2019. december 5-én egy különleges rendezvényen vehettünk részt a Com-Forth Kft. szervezésében, amely a Beyond the Hype meetupsorozat részeként, ICS SECURITY - Kiberbiztonság az Iparban címmel került megrendezésre. A meetup az ipari szegmens kibertámadásokkal szembeni kitettségére szerette volna felhívni a figyelmet. Egy mérnöki pontossággal felépített - LEGO - város, azaz Szkadafalva elleni rögtönzött kibertámadásnak lehettünk szem- és fültanúi, mely azon túl, hogy igen látványos bemutató volt, remekül érzékeltette a téma és a probléma komolyságát.   

A kibertámadást követően érkezett a felkérés egy, az ipari rendszerek kiberbiztonságának jogi aspektusait bemutató cikk megírására.

Dr. Vas Eszter és Dr. Fülöp Adrienn összefoglalója

 

 

A témát természetesen több megközelítésben is fel lehet dolgozni, végül azonban arra jutottunk, hogy maradva a bemutatott „bűncselekménynél”, a Szkadafalva ellen indított kibertámadást vizsgáljuk meg jogi szempontból.

Az eset tényállása tehát a következő. Adott egy város, amelynek van szennyvíztisztító berendezése, nukleáris erőműve, nukleáris hűtővíz elvezető berendezése, illetve veszélyes anyagok tárolására használt speciális medencéje. Az üzemek működtetéséről egy központi informatikai rendszer gondoskodik. Az elkövetőnk ebbe az informatikai rendszerbe jogosulatlanul belépett, majd – a látvány kedvéért - egyesével felrobbantotta az üzemeket.

2019_11_21-219

Jelen tanulmányban kizárólag az üzemeket működtető informatikai rendszer meghackelésére térünk ki, a létesítmények felrobbantásának – anyagi kár okozásán felüli - egyéb következményeit nem vizsgáljuk.

A tényállás minősítése elsőként attól függ, hogy az elkövetőt jogtalan haszonszerzési cél vezérelte-e a bűncselekmény elkövetésekor. Mivel Szkadafalva esetében nincs semmilyen adatunk arra vonatkozóan, hogy az elkövetőnket haszonszerzési cél vezérelte volna, cselekményével az információs rendszer vagy adat megsértésének bűncselekményét valósította meg.

 

A nevezett bűncselekmény háromféle elkövetési magatartással valósítható meg. Önmagában büntetendő e körben az informatikai rendszerbe történő jogosulatlan belépés, az informatikai rendszer működésének akadályozása és a tárolt adatok megváltoztatása.

 

Az elkövető a bűncselekményt ráadásul közérdekű üzem ellen követte el, így magatartásával minősített esetet valósított meg, mely 2 évtől 8 évig terjedő szabadságvesztéssel büntetendő.

Komoly hiányosság, hogy a nevezett bűncselekménynek nem eleme a károkozás, holott az ilyen behatolások kis kivételtől eltekintve kárt okoznak mind magában az informatikai rendszerben, mind pedig a magukban a létesítményekben – ahogy történt Szkadafalva esetében is. Ez azt jelenti tehát, hogy nem értékeli a hatályos szabályozás azt a körülményt, hogy a bűncselekménnyel az elkövető milyen kárt okozott. Emiatt, ha a cselekménnyel kárt is okoz az elkövető, akkor azt a rongálás törvényi tényállása körében lehet értékelni, így az elkövető egy magatartásával lényegében kettő bűncselekményt követ el (ún. halmazat).

Nem véletlenül nem szóltunk arról az esetről, ha az üzemkimaradás bevételkiesést is okoz, az ugyanis mint elmaradt vagyoni előny nem minősül kárnak a büntetőjogi kár definíció értelmében, így a rongálás körében sem értékelhető.

2019_12_05_IoT_Meetup-10

 

Látható tehát, hogy a szabályozás jelenleg még gyerekcipőben jár, ami a jövőben remélhetően fejlődni fog. Ehhez viszont szükség van arra, hogy minél több kiberbűncselekmény elkövetése kerüljön a nyomozóhatóság látóterébe, hiszen csak akkor tudja az élet alakítani a törvényi tényállásokat, ha azokról a jogalkalmazó, és ezáltal a jogalkotó felé jelzés érkezik. Ezen bűncselekmények esetében pedig a jelzőrendszernek kiemelkedően fontos szereplője a sértett, vagyis az információs rendszer tulajdonosa, hiszen sok esetben ő az, aki a bűncselekményről közvetlenül tudomást szerez és aki azt a nyomozóhatóság tudomására tudja hozni.

 

IEC 62443


Ezúton is köszönjük a cikk megírását Dr. Vas Eszternek és Dr. Fülöp Adriennek, a Holló, Vas & Fülöp Ügyvédi Társulás ügyvédeinek, valamint köszönettel tartozunk a Szkadafalvát ért támadások bemutatásáért felelős Black Cell-nek is.

Kiberbiztonság ICS kiberbiztonság IT jog SCADA biztonság

Írta: Dr. Vas Eszter

2013. óta dolgozom ügyvédi irodában, immár saját praxis keretein belül. Ezt megelőzően tagja voltam ügyvédi társulásnak is, amelyben szoros együttműködésben álltam több ügyvéd kollégával. Az évek folyamán ráébredtem, hogy az igazi csapatmunka az, ha az együttműködésünk során az ügyféllel olyan tudás- és gondolatközösséget tudunk létrehozni, amiben az általános és felszínes információk megosztásán felül az elsőre irrelevánsnak tűnő, de a közös ügyünk szempontjából mégis esszenciális jelentőségű tudnivalókat is eljuttatjuk egymáshoz. Mindennapi működésem során igyekszem a világ fejlődését szakmailag is követni, ezért gondolom azt, hogy a „kiberesemények” jogi támogatása manapság már elengedhetetlen.