Lehet akár büntetőjogi következménye is a BKK-botránynak

A rendőrség egyelőre rossz irányba indult el

2017. július 23. - Magyar Ügyvéd

ejegy_1.jpgAlaposan meghurcolták azt a fiút, aki ötven forintért vett elektronikus havi bérletet a BKK rosszul sikerült webes boltjában. Bár azonnal jelezte a hibát, a szolgáltatást fejlesztő T-Systems feljelentést tett. Egyelőre csak a fiú lett gyanúsított, s nem azok, akik felelősek azért, hogy havi több mint húszmillióért használhatatlan rendszert hoztak létre.

Kora reggel házkutatást követően a lakásáról hurcolták el, majd gyanúsítottként hallgatták ki a rendőrök azt a fiatalt, aki ötven forintért vett egy BKV-bérletet. Állítása szerint a célja csupán annyi volt, hogy tesztelje, valóban sebezhető-e BKK online értékesítési rendszere. Az Országos Rendőr-főkapitányság megerősítette a 24.hu információját, és arról tájékoztatott, hogy az ügyben a Készenléti Rendőrség Nemzeti Nyomozó Iroda információs rendszer vagy adat megsértése vétség elkövetésének megalapozott gyanúja miatt indított nyomozást.

„A rendőri intézkedés nem okozhat olyan hátrányt, amely nyilvánvalóan nem áll arányban az intézkedés törvényes céljával”. A rendőr kétségkívül a hatóság vagy az illetékes szerv elé állíthatja azt, aki bűncselekmény elkövetésével gyanúsítható, de kérdés, bagatell cselekmény esetén is elfogadható-e ez a drasztikus, éjjel foganatosított kényszerintézkedés? Vajon nem lett volna elegendő a fiatalembert – akinek a személyes adatait nyilván ismerték – egyszerűen kihallgatásra idézni? Persze nem tudjuk, hogy a feljelentésben nem túlozták-e el a cselekmény súlyát.

Az Index írta meg először július 15-én, hogy egy etikus hekkertől kaptak bejelentést, aki azért vette meg körülbelül kétszázszor olcsóbban a havi bérletet, hogy bizonyítéka legyen a rendszer sérülékenységére. Így megalapozott érvekkel tudott figyelmeztetést küldeni a BKK-nak, amire persze nem kapott választ, hanem egyszer csak mentek érte a rendőrök.

Mellesleg amint július 13-án elindult az e-jegyek árusítása, az interneten azonnal számos hibára hívták fel a figyelmet. Kiderült például, hogy a regisztrációnál megadott email-címeket nem ellenőrzik, ami persze legyen a felhasználó baja, ha melléütött egy-két karaktert.

Nem jelentették fel viszont azt az ismeretlent, aki nem sokkal később tette közzé, hogy egyszer csak a rendszer – rendeltetésszerű használat mellett – kiadta neki az Admin belépési kódját, amelynek birtokában az összes felhasználó adataihoz hozzá lehet férni. Ezt ő is megírta a BKK-nak, de választ persze nem kapott. Reményeink szerint ezt a hibát javították.

Kiderült ugyanakkor, hogy az e-jegy egyszerű módszerrel másolható és az ellenőrök nem rendelkeznek olyan eszközzel, amellyel a visszaélést gyorsan ki lehetne szűrni. A Közlekedő Tömeg nevű civil szervezet tíz alkalommal tesztelte ezt, s mind a tízszer sikerrel jártak.

Biztonsági résekre azóta is fény derült, így eléggé nyilvánvaló, hogy a T-Systems által üzemeltett rendszerrel – amelynek üzemeltetésére a cég természetesen nem nyílt közbeszerzési eljárás során, hanem egy szerződés módosításával nyerte el a megbízást – bajok vannak. Az informatikához nem értünk, ám a felmerülő jogi problémákat igyekszünk most sorra venni.

Szervezett támadássorozat…

Mindjárt az első: egy keddi sajtótájékoztatón Dabóczi Kálmán, BKK vezérigazgatója azzal próbálta magyarázni a bizonyítványt, hogy közölte: a rendszerük ellen szervezett támadássorozatot tapasztaltak. Állítása szerint hatszázan próbálkoztak néhány nap alatt, s folyamatosan recseg-ropog a tűzfaluk. Ha ez igaz, miért csak egyetlen személlyel szemben léptek fel? S miért pont az a fiatal vált a fő ellenséggé, aki a biztonsági résről azonnal tájékoztatta a céget?

A fiatalember ellen indult eljáráson felháborodva ismeretlen tettes ellen feljelentést tett közérdekű bejelentő üldözése szabálysértés gyanúja miatt Tényi István feljelentéskirály, aki V. kerületi fideszesként korábban számos esetben fordult már a hatóságokhoz párttársai vélelmezett visszaélése kapcsán is. Jelen esetben melléfogott, mert bűncselekmény gyanúját vélelmezve bárki a hatóságokhoz fordulhat, így nem lehet törvénybe ütköző, amit a jogszabályok megengednek. Lehet, hogy a T-Systems nekifutásból rúgta magát tökön PR szempontból, de a hülyeség nem jogellenes.

De nézzük, miért is lehetne felelősségre vonni a hackert. A Btk. szerint információs rendszer vagy adat megsértése vétségét az követi el, aki, „információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad”. Már bűntettet követ el, aki információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz. 

„Olvastuk a cikketeket, és mivel mi nem tudjuk felvenni a kapcsolatot a fiatallal, aki etikus hackerként jelezte a hibát az illetékeseknek, ezért rajtatok keresztül szeretnénk felajánlani neki egy ösztöndíjas helyet iskolánk szoftverfejlesztő vagy hardver programozó kurzusára. Sok szeretettel várjuk a megkeresését!” – tette közzé az Index egy iskola megkeresését. Mellesleg hackereket foglalkoztat az adóhatóság annak érdekében, hogy minél biztonságosabbá tegyék az online pénztárgépek rendszerét – írta még 2014-ben a hvg.hu.

Ehhez képest a fiatalember mit csinált? A böngészőjében átírta a szolgáltatás vételárát, s ezt a rendszer elfogadta. Mit játszott ki? Semmit, legfeljebb kihasználta a szoftverfejlesztő hülyeségét, ami nemigen lehet bűncselekmény. Ráadásul erről a hibáról azonnal tájékoztatta a BKK-t. Ezért nem a rendőrséggel kellett volna elvitetni, hanem köszönet és legalább egy ajándék buszbérlet járna neki.

Másfelől nem elég az, hogy egy cselekmény tényállásszerűen ütköztethető a Btk.-ba, hanem annak egyúttal társadalomra veszélyesnek is kell lennie. Ha ez nem állapítható meg, nincs bűncselekmény. Az pedig nemigen veszélyes a társadalomra, ha valaki arra hívja fel a figyelmet, hogy egy rosszul megcsinált informatikai rendszer visszaélésre ad lehetőséget. Nem kétséges, hogy a büntetőeljárást meg kell szüntetni.

…vagy a BKK és a T-Systems menekül a felelősség elől?

Legalább ennyire érdekes, vajon mit hibázott a BKK vagy a T-Systems. Például felvetődhet, hogy a nemzeti eljárásrend szerint irányadó közbeszerzési értékhatár az idén szolgáltatások esetén 15 millió forint. Közszolgáltatói szerződés esetén ez ötvenmillió, s a BKK a nem feltétlenül a helyzet magaslatán álló partnerének – egy kontraktus módosítása alapján – alig több mint két hónap alatt ennyit ki is fizet. Vajon rendben van, hogy elmaradt a közbeszerzési eljárás?

A hűtlen kezelést pedig az követheti el, akit idegen vagyon kezelésével bíztak meg, és ebből folyó kötelességének megszegésével vagyoni hátrányt okoz. Egészen egyszerűen fogalmazva: ha a BKK egy olyan szolgáltatásra – webshopra – költött havi 22-25 millió forintnyi közpénzt, amely utóbb használhatatlannak bizonyul, felmerülhet a megrendelő, a rendszert átvevő és a kifizetést adott esetben engedélyező személy felelősségének kérdése.

De eszünkbe jutott a személyes adattal visszaélés is. Ennek vétségét követi el például az, aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével haszonszerzési célból vagy jelentős érdeksérelmet okozva az adatok biztonságát szolgáló intézkedést elmulasztja.

A haszonszerzési cél az is lehet, hogy minél kisebb befektetéssel szerezzenek minél nagyobb anyagi előnyt, tehát például egy adott informatikai rendszer – most konkrétan az e-jegy rendszer – kifejlesztésére a lehető legkevesebbet költik. Nem kizárt, hogy most éppen ez történhetett: olcsón és gyorsan akartak előállni valamilyen terméket, ami egyértelműen több sebből vérzik. De felmerülhet a jelentős érdeksérelem is, hiszen ha a felhasználok email-címéhez és jelszavához hozzá lehet férni, az érintett más adatai is elérhetővé válhatnak. 

Így mindjárt másként néz ki, hogy kit kellene vizsgálni: aki felhívta a figyelmet a hibára, vagy aki kifizette és élesítette a működésképtelen rendszert?

„Őszintén sajnálom, hogy a BKK online értékesítési rendszerének bevezetése problémákkal terhelt, higgyék el, engem és kollégáimat is az a cél vezérelt, hogy a közösségi közlekedést használók könnyen elérhető, gyors és ügyfélbarát megoldást vehessenek igénybe” – írta közleményében Dabóczi Kálmán, a BKK Zrt. vezérigazgató. Tudatta: a BKK minden rendelkezésre álló eszközzel segíteni fogja azt a vizsgálatot, amit Tarlós István főpolgármester rendelt el. Kaszás Zoltán a T-Systems vezérigazgatója pedig a Facebookon azt írta: vitathatatlan, hogy a rendszer bizonyos komponenseinél már léteznek fejlettebb, korszerűbb megoldások is. Jelezte ugyanakkor, személyesen is megérintette annak a hibát jelző fiatalnak az esete, akit rendőrök vittek el a lakásáról, s akit nem mellesleg éppen a cég jelentett fel. Most viszont Kaszás visszakozott: amennyiben bebizonyosodik a hacker etikus magatartása, szeretné felajánlani a jövőbeni együttműködés lehetőségét a számára, ha ő nyitott erre.

(Fotó: szifon.com)

A bejegyzés trackback címe:

https://magyarugyved.blog.hu/api/trackback/id/tr8812681181

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.