Hirdetés
Hubert Csaba kiberbiztonsági szakértő – akit legutóbb mi is megkérdeztünk a BKK és a T-Systems elleni túlterheléses támadásokról – tegnap az alábbi sajtóközleményt juttatta el hozzánk:
2017. augusztus 2-án a 24.hu hírportál újabb adatbázist kapott egy meg nem nevezett forrástól, amiben 5604 állampolgár adatai, továbbá a közbringarendszer aktív szerződéseinek egy része is megtalálható. A portál az adatbázist megküldte a NAIH felé, hogy ellenőrizzék le az abban tárolt adatok valódiságát.
Véleményem szerint súlyos bűncselekmény merült fel az adatok illetéktelen megszerzése következtében, ezért jelen közleményem kiadásával egyidejűleg feljelentést teszek a Készenléti Rendőrség Nemzeti Nyomozó Irodánál, ismeretlen tettes ellen a Büntető Törvénykönyvről szóló 2012. évi C. törvény 423. § (1) bekezdésébe ütköző, és a szerint minősülő információs rendszer vagy adat megsértése bűntett elkövetésének alapos gyanúja miatt.
Pár, magát hackernek kikiáltó személy, kezdve a BKK e-jegy rendszerében módosítást elvégző fiatal fiúval, megpróbálja rossz színben feltüntetni az etikus hacker közösséget, és tovább rontani azt a képet, amit az emberek az etikus hackerekről gondolnak. Az etikus hacker szakma mint olyan rég óta létezik, és megvan az a szigorú, kötött szabályrendszere, ami mentén ilyen jellegű tevékenységet lehet végezni. Ez onnantól kezdődik, hogy az adott cég írásban, szerződés keretében felkéri a biztonsági szakembert vagy céget arra, hogy vizsgálja meg a rendszereiben található sérülékenységeket, és adott esetben javítsa is ki azokat. Az etikus hackerek többsége rendelkezik olyan tudással és nemzetközileg elismert végzettségekkel, mint pl. a CEH (Minősített Etikus Hacker) vizsga, ahol a szakma minden fontosabb elemét el tudta sajátítani a technikai részletektől egészen a jogi ismeretekig bezárólag. Mindez garancia arra, hogy aki rendelkezik a megfelelő végzettséggel és a törvények szerint jár el, az kizárólag felkérésre végzi el a rendszerek sérülékenységvizsgálatát, amiről megfelelő dokumentációkat készít, és sose lépi túl a jogosultsági kereteket, csak olyan mértékben amennyire a megrendelő a beleegyezését adja.
Mindenki más, aki végzettségek nélkül a törvényben leírtakat figyelmen kívül hagyva, önhatalmúlag vagy kíváncsiságtól vezérelve cselekszik, az nem nevezhető etikus hackernek, és a cselekménye ellen a törvény legnagyobb szigorával kell fellépni.
A hazai cégeknek pedig minél előbb meg kellene teremteni azokat a feltételeket, programokat, melyek elősegítik a rendszereikben található biztonsági sérülékenységek bejelentését, adott esetben külön pénzdíjazás ellenében (Bug Bounty – hibavadász program). De ami még ennél is fontosabb, hogy a cégek vegyék komolyabban a szakértők bevonását az IT projektekbe annak érdekében, hogy már a tervezési szakasztól kezdve egy biztonságos rendszer épülhessen.
Ahhoz, hogy a fiatalok idejekorán megtanulják, hogy ezen a területen milyen lehetőségek vannak és mit szabad csinálni, illetve mi számít bűncselekménynek, minél előbb be kellene építeni a tantervbe IT biztonsági tudatosító tananyagokat, ahol az alapvető jogi és technikai információkat meg tudják tanulni.
Arra buzdítanék minden szakmailag elhivatott, érdeklődő fiatalt, hogy tudását etikusan használja fel, a törvények maximális betartása mellett. Mindig jóindulatúan, segítő szándékkal, a jogosultságokat nem túllépve cselekedjenek, és próbáljanak meg elmenni azokba a közösségekbe, ahol a hasonló képességű, de már tapasztalattal rendelkező hackerek vannak. Ebben részben jó iránymutatást ad a most elkészült, folyamatosan bővülő https://etikushacker.info weboldal is.
Hubert Csaba kiberbiztonsági szakértő, kibernyomozó
Budapest, 2017. 08. 03.