonban hozzá is kell jutni, amihez jelentős támogatást kér a nem éppen mesebeli herceg. 
  • Te vagy ma a 23. tízezredik látogatónk!: Mindenkinek ismerős, amikor egy általa ritkábban látogatott honlapon felugrik egy nagy nyilakkal és élénk színekkel gratuláló ablak, mely közli velünk, hogy mi vagyunk a szerencsések akik azzal, hogy az oldalt meglátogatták csupán pár banki és személyes adatért cserébe küldik a jól megérdemelt nyereményünket.
  • Segíts Elon Musknak megvásárolni a Twittert!: A következő módszerek másféleképpen közelítik meg a passzív alanyt. Míg az előzőek vagy semmilyen vagy csak pár levélváltásnyi kapcsolatot létesítenek az áldozattal, addig ezen módszer a folyamatos, de legalább 4-5 üzenetváltást is megköveteli. Általában valamilyen híres személynek, nemes cél érdekében szerveznek pénzgyűjtést, amit mondani sem kell, hogy nem jut el a célszemélyhez. Nyugodtan kijelenthetjük, hogy ez kibertérben megjelenő unokázós csalásoknak felel meg. 
  • Kérem engedje meg, hogy segítsünk visszaállítani az internetet!: Ezen bűncselekmények sokszor alaptalanul állítják, hogy zárolják egy személy számláját, vonják meg internetét, amit pénzbeli ellenszolgáltatásért cserébe ismét elérhetővé tesznek. Az eseteknek csak töredékében fordul elő, hogy ezen forrásokat valóban hozzáférhetetlenné teszik az elkövetők.

Közös ezen módszerekben, hogy az áldozat közreműködésével jönnek létre. A kiberbűnözés során a szakértők szerint a leggyengébb láncszem az ember. Megspórolva  a tűzfalak áttörését, hackelesét az áldozatot használják fel adathalász, avagy ‘phising’ tevékenységükhöz.

A kiberbűnözés esetében a védett jogi tárgy az információ vagy az adat, de a szűkebb értelemben vett jogi tárgy minden esetben az adott bűncselekménytől függ.  Az adat fogalmát a 2012. C. törvény (Btk.) és a 2013. L. törvény együttesen határozza meg melynek értelmezésében az adat: az információ hordozója, a tények, fogalmak vagy utasítások formalizált ábrázolása, amely az emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra alkalmas. A bűncselekmények elkövetője és sértettje bárki lehet. Potenciális elkövető bárki lehet tehát, aki a kiberteret használja és az ismeretei, valamint a technikai háttere adott hozzá, sőt gyakran könnyedén és olcsón lehet hozzájutni a malware programokhoz, kézikönyvekhez a dark web fórumokon, nem kell senkinek sem profi hackernek lennie, hogy kibertámadást hajtson végre.

A kiberbűnözés hazai szabályozásával elsőként hazai jogszabály már az 1980-as években foglalkozott, amikor a számítógépes csalás tényállását iktatta be a jogalkotó a Btk.-ba. A folyamatos rohamos fejlődés ugyanakkor újabb tényállások kodifikálását tette szükségessé, így létrejött a “Számítástechnikai rendszer és adatok elleni bűncselekmény” tényállása. Ma már az új Btk. a XLIII. fejezetében már külön rendelkezik a tiltott adatszerzésről és az információs rendszer elleni bűncselekményekről. 

A tiltott adatszerzés törvényi tényállása szerint:

“422. § (1) Aki személyes adat, magántitok, gazdasági titok vagy üzleti titok jogosulatlan megismerése céljából

  1. a) más lakását, egyéb helyiségét vagy az azokhoz tartozó bekerített helyet titokban átkutatja,
  2. b) más lakásában, egyéb helyiségében vagy az azokhoz tartozó bekerített helyen történteket technikai eszköz alkalmazásával megfigyeli vagy rögzíti,
  3. c) más közlést tartalmazó zárt küldeményét felbontja vagy megszerzi, és annak tartalmát technikai eszközzel rögzíti,
  4. d) elektronikus hírközlő hálózat – ideértve az információs rendszert is – útján másnak továbbított vagy azon tárolt adatot kifürkész, és az észlelteket technikai eszközzel rögzíti,

bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.

(2) Az (1) bekezdés szerint büntetendő, aki fedett nyomozó vagy a bűnüldöző hatósággal, illetve titkosszolgálattal titkosan együttműködő személy kilétének vagy tevékenységének megállapítása céljából az (1) bekezdésben meghatározottakon kívül információt gyűjt.

(3) Az (1) bekezdés szerint büntetendő, aki az (1)-(2) bekezdésben meghatározott módon megismert személyes adatot, magántitkot, gazdasági titkot vagy üzleti titkot továbbít vagy felhasznál.

(4) A büntetés egy évtől öt évig terjedő szabadságvesztés, ha az (1)-(3) bekezdésben meghatározott tiltott adatszerzést

  1. a) hivatalos eljárás színlelésével,
  2. b) üzletszerűen,
  3. c) bűnszövetségben vagy
  4. d) jelentős érdeksérelmet okozva

követik el.”

Továbbá 2021 óta a tiltott drónhasználatot is bünteti a törvény, amely egy magándindítványos bűncselekmény és büntetési tételének felső határa 1 évig terjedő szabadságvesztés.

A tiltott adatszerzésnek jogi tárgya a magántitok, a személyes adat, a gazdasági titok és az üzleti titok védelméhez fűződő társadalmi érdek. Az elkövetőnek célja ezen adatok titkos és jogosulatlan megszerzése és megismerése. Alapesetének elkövetési tárgyaként a magánlakás, másnak közlést tartalmazó zárt küldemény, illetve másnak az elektronikus hírközlő hálózaton továbbított adatot értjük. Az elektronikus adat megszerzésére irányuló elkövetési magatartást a hírközlő hálózat útján vagy információs rendszeren továbbított adat kifürkészése és technikai eszközzel történő megfigyelését és rögzítését értjük.

A Btk. 423.§ az első tényállás az új Btk.-ban, amely kizárólag elektronikus, vagy információs rendszer, illetve adat ellen elkövetett bűncselekményt szabályoz. 

Ennek értelmében: 

“423. § (1) Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

(2) Aki

  1. a) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy
  2. b) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz,

bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.

(3) A büntetés bűntett miatt egy évtől öt évig terjedő szabadságvesztés, ha a (2) bekezdésben meghatározott bűncselekmény jelentős számú információs rendszert érint.

(4) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű üzem ellen követik el.

(5) E § alkalmazásában adat: információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs rendszer általi feldolgozásra alkalmas, ideértve azon programot is, amely valamely funkciónak az információs rendszer által való végrehajtását biztosítja.”

Ezen tényállás védett jogi tárgya az információs rendszerek megfelelő működéséhez és a bennük tárolt, kezelt, feldolgozott vagy továbbított adatok megbízhatóságához, hitelességéhez, valamint titokban maradásához fűződő társadalmi érdek. Az (1) bekezdés értelmében az információs rendszerbe történő jogosulatlan behatolást nyilvánítja a törvény szankcionálandó cselekménynek. Ennek kettő további esete van. Az elkövető az adathoz hozzáférni próbálhat saját maga által használt számítógépről, illetve hálózaton keresztül akár másik számítógépről is. Ezen belül ugyanakkor ezen tényállásszerű magatartások többféleképpen is megvalósulhatnak, az egyszerű hackertámadásoktól kezdőden a az adatmanipulációval járó, sokáig észrevétlenül a számítógépünkön levő malware-ig. Egyik legaggályosabb talán a zsarolóvírusok, amik elérhetetlenné teszik zárolás révén a fájlokat, így gyakorlatilag megbénítva a számítógépes rendszerünket. Fontos, hogy a bűncselekmény csak akkor valósul meg, ha az adatok vagy információs rendszer megfelelő védelemmel van ellátva. Ezen bűncselekmény nem célzatos.

A kiberbűnözés korunk egyre jelentősebb problémája. Már igazán azt érezheti az ember, hogy sehol sincs biztonságban és a magánszférája teljesen megszűnt. Már bárki elérhet akármilyen információt bárkiről különösebb megerőltetés nélkül. Rendkívül magas a látencia ezen bűncselekmények során és hatékonyságának kimaximalizálását tekintve annak szervezet jellege az utóbbi évtizedek jogpolitikai törekvéseire nézve kifejezetten aggályos. Ezen okokból kifolyólag szerfelett fontos a megfelelő prevenció. A már említett jelszóvédelmi programok mellett, törekednünk kell a jelszavak folyamatos megváltoztatására, a személyes adatok maximális védelmére és a szokatlan elektronikus levelek iránti folyamatos gyanúra. Sokszor ezen e-mailek linkeket tartalmaznak, amelyekre való rákattintással pillanatok alatt súlyos malware, vírus vagy féreg támadhatja meg a számítógépünket és személyes adatainkat. Az Ibtv. 2015. évi módosítása hatására jött létre a Nemzetbiztonsági Szakszolgálat, ami az állami- és önkormányzati szervezeteket hivatott védeni. Ezen belül került létrehozásra a Nemzeti Kibervédelmi Intézet. Az NKI-t bárki keresheti esetleges vírusfertőzés, sérülékenység észlelése vagy adathalász weboldal észlelése során. 

Ez a cikk az Arsboni 2022 tavaszi Gyakornoki Programjának keretében készült.

Források:

  1. https://lexiq.hu/kiberbunozes
  2. dr. Perger Ádám: “A kiberbűnözés büntetőjogi elemzése” előadása
  3. dr. Perger Ádám: “A kiberbiztonság stratégiájának álatlános elvei: a stratégiai dokumentumok rendszere” előadása
  4. https://www.unodc.org/unodc/en/cybercrime/index.html
  5. Kristin Finklea: Dark Web, Congressional Research Service, https://a51.nl/sites/default/files/pdf/R44101%20(1).pdf
  6. Hsinchun Chen: Dark Web: Exploring and Data Mining the dark side of the web, Springer kiadó, 2012
  7. Danny Bradbury: Unveiling the Dark Web, 2014, https://reader.elsevier.com/reader/sd/pii/S135348581470042X?token=C83E808B7B5CCA792D6AA32442A9C09D6D7EB9B7C1F23CBB0C7A741EB08CE20E0ED2BCED0D6108AD12EDC28BFC425C17&originRegion=eu-west-1&originCreation=20220503121136
  8. dr. Mezei Kitti: A kiberbűncslekmények hazai szabályozásának aktuális kérdései, http://real.mtak.hu/92853/1/a_kiberbuncselekmenyek_hazai_szabalyozasanak_aktualis_kerdesei.pdf
  9. Kálmán Kinga: Két új technológia az adatvédelmi megfelelés kapujában: Eszteri Dániel előadása a mesterséges intelligencia, a blokklánc és az adatvédelem kapcsolati háromszögéről, https://jog.tk.hu/blog/2021/04/eszteri-daniel-eloadasa
  10. dr. Mezei Kitti: A kiberbűnözés egyes büntetőjogi szabályozási kérdései, Doktori (PhD) értekezés, 2019, https://pea.lib.pte.hu/bitstream/handle/pea/23209/mezei-kitti-phd-2019.pdf?sequence=1&isAllowed=y
  11. dr. Mezei Kitti: A kiberbűnözés szabályozási kihívásai a büntetőjogban, Ügyészek lapja, 2019., http://ugyeszeklapja.hu/?p=2592
  12. dr. Katona Csaba: Kiberbűnözés Magyarországon, avagy hová forduljon digitális bűncselekmény esetén?, 2021, https://arsboni.hu/kiberbunozes-magyarorszagon-avagy-hova-forduljon-digitalis-buncselekmeny-eseten/
  13. Belovics Ervin, Molnár Gábor Miklós, Sinku Pál: Büntetőjog II. Különös Rész, HVG-Orac Lap-és Könyvkiadó, 2013.

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.

MEGOSZTÁS

KAPCSOLÓDÓ CIKKEKTÖBB A SZERZŐTŐL