Cybercrime és egy tragédia – avagy a kiberbűncselekmények veszélyei napjainkban

Az utóbbi években egyre több hírt hallhatunk online térben megvalósult támadásokról, melyek legtöbbször pénzügyi vállalatok, kormányzati szervek, nagyvállalatok ellen történnek, de nem maradnak el a kórházak elleni támadások sem. 2020 szeptemberében a német hatóság nyomozást indított gondatlanságból elkövetett emberölés ügyében, amelyet egy zsarolóvírus okozott.[1] A kibertámadás hálózati kieséseket, rendszerhibát okozott, mely arra kényszerített egy düsseldorfi székhelyű kórházat, hogy betegeit máshová irányítsa, többek között a sürgős ellátást igénylő betegeit is. Ennek végeredményeként egy 78 éves, azonnali ellátást igénylő, anuerizmában szenvedő hölgy életét vesztette. Ezért is tartom fontosnak ezen témakör részletezését, mivel annak ellenére, hogy az utóbbi időben egyre többen foglalkoznak a témával és egyre több jogszabály kerül megalkotásra, még mindig sokan nem ismerik a kiberbűncselekményeket. Jelen cikkben összefoglalom a kiberbűncselekményekkel kapcsolatos legfontosabb tudnivalókat.

 

Szabályozások

Napjainkban a technika rohamos, napról napra történő fejlődése miatt a jogi szabályozás megalkotása rendkívül nehéz fejtörést okoz a jogalkotóknak. Elsőként, hogy lássuk, miért is olyan nehéz a szabályozás, bemutatom a kibertér jogszabályban meghatározott fogalmát, amelyben a legtöbb elkövetés történik, és amely definíció rendkívül nehezen megfogható:

„A kibertér globálisan összekapcsolt, decentralizált, egyre növekvő elektronikus információs rendszerek, valamint ezen rendszereken keresztül adatok és információk formájában megjelenő társadalmi és gazdasági folyamatok együttesét jelenti”.[2]

Tehát nemcsak az internet a kibertér része, hanem az internettől független hálózatok, számítógépes rendszerek is. Maga a fogalom is mutatja, hogy akár egyetlen mondatban is mennyi tisztázatlan kérdést kellene még megválaszolni és ez a technika napról napra való fejlődésével, mesterséges intelligencia folyamatos változásával csak nehezebb lesz.

A definiálás után bemutatom, melyek az eddigi legfontosabb szabályozások ezen a területen.

Az idők során többféle szabályozás is született ezen a téren. A teljesség igénye nélkül érdemes megemlíteni az OECD[3] irányelvet mint az „információk információs rendszerek és hálózatok védelmének eszközét”[4], melyben ismertették a számítógépes bűncselekmények összefoglalását, valamint az Európa Tanács 9. számú 1990. évi ajánlását (Computer-Related Crime)[5], amely meghatározott egy minimumlistát a számítógépes bűncselekmények fajtáiról, amelyhez az országoknak a kiberbűncselekményekkel kapcsolatos jogszabályok megalkotásánál igazodniuk kellett, valamint az kiberbűncselekményekhez köthető büntetőeljárásokhoz nyújtott iránymutatást. A legfontosabb azonban az Európa Tanács Számítástechnikai Bűnözésről szóló Egyezménye[6] (továbbiakban: „Cybercrime Egyezmény”), amelyet 2001. novemberében írták alá Budapesten és 2004-ben lépett hatályba. Nemzetközi szinten mai napig ez az egyik legjelentősebb egyezmény. A Cybercrime Egyezmény részletesen szabályozza a számítógépes bűncselekményeket, a korábbi ajánlásokhoz képest jóval előrehaladottabb, illetve több fogalmat, jogi normát is meghatároz. Többek között definiálásra kerül a számítógépes rendszer, számítógépes adat, internetes szolgáltató, illetve az átmenő adat. Emellett az elkövethető bűncselekménytípusok körét is kibővítette. Hátrányaként azonban elmondható, hogy a legtöbb esetben a már bekövetkezett támadásra nyújt szabályozást, így korlátozottan lehet alkalmazni a támadás megelőzésére.

Hazai szabályozásban meg kell említenem a Büntető Törvénykönyvről szóló 2012. évi C. törvény rendelkezéseit, mely többek között szabályozza az információs rendszer vagy adat megsértését, ezzel védve az információs rendszerek működését, illetve a bennük tárolt, rajtuk keresztül feldolgozott adatok hitelességét, titokban maradását.

Elkövetés lehetséges módjai

 A kiberbűncselekmények elkövetési módjait csoportosíthatjuk a Cybercrime Egyezmény alapján, melyből néhányat említenék meg:

  • számítástechnikai rendszer és számítástechnikai adat hozzáférhetősége, sértetlensége és titkossága elleni bűncselekmények, más szóval „hacking” vagy jogosulatlan kifürkészés;
  • számítógéppel kapcsolatos bűncselekmények, mint a csalás, hamisítás;
  • számítástechnikai adatok tartalmával kapcsolatos bűncselekmények, mint például gyermekpornográfia;
  • szerzői vagy szomszédos jogok megsértésével kapcsolatos bűncselekmények.
Azonban a leggyakoribb támadások kártevőprogramokkal történnek, így a következőkben ennek az elkövetési módnak fejteném ki jobban a típusait, melyek:
  • vírus: vírusnak nevezzük azokat a szoftvereket, amelyek képesek a felhasználó tudta nélkül egyik számítógépről a másikra, vagy akár ugyanazon a gépen belül több helyre észrevétlenül reprodukálódni;
  • programvírus: ez a vírusfajta binárisan futtatható fájlba ágyazódik. Legismertebb „alfaja” a zsarolóvírus, melynek lényege, hogy ha az adott vírus megtámadja a felhasználó számítógépét, az csak abban az esetben oldható fel, ha a felhasználó átutal egy összeget a kért számlára, és ehhez megkapja a kódot;
  • adatfájlokban lévő vírusok: itt említhetjük az érvénytelen fájlformátumot használó vírusokat;
  • féreg: a féreg vírus különlegessége, hogy képes önmagát reprodukálva, egy számítógépről, egy másik számítógépre átterjedni;
  • trójai faló: ez a vírusfajta „álcázza magát”, mondhatni álcázott segítőszoftverként kerülnek fel a számítógépre, viszont ezt követően beprogramozhatóak állományok titkosítására, adatok gyűjtésére, webkamera használatára;
  • kémprogram: célja információ megszerzése a számítógépről.

Emellett ide sorolhatjuk még a kéretlen reklám, hátsó ajtó, és a rootkit nevű vírusfajtákat is. Fontos megjegyezni, hogy ezen elhatárolt kategóriák nem feltétlenül működnek külön egymástól, hiszen egyazon vírus többféle funkció megvalósítására is beprogramozható.[7]

Felderítés

A kiberbűncselekmények elkövetésének feltárásánál a legnagyobb nehézséget az elkövető azonosítása jelenti. A legegyszerűbb módja a felderítésnek az IP cím azonosítása lenne, viszont ez az esetek nagy részében lehetetlen az Elektronikus hírközlési adatvédelmi irányelv[8] miatt, mely „arra kötelezi a tagállamokat, hogy biztosítsák a nyilvánosan elérhető elektronikus hírközlési szolgáltatások segítségével történő közlések és az azokra vonatkozó forgalmi adatok – így az IP-címek – titkosságát”[9]. Az ügyek lezárása különösen abban a helyzetben nehéz, ha az elkövető még az IP címet is meghamisítja a Tor böngésző segítségével, amely többféle módon is lehetséges:

  • az elkövető például proxy szervereken keresztül bonyolítja a hálózati forgalmazást a végpontok között;
  • vagy olyan proxy szervereket vesz igénybe, mely az IP cím meghamisítására alkalmas.

Ami még segíthet a felkutatásban, az a mélyreható-adatcsomag elemzés, mely a hálózati-kommunikáció tartalmáról ad bővebb információt. Ez azonban, mivel tiltott adatszerzésnek minősül, csak bűncselekmény felderítése érdekében használható, sőt több más országban még a felderítés esetében is megkérdőjelezik ennek szabályosságát.[10]

Rengeteg kérdés felvetődik még az ilyen fajta bűncselekmények körében, hogy vajon meddig terjedhetnek a nyomozásban résztvevő hatóságok lehetőségei, mennyiben alkalmazhatnak leplezett eszközöket és tulajdonképpen, ha nincs konkrét gyanúsított, kikkel szemben lehet alkalmazni a leplezett eszközöket. Ez a terület még mindig nincs pontosan szabályozva, így ez a jövőbeni jogalkotók feladata.

Perek

Végezetül, de nem utolsósorban egy hazai pert és annak kimenetelét ismertetem, amely jól bemutatja a nehézségeket, amelyekkel a nyomozóhatóság és bíróság találkozik egy kiberbűncselekmény kapcsán.[11]

A következő ügyben az elkövető évekig üzemeltetett egy illegális film, zene és szoftver letöltő oldalt, ami alapján szerzői jog megsértése miatt állt a bíróság elé. A weboldal több mint 2800 filmet, 1045 zenét és 437 szoftvert kínált ingyenes letöltésre, viszont nem ingyenesen. A letöltött tartalomért pénzt kellett átutalni egy számlára. Nehezítette a felderítést, hogy az elkövető hajléktalanok nevére nyitott számlát, hogy neve ne lehessen összefüggésbe hozható a bűncselekménnyel. A haszon az ügyészség szerint több mint 39 millió forintot hozott. Mivel a nyomozás során a kárt is csak becsléssel határozták meg, illetve nem találták meg a szervereket, ahonnan feltöltötték a filmeket, zenéket, szoftvereket, így az elkövető végül elsőfokon enyhébb büntetést kapott, mely 3 évig tartó felfüggesztett börtönbüntetéssel járt.

Gondolataimat a cikk elején leírt düsseldorfi katasztrófával zárnám. Az ügy nyomozásának közepette kiderült, hogy az elkövetők a zsarolóvírust nem a kórháznak szánták, hanem a düsseldorfi egyetem részére. Amikor az elkövetők értesültek tettük következményéről, önként tájékoztatták a kórházat a vírus feloldásához szükséges kulcsról. De persze, hogy ne érjen olyan könnyen véget a történet, az elkövetők személyét máig nem ismerjük, illetve felelősségre sem tudták vonni őket gondatlanságból elkövetett emberölés miatt, hiszen nem tudták alátámasztani bizonyítékokkal, hogy azonnali ellátás esetén még meg tudták volna menteni az idős nőt.

Ahogy ebben az esetben is látjuk, a felderítés és bizonyítás azon területek, amelyeknek még fejlődnie kell. Feltehetjük a kérdést: ha a kórház informatikusa egy magasabb védelmi rendszert épített volna ki, megakadályozható lett volna a támadás? Vagy kiberbűncselekmények esetében bizonyítható ok-okozati összefüggésen alapulva megállná a későbbiekben a helyét az emberölés vádja? Ez csak két példa kérdés, de egy ilyen fajta bűncselekmény felderítése közben egyre több és több lesz, melyekre a jogalkotók még nem állapítottak meg egységes szabályozást, és ez bizony a „Mi”, a jövő jogászainak feladata lesz.

A cikk megírásához az Arsboni a Jogtár adatbázisát használta.

Irodalomjegyzék

[1] https://fortune.com/2020/09/18/ransomware-police-investigating-hospital-cyber-attack-death/

[2] http://njt.hu/cgi_bin/njt_doc.cgi?docid=159530.23884

[3]https://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm

[4] https://www.oecd.org/sti/ieconomy/15582292.pdf

[5] http://www.oas.org/juridico/english/89-9&final%20Report.pdf

[6] https://net.jogtar.hu/jogszabaly?docid=A0400079.TV

[7] https://media-tudomany.hu/archivum/virusok-es-zombik-a-buntetojogban/

[8] https://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=CELEX:02002L0058-20091219&from=EN,

[9] https://media-tudomany.hu/archivum/virusok-es-zombik-a-buntetojogban/

[10] https://media-tudomany.hu/archivum/virusok-es-zombik-a-buntetojogban/

[11] https://www.youtube.com/watch?v=G_2HygIs4Q0

Források

https://nmhh.hu/dokumentum/192056/Az_onlineterben_terjedo_deviancia_a_cybercrime_az_informaciotechnologia_tukreben.pdf

https://ajk.pte.hu/files/file/doktori-iskola/gyaraki-reka/gyaraki-reka-muhelyvita-ertekezes.pdf

https://media-tudomany.hu/archivum/virusok-es-zombik-a-buntetojogban/

http://www.kre.hu/ajk/images/doc/Uj_technologia_jog_kotet.pdf

https://arsboni.hu/dolgozatok/buntetojog/Szabo_Andras_Elektronikus_es_online_buncselekmenyek.pdf

https://en.wikipedia.org/wiki/Mirai_(malware)

https://fortune.com/2020/09/18/ransomware-police-investigating-hospital-cyber-attack-death/

http://real.mtak.hu/92847/1/mezei_kitti_jura_2018_1.pdf

http://njt.hu/cgi_bin/njt_doc.cgi?docid=159530.238845

https://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm

https://www.oecd.org/sti/ieconomy/15582292.pdf

http://www.oas.org/juridico/english/89-9&final%20Report.pdf

https://net.jogtar.hu/jogszabaly?docid=A0400079.TV

https://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=CELEX:02002L0058-20091219&from=EN

 

 

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Ars Bonit a facebookon.