Hirdetés
. Hirdetés

Gondolatok a kiberbűnözésről a büntetőjogi szabályozás fényében

|

A kiberbűnözés aktuális kihívásai a büntetőjogban című könyv szerzője osztotta meg tapasztalatait a Computerworld olvasóival.

Hirdetés

A hálózati összekapcsoltság a termékek és szolgáltatások egyre növekvő számának a központi elemévé vált - gondoljunk csak az 5G-vel eddig nem látott biztonsági fenyegetések megjelenésére. Ez a jellemző megkérdőjelezi a biztonság hagyományos koncepcióját, mivel a hálózati összekapcsoltság közvetlenül veszélyeztetheti a termék biztonságát, és közvetett veszélyt is magában hordozhat, amennyiben feltörhető, ami további biztonsági kiberfenyegetésekhez vezet, és ez már a felhasználók biztonságát is érinti. Éppen ezért az elkövetők a különböző IoT eszközök sebezhetőségét keresik, például routereket, biztonsági kamerákat vagy akár az okostelevíziókat és egészségügyi berendezéseket veszik célba egy-egy kibertámadás során.

A "meghackelt" IoT eszközöket pedig jogsértő cselekményekhez használják fel, mert általuk könnyedén lehet szenzitív adatokat gyűjteni a felhasználókról (például mikor tartózkodik otthon az illető). Gondoljunk csak egy okosotthonra, amelyet ugyanúgy érhet támadás, mint bármely más informatikai eszközt, és ennek következében az elkövető át tudja venni az irányítást felette, különböző parancsokat továbbíthat, ezáltal alkalmas lehet a sértett megfigyelésére vagy akár az otthonába történő bezárására vagy a kizárására. Sőt, az autonóm járművek is könnyedén válhatnak majd a hackertámadások célpontjaivá. Nem kell azonban az autonóm járművekre várnunk, hiszen az autólopás már napjainkra is új szintre lépett a technológiai újításoknak köszönhetően, mert az sem példa nélküli, hogy nagy értékű gépkocsikat lopnak el úgy, hogy a kulcs nélküli indítórendszerüknek a védelmét jeltovábbító eszközökkel kijátsszák.

Hirdetés

Bármely információs rendszer feltörése esetén, a jogosulatlan belépés további visszaéléseket segíthet elő, például az "ellopott" szenzitív adatokkal a sértetteket zsarolhatják. Más esetekben az adatokat további csalás jellegű magatartásokhoz használják fel, többek között adathalászathoz vagy arra, hogy a versenytársak bizalmas információkhoz férjenek hozzá. Az esetek többségében személyes, pénzügyi és egészségügyi adatokat szereznek meg (például név és születési idő, telefonszámok, e-mailcímek, felhasználói adatok, jelszavak és bankkártya adatok). Az elkövetők ezeket gyakran nem saját maguk részére szerzik meg, hanem azért, hogy ezeket később a darknet fórumokon értékesítsék.

A hackinget, avagy a jogosulatlan belépést a hazai büntetőjogban az információs rendszer vagy adat megsértésének tényállása szabályozza. Ennek értelmében, aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

A bűncselekmény megállapításához szükséges, hogy az információs rendszer technikai intézkedéssel biztosított védelemmel legyen ellátva, és ez a védelem aktív legyen, azaz rendelkezzen például felhasználói azonosítóval és jelszóval vagy egyéb védelemmel. Továbbá az elkövetési mód meghatározása szerint a bűncselekmény megvalósul, ha a belépés a védelmi intézkedés megsértésével vagy kijátszásával történik, például a biztonsági rendszer hiányosságait kihasználva lépnek be jogosulatlanul vagy a jogosult jelszavával, belépési kódjával, amelynek megszerzési módja azonban közömbös (például történhet megtévesztéssel, kifürkészéssel, kódtörő programmal, vagy elképzelhető, hogy a felhasználó hanyagsága folytán jut hozzá az elkövető). A bűncselekmény nem célzatos, ezért az elkövetésnek nem feltétele az sem, hogy haszonszerzési, károkozási vagy egyéb hasonló célzattal történjen. Az sem követelmény továbbá, hogy az információs rendszerben tárolt adaton az elkövető később bármilyen műveletet végezzen, vagy akár a rendszer működését akadályozza. Önmagában tehát a jogosulatlan belépés is büntetőjogi felelősséget vonhat maga után.

Ezzel összefüggésben érdemes megemlíteni, hogy például az etikus hackelés kizárólag azokra az esetekre korlátozódik, amikor a hacker erre kifejezetten felhatalmazást kap. Ezért azok a személyek, akik csak saját elhatározásukból, jogosultság hiányában keresnek biztonsági réseket, nem tekinthetők etikus hackernek, hanem csak azok, akik rendelkeznek jogosultsággal valamilyen formában (például az információs rendszer tulajdonosa kifejezetten megbízza őket a rendszer tesztelésével és támadásával). Ennek szemléltetésére a közelmúltból vett hazai példákat is fel lehet sorakoztatni, amelyeknél felmerült a büntetőjogi felelősségre vonás kérdése is (lásd a Magyar Telekom rendszerének meghackelése és az ötven forintért vásárolt BKK-bérlet esete).

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.