BKK-ügy: Az etikus hackelésről – Kettőn áll a vásár…

A múlt hónapban nagy vihart kavart annak a 18 éves fiúnak az esete, aki a T-Systems által a BKK megrendelésére fejlesztett elektronikus jegy hibájára hívta fel a közlekedési vállalat és a nagyközönség figyelmét. Rabosítása érthető módon erős szimpátiát váltott ki az emberekben a fiatal „hacker” iránt, és még erősebb ellenérzést a BKK-val és a T-Systemsszel szemben. A szimpátia természetesen érthető is, hiszen minden jel arra utal, hogy a hiba feltáróját a jó szándék vezette. De vajon megalapozott-e a két vállalatot ért kritika?

Eddig a legtöbb fórumon úgy állították be az esetet, hogy etikus hacke­lés történt, de kérdés, hogy vajon jogi értelemben is így van-e. Nem árt ugyanis különbséget tenni a jó szándék és az etikus hackelés között, illetve a súlyos következmények elkerülése érdekében meghúzni a jogi határokat. Na és persze felmerül még egy kérdés: vajon tisztában vannak-e vele azok, akik kiállnak a rendszert feltörő, jobbító szándékú fiatal mellett, hogy adott esetben az ő jogaik is sérülhettek volna?

De mi is az az etikus hackelés? Bár a különböző jogrendszerek még csak tanulgatják, és nem egyforma mélységben kezelik a kérdést, etikus hackelésről jogi értelemben akkor beszélhetünk, amikor valaki a rendszer üzemeltetőjétől kapott felhatalmazás alapján egy informatikai rendszert tesztel, feltör, hogy annak gyengeségeit feltárja. Ez a tevékenység teljesen jogszerű, és csak a rendszer működtetőjének hozzájárulásával végezhető. Tehát az etikus hackelés fogalmát el kell választani attól az esettől, amikor valaki jóhiszeműen, akár a rendszer-üzemeltető érdekét szem előtt tartva töri fel a rendszert, de az üzemeltető tudta nélkül. A rendszer üzemeltetőjének előzetes jóváhagyása nélkül ugyanis – vezethet minket bármilyen szándék – a hackelés már nem esik a jogszerű keretek közé.

A BKK-s eset annyiban egyedi, hogy úgy tűnik, történetünk főszereplője a súlyos programozási résre akár véletlenül, sőt úgy is rábukkanhatott, hogy a rendszerbe be sem kellett törnie. Azonban épp a közvéleményben kialakult óriási hullámverés miatt fontos hangsúlyozni, hogy ha később bebizonyosodna, hogy a fiatal, még ha a jobbítás szándékával is, de a rendszerbe betörve fedezte fel a hibát, nem járt el jogszerűen. Persze ki kell emelni azt is, hogy igen nehezen is járhatott volna el úgy. Itt érkezünk el oda, hogy a jogszerűség lehetőségét meg kell teremteni, különösképpen arra való tekintettel, hogy a tinédzser magatartása nem volt veszélyes, sőt kifejezetten hasznos volt, mert egy súlyos hiányosságot tárt fel.

Hogy mit lehet tenni? Egyrészt a felelős, modern felfogást képviselő cégeknek kellene megfelelő szerződéses lehetőséget biztosítaniuk, másrészt megfelelő szabályozással kellene előállnia a jogalkotónak. Egyre több az olyan fiatal, aki puszta kíváncsiságból elkezdi feltárni a hasonló jellegű hibákat, bele sem gondolva abba, hogy más lakásába sem próbálhatnak bejutni csak azért, hogy teszteljék a zárat. Ezért hasznos lenne előremutató, jó megoldást találni, hogy a jól képzett, intellektuális kihívásokra vágyó fiatalok legális keretek között segíthessenek, és kihallgatás, büntetőeljárás helyett elismerésben részesülhessenek.

Fontos szempont az is, hogy egy jó szándékú, de nem jogszerű hackelés esetén az esetleg kiszivárgó adatokért a rendszerek üzemeltetői, tulajdonosai felelnek azokkal szemben, akiknek az adatait kezelik. Már pusztán az is felveti felelősségüket, ha egy hacker hozzájut a fogyasztók adataihoz, és ezen az sem változtat, ha kikötik a rendszer védelme érdekében etikus hackerek által végzett tesztelések lehetőségét. Hiszen a baj épp az, hogy a tehetséges fiatalok önkéntes elektronikus rendszeráttörései, hibafeltárásai nem tekinthetők etikus hackelésnek.

A jelen jogszabályi környezetben kettőn áll a vásár. A hibákat intellektuális kalandvágyból, jó szándékkal feltárók bizony nem járnak el jogszerűen, és a jogszabályok alapján tartózkodniuk kellene az ilyen kutatásoktól, azonban az állam és a cégek tehetnének ez ellen megfelelő jogszabályi, illetve szerződéses környezet biztosításával. A fenti eset is mutatja, hogy mindkét félnek sok vesztenivalója van. Az informatikai rendszerbe betörő büntetőeljárást, a feltört fél pedig súlyos presztízsvesztést, sőt akár óriási anyagi kárt kockáztat.