A számítógéppel elkövetett visszaélés az egyik legelterjedtebb bűnözési forma - állapította meg a Nemzetbiztonsági Hivatal legújabb évkönyvében. (Reméljük, ezt a technikai akadályok elhárultával, az ígéretekhez híven online is el lehet majd olvasni.) Az állítás, ha mellbevágó is, korántsem meglepő: érdemes egy kicsit körüljárni, miért is alakult ez így, és milyen következményekkel jár.

Közhely, de tény, hogy egyre inkább kompjúterizált és online világban élünk. A nyugati cégek egyre nagyobb arányban állítanak elő nem kézzelfogható, nem tárgyiasult dolgokat; inkább szolgáltatásokat, megoldásokat üzemeltetnek, vagy - mint mi is - szoftvereket és rendszereket fejlesztenek. Az ilyen szervezetektől nem a tárgyiasult vagyont éri meg ellopni: nekünk sem pár elcsent merevlemez hiánya okozna igazán nagy kárt, hanem az, ha az összes forráskódot, specifikációt, dokumentációt, és - elnézést az abszurd vonalért - az összes munkatársunk fejét vinné magával a maszkos rabló. Márpedig ezeket pisztoly helyett számítógéppel lehet hatékonyan ellopni, így nem csoda, hogy ez a fajta bűnözés tolódik egyre inkább az előtérbe.

Megjegyzendő, az arrébrakható vasdarabokat gyártó cégek sem menekülnek: egy nagyobb nemzetközi vállalatnál a termelést és értékesítést egy hatalmas, sok száz különféle ügyosztály által táplált ERP-rendszer fogja össze, amelynek kis túlzással a tényleges gyártás már csak implementációs problémát jelent. Márpedig a teljes jövő évi gazdasági terv összemérhetetlenül többet ér egy vagon cementnél...

Egy másik faktor, hogy a legtöbb esetben egy számítógépes bűncselekmény könnyen és gyorsan, kockázatmentesen kivitelezhető a fizikai megvalósítást igénylő társaihoz viszonyítva. Észrevétlenül betörni egy cég székházába, és onnan üzleti titkokat kilopni kémfilmekbe illő feladat. Kiküldeni pár száz trójait a dolgozóknak? Ötperces munka a netről leszedhető, kész szoftverekkel, kis hozzáértéssel pedig további fél órába kerül lenyomozhatatlanná tenni magunkat. Tovább javítja a rosszfiúk esélyeit, hogy - szemben a klasszikus bűnesetekkel, amelyeknek a lenyomozása sok száz éves tudományág, precíz technikákkal és szervezeti támogatással - a "cybercrime-ügyosztályok" világszerte még épphogy csak szerveződnek, és nagyon könnyű fekete lyukat találni a golyóbis kevésbé fejlett részein, ahol a helyi szakértelem hiánya miatt játszi könnyedséggel le lehet rázni az utánunk csaholó virtuális kopókat.

Bár a Nemzetbiztonsági Hivatalt valószínűleg kevésbé érdekli, mint a médiabirodalmakat és szoftvergyártókat, hogy számszerűen egyre gyakoribbá válnak a szerzői jogokkal kapcsolatos, gyakran akaratlanul, de semmiképpen sem klasszikusan bűnözőalkatú személyek által elkövetett jogsértések. A médiacégek gyakran irreális számításai szerint könnyedén okozhat több millió dolláros kárt egy kiskamasz, aki csak egy torrentprogramot húzott fel és használt a gépén, hogy a hivatalos vetítés előtt megnézhesse a Star Wars legújabb részét. Ez egy számban és értékben hatalmas "bűnözői réteget" jelent, olyan elkövetőkkel, akiknek amúgy eszükbe se jutna akár csak egy csokit elemelni a boltból. Tegyük a szívünkre a kezünket, és mondjunk egyetlen 30 év alatti ismerőst, aki soha életében nem nézett meg legalább egy másolt DVD-t... Talán ez jelenti manapság a legelterjedtebb, ha nem is a társadalmilag legveszélyesebb bűnözési formát.

Nem érzem úgy, hogy hatalmas paradigmaváltást jelentene a számítógépes bűnözés elterjedése - életünknek egy újabb területét jeleníti meg, ahol idővel természetszerűen előkerültek a rosszfiúk is. Nekünk, informatikai biztonsággal foglalkozóknak, egy feladatunk van: lépést tartani velük, sőt beelőzni őket. Elérni, hogy kémprogramot telepíteni, egy rendszerre betörni, bankkártyaszámokat megszerezni ne legyen kockázatmentesebb és kifizetődőbb, mint autót lopni vagy egy boltot kirabolni.

Fel kell ismernünk és a döntéshozókkal is fel kell ismertetnünk, hogy a vállalat informatikai rendszerei és adatai legalább akkora, de gyakran sokkal nagyobb értéket képviselnek, mint bármilyen tárgyiasult vagyon, és legalább ugyanolyan védelmet érdemelnek. Ha meg tudjuk mondani, milyen lakatra van szükség, és azt le is tudjuk gyártani, máris vége a rosszfiúk Kánaánjának.

A hozzászólásokat a szerző a BalaBit IT Security Blog oldalra várja.