Az alábbi cikk az elmúlt hetek BKK-val kapcsolatos eseményeire reflektálva Frész Ferenc, a Kürt Akadémia etikushacker-képzés vezetőjének szakmai álláspontját tükrözi. Ez jelenleg az egyetlen olyan intézmény Magyarországon, amely minősített képzés keretein belül oktat etikus hackereket.

Etikus vagy jó szándékú? Van különbség

Azzal, hogy valaki feltár egy rendszerben rejlő sérülékenységet, nem tekinthető automatikusan etikus hackernek. Ehhez a státuszhoz egyrészt hivatalos szerződése és jóváhagyása kell, hogy legyen a megbízótól az adott rendszer vizsgálatára, másrészt a vizsgálat során feltárt problémákat nem oszthatja meg harmadik féllel. Tehát, ha egy hacker rendelkezik is hivatalos jogosultságokkal, viszont az általa feltárt sérülékenységeket a rendszer tulajdonosának és üzemeltetőjének tájékoztatása után azonnal megosztja harmadik féllel (sajtóval, bárkivel a közösségi médián), szintén nem tekinthető etikusnak. Ennek indoka, hogy ezzel a tettével kontrollálatlan támadásnak teszi ki a cég rendszerét.

Egy másik példával élve, ami talán jobban érzékelteti a könnyelmű információmegosztás problémásságát: ha egy megbízás nélküli, ám jó szándékú hacker biztonsági rést találna egy atomerőmű rendszerén és az információval nem csak a tulajdonost/üzemeltetőt keresné meg, hanem a sajtót is, illetve megosztaná a közösségi médián, azzal egyértelmű veszélybe sodorná a vizsgált rendszert, aminek beláthatatlan következményei lehetnek. Szintén egy eseményláncot indítana el, amely következményeit nem tudja befolyásolni sem ő maga, sem az atomerőmű üzemeltetője. A BKK esete nem ennyire szélsőséges, de ettől még a tömegközlekedés kritikus infrastruktúrának számít, minden hozzá kötött szolgáltató rendszerrel együtt.

A kiberbiztonság nem csak hackeléssel tesztelhető

A sérülékenységek feltárására a hackelés mellett léteznek egyéb lehetőségek is.

Bug bounty programokat széles körben alkalmaznak nagyvállalatok. Ezeknek a lényege, hogy a cég megadott szerződéses szabályrendszer mellett engedi a sérülékenységek kontrollált feltárását, akár pénzbeli jutalmazásért cserébe. Sokszor ehhez nem is az éles, hanem csak a teszt rendszereit bocsátja rendelkezésre.

A responsible disclosurement agreement módszer lényege, hogy a feltárt hibákat a tulajdonos és üzemeltető felé kommunikálják privát, és lehetőleg titkosított csatornán. Csak abban az esetben lehet hibát publikálni, ha a cég hosszú időkeret után sem reagál a megkeresésre (30-90 nap). A responsible disclosure agreement az úgynevezett 0day (zero day, azaz bevezetés előtti) sérülékenységek megosztására használható, ahol a gyártó termékében egy eddig nem ismert sérülékenységet fedez fel valaki laborkörnyezetben.

Szükség van a szakmai párbeszédre

Az ország jogszabályai nem szabályozzák külön a bug bounty programokat, a responsible disclosure lehetőségeit és nem cizellálják az etikus hackelés különböző esetei közti különbségeket, ezért a BKK-t feltörő hacker nem tekinthető etikusnak és jelen jogszabályi környezet szerint törvénybe ütköző cselekedetet követett el, melyet a BTK 423-424 § szabályoz, bűnösségét a hatóságok feladata megítélni. Az eset azonban rámutat arra, hogy hibákat nem csak megbízott etikus hackerek vehetnek észre, ami önmagában egy üdvözlendő jelenség, hiszen a felhasználók tudatosságát, lelkiismeretességét mutatja. Érthető okokból viszont a témát érintő jogszabályokkal egyelőre csak azon kevesek vannak tisztában, akik jelenleg is a megbízói vagy etikus hackelés szolgáltatói oldalon dolgoznak, és mindenki más, aki civilként vesz észre sérülékenységet, az a legjobb szándéka ellenére is törvénybe ütköző dolgot követhet el, mert jogosulatlanul fér hozzá a rendszerhez.

Fontosnak tartjuk, hogy a Magyarországon használt vállalati vagy állami szféra IT-rendszerei biztonságosan működjenek. Fontosnak tartjuk azt is, hogy bárki talál sérülékenységet, egyértelmű és jog által védett keretek közt jelezhesse azt a rendszer üzemeltetőjének. Ideális esetben a szabályozás kitér a civil hackerek védelmére is, az IT-rendszert üzemeltető vállalatok kultúrája pedig a jelenleginél felkészültebb, nyitottabb és szakmailag igényesebb lesz ezen a téren. Következő lépés a cégek és a jogalkotók részéről történő responsible disclosure irányelvek kidolgozása, de mindenekelőtt az információs rendszerek biztonságtudatos fejlesztése (security by design) és üzemeltetése.