Botrány: vagy feltörték a szabadalmi hivatal szerverét, vagy nem

Egyre élesebbé válik a vita a Szellemi Tulajdon Nemzeti Hivatala (SZTNH) és egy hasonló profilú egyesület, a Magyar Szellemi Tulajdonvédelmi Egyesület (MSZTE) között arról, hogy a pár hónapja történt biztonsági incidens vajon mi is volt valójában, illetve milyen kár keletkezhetett.

Az SZTNH állításai

A hivatal több alkalommal adott ki közleményt az ügyben, legutóbb november 19-én. Ebben újra kijelentik, hogy az SZTNH október 25-én egy közleményt és egy ügyfeleknek szóló tájékoztatót jelentetett meg honlapján az informatikai rendszerét ért támadásról, amelynek következtében közzététel előtt álló szabadalmi dokumentumok kerülhettek a támadó birtokába. Ezek után az SZTNH megtette a szükséges intézkedéseket a további visszaélések megakadályozása és az elkövetők felderítése érdekében, a potenciálisan érintett szabadalmi bejelentéseket pedig azonosította. Az ilyen bejelentések benyújtóit az SZTNH levélben kereste meg annak érdekében, hogy az esetből következő kockázatok kezelhetők legyenek, és a bejelentőket ne érhesse hátrány. A levelek kézbesítése részben már megtörtént, részben pedig a postai átfutási időn belül a napokban megvalósul.

Az SZTNH már októberi közleményében leszögezte, hogy hiába szereztek meg a támadók esetleg dokumentumokat, szabadalmi bejelentéseket, jogi garanciák vannak arra, hogy ezekkel nem lehet visszaélni.

Hirdetés

Az MSZTE nem hisz

Az egyesület terjedelmes közleményben reagált az SZTNH állításaira, melyet így kezdenek: „A Magyar Szellemi Tulajdonvédelmi Egyesület, mint a Kormány innovációs politikájának támogatására alakult nonprofit civil szervezet, észlelve a magyar fejlesztésekre leselkedő versenyhátrányt, közzéteszi szakmai véleményét, egyúttal pontosítva is a sajtóban elhangzottakat. Nemzetünk fejlesztői kiszolgáltatott helyzetbe kerülnek, amikor találmányukat rábízzák a Szellemi Tulajdon Nemzeti Hivatalára (SZTNH). Teszik ezt abban a hitben, hogy másfél évig nem jutnak nyilvánosságra üzleti titkaik, hiszen ekkor még a törvény nem ad ideiglenes oltalmat sem (ld. 1995. évi XXXIII. tv. 18. és 70. §). Az Alaptörvény (V. cikk) szabályozza a szellemi tulajdonhoz való jogot és az ezzel járó társadalmi felelősséget. Ha ez tömegesen sérül, akkor olyan súlyos problémáról beszélhetünk, amely mellett nem mehetünk el szótlanul.”

Az MSZTE kritikájának lényege: szerintük nem történt semmiféle támadás, hanem az SZTNH weboldala volt olyan állapotban, hogy onnan bárki bármilyen iratot letölthetett: „Vélhetőleg informatikai hiba, illetve az informatikai rendszer ellenőrzésével kapcsolatos mulasztás állhat inkább a háttérben. A hiba akár már régóta fennállhatott, amikor azt külső információk alapján felfedezték. Ezt egy független vizsgálatnak kellene kiderítenie.”

A problémát egy korábban készült képernyőképpel illusztrálják, amelyen az látható, hogy az iratbetekintési weblapok címsorában szerepel az ügyszám is, azaz ezt bárki átírhatta, és így tetszőleges dokumentumhoz férhetett hozzá.

SZTNH

A hivatal válasza

Az SZTNH közli, hogy az „MSZTE megállapításai közül reagálnunk kell azokra a tendenciózusan félrevezető, téves állításokra, amelyek alkalmasak arra, hogy az ügyfeleket megzavarják, elbizonytalanítsák, adott esetben félrevezessék, végső soron az SZTNH-t hamis színben tüntessék fel.”

Ezeket érdemes szó szerint idézni:

  1. Az MSZTE képviselője azt állítja, hogy az informatikai támadás következtében nem-publikus szabadalmi iratok váltak „bárki számára hozzáférhetővé”. Az Európai Szabadalmi Hivatal Fellebbezési Tanácsa T 1553/06 számú döntésével irányt mutatott az internetes honlapokon található dokumentumok bárki által való hozzáférhetőségének a megítélésével kapcsolatban. Az európai esetjog részévé vált döntés értelmében nem tekinthető a köz számára hozzáférhetőnek egy, az interneten tárolt dokumentum, ha azt közhasználatú keresőmotorral, egy vagy több kulcsszó alkalmazásával nem lehet megtalálni, illetve címsorból való keresés esetén a hozzá vezető url címet ki kell találni. Az SZTNH-t ért informatikai támadás esetében a szóban forgó, nem-nyilvános dokumentumokat keresőmotor és kulcsszavak alkalmazásával nem lehetett megtalálni, mivel az alkalmazás által biztosított publicitás ellenőrzés meggátolta ezt.

    Az incidenst kiváltó adathalász nem a nyilvános szabadalmi iratok megtekintésére létrehozott hivatali felületről közelítette meg a letölteni kívánt dokumentumokat, hanem az alkalmazást megkerülve, url cím felől. Ehhez éppúgy szükség volt informatikai, mint mélyreható iparjogvédelmi ismeretekre. A szóban forgó url cím nem volt ugyanis egyetlen alkalmazásban sem látható, azt más célra használt url címek részleteinek a kombinálásával, karakterek behelyettesítésével, próbálgatással lehetett létrehozni.
  2. Az informatikai támadás egyértelműen „rosszhiszemű, célzatos és szisztematikus” volt. Az SZTNH tűzfalának log-file-jait elemezve kiderült ugyanis, hogy az adathalászatban két, egymással kapcsolatban álló számítógép IP címe volt érintett, amelyeket iparjogvédelmi jártassággal bíró személynek kellett használnia. A log-elemzés arra is fényt derített, hogy a szisztematikus próbálkozás során szoros összefüggés volt az adott szintaktikájú url címen keresztül való lekérdezésben érintett egyik IP cím és egy adott szabadalmi iroda által kezelt ügyek között. A másik IP cím akkor kapcsolódott be az adathalászatba, immár egy célprogramot alkalmazva, amikor a kísérletezés már eredménnyel járt.
  3. A későbbi események egyértelműen arra utaltak, hogy az adathalász elsődlegesen nem abban volt érdekelt, hogy a közzétételt megelőzően a bejelentésekben foglalt megoldásokat megismerje. A megtalált informatikai rés jelenlétére nem hívta fel az SZTNH figyelmét; abból a tényből akart ugyanis a maga számára előnyt kovácsolni, hogy bebizonyítsa, a hivatal informatikai rendszere eredményesen támadható.

Közleményének kiegészítésében az MSZTE a fentiekről azt állítja, hogy az SZTNH rosszul értelmezi a jogot, amelyik épp az ellenkezőjét mondja, mint ők.

Folytatás?

Anélkül, hogy állást foglalnék, némi értékelésre a fenti információk alapján is lehetőség van – természetesen nem jogi szempontból.

Az MSZTE harcos kirohanásait csak akkor lehetne helyükön kezelni, ha jártas lennék a szabadalmi jog bugyraiban, mindenesetre nem kevéssé hisztérikusnak tűnnek. Az SZTNH viszont egyértelműen mismásol: ha az url megváltoztatásával jogosulatlanul hozzá lehet jutni dokumentumokhoz, az a legsúlyosabb biztonsági hibák közé tartozik. Ettől függetlenül természetesen senkinek nincs joga így letölteni dokumentumokat, ez büntetendő hackelés – ilyen értelemben talán lehet „támadásról” beszélni, de hogy a legsúlyosabb hibát az SZTNH informatikusai követték el, azt már most bizton állíthatjuk.

Feltehetően folyik vizsgálat, és ez az ügy jó próbája lehet a friss információbiztonsági törvénynek is.

  • Kapcsolódó cégek:

Azóta történt

  • Súlyos biztonsági incidens a JPMorgannél

    Európai ügyfeleket ugyan nem érint az incidens, de érdemes figyelni az újabb példára: a netes banki szolgáltatások a nagyobb kényelem mellett egyre nagyobb kockázatokat is hordoznak.

  • A szabadalmi hivatal ejnye-bejnyével megúszta a biztonsági incidenst

    Habár az alapjogi biztos több súlyosan elmarasztaló megállapítást is tett, a történteknek nem lesz semmilyen komoly következménye.

  • Adjátok vissza!

    Úgy tűnik, ma az államigazgatásban a felelős pozíció betöltésének feltételei között nincsenek ott az informatikai alapismeretek. De nem baj, attól az illető még nyilatkozhat egy biztonsági incidensről.

Előzmények