MTI
Kevesen foglalkoznak etikus hackeléssel
Ennek keretében egy külső csapat próbálja feltárni az informatikai rendszerekben rejlő biztonsági hiányosságokat,réseket. A magyar jog az etikus hacking szempontjából naprakésznek tekinthető.
Etikus hacker - a kifejezés a magyarországi szóhasználatban egyfajta "fából vaskarika". A hazai internet hőskorában még fehéren-feketén lehetett ugyanis tudni: a cracker a "rosszfiú", aki nem törődik azzal, hogy milyen károkat okoz tevékenységével, élvezettel turkál a rendszerekben, megváltoztatja a weboldalakat, és nyilvánosságra hozza a birtokába került adatokat. Szemben a hackerrel, aki esetleg feltöri egy szoftver másolásvédelmét, vagy betör valamilyen számítógépes rendszerbe, de csak azért, hogy szakmai rátermettségét próbára tegye; ha pedig hibát észlel, nem az alvilágban értékesíti tudását, hanem szól az adott rendszer üzemeltetőjének. Mindazonáltal követ el olyan dolgokat, amelyek felbosszantják az üzleti élet szereplőit, vagy esetleg még jogilag is büntethetők, de célja nem a károkozás és végképp nem az anyagi haszonszerzés.
Aztán a cracker valahogy kikopott a szóhasználatból. Abban, hogy ez így alakult, alapvetően a hazai tömegmédia tekinthető ludasnak, amely - a szakmától érkező ellenérvekre fittyet hányva, a jelentés-megkülönböztető szerep felett könnyedén átlépve - a "számítógépes betörő" fogalmát a hackerekre egyszerűsítette le. Így tehát ma már a hacker megjelölést alkalmazzák mindenkire, aki számítógépes rendszerek vagy hálózatok védelmét töri fel, vírust ír vagy kártevőkkel fertőzi meg mások számítógépét - függetlenül attól, hogy valamit ártó vagy jobbító szándékkal tesz-e. És a dolgok logikus folyományaként az egykor jelző nélküli hackerek szerepét az etikus hackerek vették át.
A hackerek mára mélyen beágyazódtak az informatikai biztonság szinte valamennyi területére, így amikor valaki az etikus hackerek helyét keresi, megkerülhetetlenül fel kell tennie a tágabb szakterület legfontosabb kérdéseit. Így rögtön a legfontosabbat: melyek a tipikusan szenzitív adatok egy-egy gazdálkodó szervezet életében? A legérzékenyebbek az üzleti titok körébe tartozó információk - mondja Mayer Erika ügyvéd, internetjogi szakértő. Ide tartozhatnak a cég gazdálkodásával kapcsolatos nem nyilvános információk, a szerződések, az üzleti tárgyalások anyagai, az esetleges fejlesztések, tervek, stratégiai döntések és előkészítő anyagok. A másik lényeges kérdéskör a személyes adatoké. Természetesen mindenki esetében gondoskodni kell az egyes hozzáférési adatok - így különösen az elektronikus bankoláshoz szükséges felhasználónevek és jelszavak - biztonságáról is.
A profitorientált szervezetek elsősorban az ipari kémkedéstől való vélt vagy valós félelmük miatt szeretnék a lehető legnagyobb biztonságban érezni az üzleti tevékenységükkel kapcsolatos adataikat, amelyek esetleges kiszivárgása a piaci előnyük elvesztésével fenyeget - teszi hozzá Vas Péter, a rendszerintegráción belül informatikai biztonsággal hangsúlyosan foglalkozó NetworKing Informatika Kft. ügyvezetője. A non-profit szervezetek esetében viszont főként a személyiségi jogi adatok védelme a cél, amelynek esetleges hanyag kezelése jogi kérdéseket vet fel.
A védelmi szintet - cégmérettől függetlenül - az adott szervezetnél tárolt legkényesebb adatnak kell meghatároznia. Nyilván az optimumra kell törekedni, az adatok érzékenységéhez mérten a maximális biztonság elérése a cél, ugyanakkor felesleges ágyúval verébre lőni. Az optimumtól való legkisebb eltérés is anyagi veszteséget okoz(hat) az adott szervezetnek. Az adatok védelme mégsem pusztán financiális kérdés, nem szabad figyelmen kívül hagyni az emberi erőforrást, amely naivitásával hatalmas kockázatot jelenthet az adatok biztonságára, megkönnyítve a külső támadók dolgát.
Az etikus biztonsági vizsgálat célja az informatikai rendszerekben rejlő biztonsági hiányosságok, rések feltárása, valamint megvalósítási javaslatok kidolgozása a gyenge pontok kiküszöbölése érdekében. Az első lépés a social engineering, vagyis annak vizsgálata, hogy az esetleges emberi közreműködés mennyiben lehet felelős az informatikai hálózat sebezhetőségéért. Ezt követi a külső behatolási teszt, majd a belső rendszer tesztje, amelynek során a belső hálózat felől kell feltérképezni a rendszert és annak sebezhetőségi pontjait. Az etikus biztonsági vizsgálatot a kiszolgálók és a hálózati erőforrások ellenőrzése zárja Ez a tevékenység addig etikus, amíg az ügyfél tudtával és beleegyezésével, igényeinek megfelelően zajlik. A megrendelőnek nem származhat kára a szolgáltatásból kifolyólag, legyen szó akár adatvesztésről, akár anyagi jellegű kárról - hangsúlyozza Vas Péter.
Mayer Erika szerint így ezen a területen "szürke zónáról" sem lehet beszélni, hiszen a Btk. értelmében mindenfajta jogosulatlan behatolás bűncselekménynek minősül. Azt, hogy be kell-e avatni a megrendelőt a "betörés" minden részletébe, vagy elegendő visszamenőlegesen tájékoztatni, a biztonsági vizsgálatról szóló megállapodásban kell rögzíteni. Általában azoknál a szervezeteknél, ahol van erre szabad humán erőforrásbeli kapacitás, szeretik nyomon követni a folyamatokat - magyarázza Vas Péter -, ahol pedig ez nem biztosított, inkább a végeredményre és a javaslatra korlátozzák figyelmüket. Mayer Erika ezt azzal egészíti ki, hogy a hackernek nyilván nem érdeke a szakmai tudását ilyen mértékben megosztani a megrendelővel.
Az etikus hacking során azoknak az információknak az integritására is ügyelni kell, amelyek kényes voltáról a megrendelőnek - esetleg - nincs tudomása. Ezek védelmét ugyancsak az együttműködési megállapodásban kell rögzíteni. Vagyis az etikus hackerek szempontjából minden adat szenzitív, és ennek megfelelően kell eljárniuk. A vizsgálatokat üzemidőn kívül kell elvégezni, nem akadályozhatja a vállalat működését, illetve minden fázis előtt megfelelő visszaállítási pontokat kell létrehozni.
A magyar jog az etikus hacking szempontjából naprakésznek tekinthető - állítja Mayer Erika. A jelenleg hatályos Btk. 300.C.§-a értelmében ugyanis: "Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, illetőleg azt megsértve bent marad, vétséget követ el, és egy évig terjedő szabadságvesztéssel büntetendő. (2) Aki a) számítástechnikai rendszerben tárolt, feldolgozott, kezelt vagy továbbított adatot jogosulatlanul megváltoztat, töröl vagy hozzáférhetetlenné tesz, b) adat bevitelével, továbbításával, megváltoztatásával, törlésével, illetőleg egyéb művelet végzésével a számítástechnikai rendszer működését jogosulatlanul akadályozza, vétséget követ el, és két évig terjedő szabadságvesztéssel büntetendő."
A kulcsszó ebben az esetben a jogosulatlanul. Mivel viszont az etikus hacker megállapodik a megrendelővel, így ez a tényállási elem hiányzik, tehát bűncselekményt nem követ el. A szerződés pedig egy Ptk. szerinti megbízási szerződés. Mindez alig tér el a világban uralkodó jogi szabályozástól, amelyben értelemszerűen irányadóak az Egyesült Államokban meghozott törvények. A Computer Fraud and Abuse Act (Számítógéppel elkövetett csalás és visszaélés), valamint a többek között a terrorizmus fogalmát is definiáló 2001. októberi USA PATRIOT Act alapján az ethical hacking jogszerű abban az esetben, ha valamilyen felhatalmazás alapján történik a behatolás. Ráadásul a kormányzati számítógépes rendszer része egy olyan kockázatkezelő program is, amelynek keretében megbíznak külső cégeket, illetve személyeket, akiknek célja a biztonsági rendszerek gyengeségeinek feltérképezése és a folyamatos biztonsági fejlesztések tesztelése.
Természetesen bőven akad megrendelés az amerikai kormányzattól függetlenül is. Emlékezetes volt például a Facebook tavalyi felhívása: jutalmat adott azoknak, akik segítenek megnehezíteni a közösségi oldal ellen irányuló támadásokat. A program első 21 napja alatt a Facebook negyvenezer dollárt fizetett ki azoknak, akik biztonsági rést fedeztek fel a rendszerben. A program során volt olyan biztonsági szakember, aki 7000 dollárt kapott hat komoly biztonsági hiba bejelentéséért.
Nem csupán szakmai, de anyagi szempontból is csábító lehet tehát ezen a területen tevékenykedni. Azt viszont, hogy hány főt bír el a magyar informatikai biztonsági piac az etikus hackinggel foglalkozók köréből, meglehetősen nehéz megbecsülni - mondja a NetworKing Informatika ügyvezetője. Jelenleg az informatikai szolgáltatások piaca telített ugyan, de ehhez mérten kevesen foglalkoznak etikus biztonsági vizsgálattal. Ennek egyik oka, hogy ez a szolgáltatás egyelőre a kis- és középvállalati szektorban még kevésbé terjedt el, inkább csak a nagyvállalati ügyfelek veszik igénybe. A másik ok, hogy szakemberhiány van - ezt azonban már a felsőoktatási intézmények is felismerték. Amennyiben a két korlátozó tényező párhuzamosan tud fejlődni, jó ideig nem kell tartani az egyensúly felborulásától.
Különböző képzési szinteken, számos tanfolyamon sajátíthatók el az etikus hackinggel kapcsolatos ismeretek. Joggal merül fel azonban a kérdés: mit lehet ebből a speciális szakmából tanfolyami formában elsajátítani - és mi az, amit csak az "éles" gyakorlat taníthat meg? Az elérhető legfrissebb hackertechnológiák, az IT-biztonság területére vonatkozó hazai és nemzetközi jogszabályok, illetve azok a törvényi előírások, amelyek az etikus hacker munkavégzéséhez elengedhetetlenül szükségesek, megismerhetők és elsajátíthatók. És bár ezek a tanfolyamok nagyon gyakorlatiasak, nyilvánvalóan nincs lehetőség minden körülmény szimulálására, így az éles helyzetekben szerzett tapasztalat nélkülözhetetlen - mutat rá Vas Péter.
Etikus hacker - a kifejezés a magyarországi szóhasználatban egyfajta "fából vaskarika". A hazai internet hőskorában még fehéren-feketén lehetett ugyanis tudni: a cracker a "rosszfiú", aki nem törődik azzal, hogy milyen károkat okoz tevékenységével, élvezettel turkál a rendszerekben, megváltoztatja a weboldalakat, és nyilvánosságra hozza a birtokába került adatokat. Szemben a hackerrel, aki esetleg feltöri egy szoftver másolásvédelmét, vagy betör valamilyen számítógépes rendszerbe, de csak azért, hogy szakmai rátermettségét próbára tegye; ha pedig hibát észlel, nem az alvilágban értékesíti tudását, hanem szól az adott rendszer üzemeltetőjének. Mindazonáltal követ el olyan dolgokat, amelyek felbosszantják az üzleti élet szereplőit, vagy esetleg még jogilag is büntethetők, de célja nem a károkozás és végképp nem az anyagi haszonszerzés.
Aztán a cracker valahogy kikopott a szóhasználatból. Abban, hogy ez így alakult, alapvetően a hazai tömegmédia tekinthető ludasnak, amely - a szakmától érkező ellenérvekre fittyet hányva, a jelentés-megkülönböztető szerep felett könnyedén átlépve - a "számítógépes betörő" fogalmát a hackerekre egyszerűsítette le. Így tehát ma már a hacker megjelölést alkalmazzák mindenkire, aki számítógépes rendszerek vagy hálózatok védelmét töri fel, vírust ír vagy kártevőkkel fertőzi meg mások számítógépét - függetlenül attól, hogy valamit ártó vagy jobbító szándékkal tesz-e. És a dolgok logikus folyományaként az egykor jelző nélküli hackerek szerepét az etikus hackerek vették át.
A hackerek mára mélyen beágyazódtak az informatikai biztonság szinte valamennyi területére, így amikor valaki az etikus hackerek helyét keresi, megkerülhetetlenül fel kell tennie a tágabb szakterület legfontosabb kérdéseit. Így rögtön a legfontosabbat: melyek a tipikusan szenzitív adatok egy-egy gazdálkodó szervezet életében? A legérzékenyebbek az üzleti titok körébe tartozó információk - mondja Mayer Erika ügyvéd, internetjogi szakértő. Ide tartozhatnak a cég gazdálkodásával kapcsolatos nem nyilvános információk, a szerződések, az üzleti tárgyalások anyagai, az esetleges fejlesztések, tervek, stratégiai döntések és előkészítő anyagok. A másik lényeges kérdéskör a személyes adatoké. Természetesen mindenki esetében gondoskodni kell az egyes hozzáférési adatok - így különösen az elektronikus bankoláshoz szükséges felhasználónevek és jelszavak - biztonságáról is.
A profitorientált szervezetek elsősorban az ipari kémkedéstől való vélt vagy valós félelmük miatt szeretnék a lehető legnagyobb biztonságban érezni az üzleti tevékenységükkel kapcsolatos adataikat, amelyek esetleges kiszivárgása a piaci előnyük elvesztésével fenyeget - teszi hozzá Vas Péter, a rendszerintegráción belül informatikai biztonsággal hangsúlyosan foglalkozó NetworKing Informatika Kft. ügyvezetője. A non-profit szervezetek esetében viszont főként a személyiségi jogi adatok védelme a cél, amelynek esetleges hanyag kezelése jogi kérdéseket vet fel.
A védelmi szintet - cégmérettől függetlenül - az adott szervezetnél tárolt legkényesebb adatnak kell meghatároznia. Nyilván az optimumra kell törekedni, az adatok érzékenységéhez mérten a maximális biztonság elérése a cél, ugyanakkor felesleges ágyúval verébre lőni. Az optimumtól való legkisebb eltérés is anyagi veszteséget okoz(hat) az adott szervezetnek. Az adatok védelme mégsem pusztán financiális kérdés, nem szabad figyelmen kívül hagyni az emberi erőforrást, amely naivitásával hatalmas kockázatot jelenthet az adatok biztonságára, megkönnyítve a külső támadók dolgát.
Az etikus biztonsági vizsgálat célja az informatikai rendszerekben rejlő biztonsági hiányosságok, rések feltárása, valamint megvalósítási javaslatok kidolgozása a gyenge pontok kiküszöbölése érdekében. Az első lépés a social engineering, vagyis annak vizsgálata, hogy az esetleges emberi közreműködés mennyiben lehet felelős az informatikai hálózat sebezhetőségéért. Ezt követi a külső behatolási teszt, majd a belső rendszer tesztje, amelynek során a belső hálózat felől kell feltérképezni a rendszert és annak sebezhetőségi pontjait. Az etikus biztonsági vizsgálatot a kiszolgálók és a hálózati erőforrások ellenőrzése zárja Ez a tevékenység addig etikus, amíg az ügyfél tudtával és beleegyezésével, igényeinek megfelelően zajlik. A megrendelőnek nem származhat kára a szolgáltatásból kifolyólag, legyen szó akár adatvesztésről, akár anyagi jellegű kárról - hangsúlyozza Vas Péter.
Mayer Erika szerint így ezen a területen "szürke zónáról" sem lehet beszélni, hiszen a Btk. értelmében mindenfajta jogosulatlan behatolás bűncselekménynek minősül. Azt, hogy be kell-e avatni a megrendelőt a "betörés" minden részletébe, vagy elegendő visszamenőlegesen tájékoztatni, a biztonsági vizsgálatról szóló megállapodásban kell rögzíteni. Általában azoknál a szervezeteknél, ahol van erre szabad humán erőforrásbeli kapacitás, szeretik nyomon követni a folyamatokat - magyarázza Vas Péter -, ahol pedig ez nem biztosított, inkább a végeredményre és a javaslatra korlátozzák figyelmüket. Mayer Erika ezt azzal egészíti ki, hogy a hackernek nyilván nem érdeke a szakmai tudását ilyen mértékben megosztani a megrendelővel.
Az etikus hacking során azoknak az információknak az integritására is ügyelni kell, amelyek kényes voltáról a megrendelőnek - esetleg - nincs tudomása. Ezek védelmét ugyancsak az együttműködési megállapodásban kell rögzíteni. Vagyis az etikus hackerek szempontjából minden adat szenzitív, és ennek megfelelően kell eljárniuk. A vizsgálatokat üzemidőn kívül kell elvégezni, nem akadályozhatja a vállalat működését, illetve minden fázis előtt megfelelő visszaállítási pontokat kell létrehozni.
A magyar jog az etikus hacking szempontjából naprakésznek tekinthető - állítja Mayer Erika. A jelenleg hatályos Btk. 300.C.§-a értelmében ugyanis: "Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, illetőleg azt megsértve bent marad, vétséget követ el, és egy évig terjedő szabadságvesztéssel büntetendő. (2) Aki a) számítástechnikai rendszerben tárolt, feldolgozott, kezelt vagy továbbított adatot jogosulatlanul megváltoztat, töröl vagy hozzáférhetetlenné tesz, b) adat bevitelével, továbbításával, megváltoztatásával, törlésével, illetőleg egyéb művelet végzésével a számítástechnikai rendszer működését jogosulatlanul akadályozza, vétséget követ el, és két évig terjedő szabadságvesztéssel büntetendő."
A kulcsszó ebben az esetben a jogosulatlanul. Mivel viszont az etikus hacker megállapodik a megrendelővel, így ez a tényállási elem hiányzik, tehát bűncselekményt nem követ el. A szerződés pedig egy Ptk. szerinti megbízási szerződés. Mindez alig tér el a világban uralkodó jogi szabályozástól, amelyben értelemszerűen irányadóak az Egyesült Államokban meghozott törvények. A Computer Fraud and Abuse Act (Számítógéppel elkövetett csalás és visszaélés), valamint a többek között a terrorizmus fogalmát is definiáló 2001. októberi USA PATRIOT Act alapján az ethical hacking jogszerű abban az esetben, ha valamilyen felhatalmazás alapján történik a behatolás. Ráadásul a kormányzati számítógépes rendszer része egy olyan kockázatkezelő program is, amelynek keretében megbíznak külső cégeket, illetve személyeket, akiknek célja a biztonsági rendszerek gyengeségeinek feltérképezése és a folyamatos biztonsági fejlesztések tesztelése.
Természetesen bőven akad megrendelés az amerikai kormányzattól függetlenül is. Emlékezetes volt például a Facebook tavalyi felhívása: jutalmat adott azoknak, akik segítenek megnehezíteni a közösségi oldal ellen irányuló támadásokat. A program első 21 napja alatt a Facebook negyvenezer dollárt fizetett ki azoknak, akik biztonsági rést fedeztek fel a rendszerben. A program során volt olyan biztonsági szakember, aki 7000 dollárt kapott hat komoly biztonsági hiba bejelentéséért.
Nem csupán szakmai, de anyagi szempontból is csábító lehet tehát ezen a területen tevékenykedni. Azt viszont, hogy hány főt bír el a magyar informatikai biztonsági piac az etikus hackinggel foglalkozók köréből, meglehetősen nehéz megbecsülni - mondja a NetworKing Informatika ügyvezetője. Jelenleg az informatikai szolgáltatások piaca telített ugyan, de ehhez mérten kevesen foglalkoznak etikus biztonsági vizsgálattal. Ennek egyik oka, hogy ez a szolgáltatás egyelőre a kis- és középvállalati szektorban még kevésbé terjedt el, inkább csak a nagyvállalati ügyfelek veszik igénybe. A másik ok, hogy szakemberhiány van - ezt azonban már a felsőoktatási intézmények is felismerték. Amennyiben a két korlátozó tényező párhuzamosan tud fejlődni, jó ideig nem kell tartani az egyensúly felborulásától.
Különböző képzési szinteken, számos tanfolyamon sajátíthatók el az etikus hackinggel kapcsolatos ismeretek. Joggal merül fel azonban a kérdés: mit lehet ebből a speciális szakmából tanfolyami formában elsajátítani - és mi az, amit csak az "éles" gyakorlat taníthat meg? Az elérhető legfrissebb hackertechnológiák, az IT-biztonság területére vonatkozó hazai és nemzetközi jogszabályok, illetve azok a törvényi előírások, amelyek az etikus hacker munkavégzéséhez elengedhetetlenül szükségesek, megismerhetők és elsajátíthatók. És bár ezek a tanfolyamok nagyon gyakorlatiasak, nyilvánvalóan nincs lehetőség minden körülmény szimulálására, így az éles helyzetekben szerzett tapasztalat nélkülözhetetlen - mutat rá Vas Péter.