Számítógépes bűncselekmények (1. rész): napi egymillió áldozat?

Ezt a helyzetet a kritikus infrastruktúra felerősödésének is nevezhetjük – ismertette dr. Somos Zoltán. Az ENSZ 1987-ben a komplett biztonság részeként már foglalkozott a kiberbiztonság kérdésével is, mely korunkban a felhőalapú internet szolgáltatással még erőteljesebbé vált (cloud computing).

Az adatok feletti rendelkezés kérdése egyre inkább az adatok birtokosa (például: az egyes cégek) és az adatokat kezelő felhőszolgáltató között fog várhatóan megoszlani.

Néhány adat

Az interneten elkövetett bűncselekményeknek naponta hozzávetőlegesen egymillió áldozata van. A számítógépes bűnözők évente mintegy 750 milliárd eurót profitálnak Európában, míg az USA-ban ez az összeg 4000 milliárd amerikai dollárra tehető. A támadások kereszttüzében elsősorban az Amerikai Egyesült Államok áll, melyet az EU-s tagországok, majd Kína és a fejlődő országok követnek a sorban.

Egy hónap alatt világviszonylatban 30 milliárd képet töltenek le az interneten, pusztán e cikk elolvasásának ideje alatt 1-2 millió új képet tesznek fel internetes felületekre. Világviszonylatban csaknem 50 milliárd internethez kapcsolt eszközről beszélhetünk (számítógépek, telefonok - internet of things).

Magyarországon az ORFK, a BRFK, a NAV, a TEK, az AH rendelkezik megfelelő csúcstechnológiai osztállyal az ilyen jellegű cselekmények monitorozására (nyíltan fellelhető adatok esetén OSINT-ra), felderítésére, míg az Europol, Interpol leginkább koordinációs tevékenységet végez e tekintetben. Létrejött továbbá az Európai Kiberbűnözés Elleni Központ, mely folyamatosan bővíti tevékenységét.

A hihetetlen adatmennység gyűjtése ugyan folyamatos, azok értelmezésére azonban nincs idő, sokszor helytelen következtetések levonására adhat okot a gigantikussá növekedett adatbázis. Ma már 80-90 százalékos bizonyossággal megmondható, hogy holnap ki, mikor és merre lesz, ez pedig jelentős kockázati tényezőt jelenthet az előre megszervezett bűncselekmények tekintetében.

Magyarország az EU-s tagállamok közül talán az egyik legfertőzöttebb az úgynevezett botnetek vonatkozásában, az ilyen formán zombie-vá változtatott számítógépek arányában megelőzzük New Yorkot, Sanghajt. Számos bűnözők által használt program válik nap mint nap elterjedtté – hívta fel a figyelmet a Jádi Németh Ügyvédi Iroda szakértője.

Ilyen például az internet használati szokásainkat is felmérni tudó kémprogram (spyware), vagy a kifejezetten provokatív célból megvalósított, másokat lejárató jellegű internetes ténykedés (flame) vagy az egyes internetes felületeket megváltoztató defacing jelenség. A stuxnet önmagában képessé vált arra, hogy tönkretegyék Irán atomerőmű urániumdúsító berendezéseit.

Az említett esetben az urániumdúsító centrifugákat hajtó motorok nagyfrekvenciás átalakítóinak technikai adatait” szerezték meg” a finn és az iráni gyártótól. Az ENSZ-et követően az EU, a NATO és az EBESZ is különböző kiberbiztonsági stratégiát állított fel.

Az új uniós irányelv az adatkezelő felhőszolgáltató és az adatbirtokos (például cégek) közötti felelősséget megosztja és a cégeket akár 100 millió euróig, vagy a cég éves árbevételének 5 százalékáig terjedő birsággal sújthatja az adatokkal történő visszaélések megállapítása esetén. A cégek 33 százalékánál figyelhető meg adatlopás, nem beszélve az adatkiszivárgás egyéb eseteiről. Önmagában a GP Morgan-nél 83 millió ember adatát lopták el.

A magyar Btk. felsorolása

Dr. Somos Zoltán szerint a magyar Büntető törvénykönyv az új uniós irányelvnek megfelelően osztja fel a számítógépes és ahhoz köthető bűnelkövetési formák jellemzését, törvényi tényállásban való megfogalmazását.

Ilyen például a Btk. 423. szakasza szerinti, az információs rendszer vagy adat megsértése (adatmanipuláció). A bűncselekmény elkövetése során az egyes sértetteknek és sértett cégeknek e tevékenység komoly presztízsveszteséget jelenthet, az államok egymással szemben elkövetett „támadásainak” pedig komoly nemzetbiztonsági kockázatai lehetnek.

Ilyen például az úgynevezett túlterheléses támadások megindítása, kormányzati szervek, bankok, ipari üzemek, cégek portáljai ellen, mely támadás célja adott esetben a tevékenység időleges megbénítása, zavarkeltés is lehet. A bűncselekmény vagyoni haszonszerzés érdekében is elkövethető, a motívumok lehetősége korlátlan.

Ettől megkülönböztethető az úgynevezett etikus hackelés, amely egy működő rendszer védelmi kontrolljának kijátszása bármilyen technikával. Ez sok esetben maga a rendszergazda is lehet.

Adathalászat (phishing)

Megkülönböztető az adatok kiszivárgásától – figyelmeztetett a Jádi Németh Ügyvédi iroda szakértője. Egyes esetekben jelentheti a wifi hálózatra történő jogszerűtlen belépést, de a jogszerű belépést követő visszaélésszerű magatartást is. A tevékenység az adathalászaton kívül alkalmas lehet az előző bűncselekmény kategóriában meghatározott módon történő adatmanipulálásra, törlésre és blokkolásra is.

A tevékenység során kéretlen levelek érkezhetnek, ahol is a ráklikkeléssel egy az eredetivel megegyező weboldalra kerülhet a felhasználó, ahova ezt követően beírja adatait (jelszó, felhasználó név, személyes adatok, bankkártya adatok), mely adatok segítségével a bűnözők aztán az eredeti fiókba jelentkezhetnek be és akár online vásárlást is lebonyolíthatnak a valódi tulajdonos nevében.

Az adatok letöltése vagy azok feltöltése is megvalósulhat illegálisan ilyen módon. A feltöltés során olyan adatok kerülhetnek valamely személlyel összefüggésben internetes felületekre, mely adatok bűncselekmény elkövetésére adhatnak gyanút, mely alkalmas lehet akár egy operatív nyomozás elrendelésére is a mit sem sejtő személlyel szemben.

Az ilyen tevékenység különösen veszélyes lehet a közösségi oldalakon, itt ugyanis nagyszámú link érkezhet a felhasználó részére (Facebook, IWIW, MySpace, Twitter). Rosszindulatú programok, különösen több fajtájú vírus (virus) és féreg (worm) „fertőzheti” meg a felhasználó gépét, mely gép felett azután a bűnözői kör az irányítást átveheti, azt „zombie”-vá változtatva.

Az ilyen jellegű gépek a felhasználó tudta nélkül lehetnek alkalmasak a már jelzett túlterheléses támadások lebonyolítására vagy más jellegű bűncselekmény elkövetésére is.

Az adathalászat során nagymennyiségű és értékű bizalmas információ és adat szerezhető meg jogellenesen (big data), mely az üzleti titok, gazdasági titok megsértésével horribilis károkat okozhat a cég jó hírnevében és vagyonában egyaránt, magánszemély esetén annak élete minden vetületében. Ilyen formán óriási felhasználható adathalmaz keletkezik, azokat a IT bűnözők speciális célszoftverekkel működtethetik.

Az adatokat azonban felhasználhatják éppúgy különböző belföldi és külföldi marketing irodák, cégeknél működő HR szakemberek, nyomozó hatóság és akár a titkosszolgálatok is. Ezen felhasználás utóbbi szervek esetén természetesen lehet jogszerű is, de azok visszaélésszerű alkalmazása sem kizárt.

(A Jádi Németh Ügyvédi Iroda szakértőjével készült háromrészes írás második részét hamarosan közöljük – a szerk.)