Etikus hacker vagyok, követek el szerzői jogsértést?

Szerzői jog és etikus hackelés - korábban többször fellángolt a vita, hogy a két terület sokszor konfliktusos viszonya hogyan békíthető össze. Úgy döntöttünk, a kérdést most jogász szakértő segítségével vizsgáljuk meg, ez cikksorozatunk első, bevezető része. Ebben alapvetően az etikus hacker tevékenység jogi, azon belül is szerzői jogi megítélésére helyezzük a hangsúlyt, érintve a büntetőjogi aspektust is. Fő kérdésfelvetésként azt vizsgáljuk, hogy van-e az etikus hacker tevékenységnek szerzői jogi kockázata, követhet-e el az etikus hacker szerzői jogsértést az általa vizsgált szoftverek tekintetében? A válasz erre a kérdésre – ahogy az lenni szokott a szerzői jog világában – nem feltétlenül egyértelmű és nyilvánvaló, azonban kísérletet teszünk a megválaszolására.

Kik az etikus hackerek?

Az etikus vagy úgynevezett fehérkalapos hacker mára már külön foglalkozásként elismert, speciálisan képzett informatikai biztonsági szakértő, aki tisztában van a vállalati informatikai rendszerek sebezhetőségével, fel tudja deríteni ezen rendszerek sérülékeny pontjait, fenyegetettségeit, kitettségeit, az ilyen rendszerekben elkövetett csalásokat, és megoldási javaslatokat tesz ezen problémák kezelésére.

Az etikus hackerek állhatnak munkaviszonyban valamely vállalkozás alkalmazásában, de külsős partnerként, megbízási szerződéssel is elláthatják feladataikat. Bármilyen foglalkoztatási formában is dolgoznak, a vállalkozás és az etikus hacker között bizalmi kapcsolat jön létre, amelynek fenntartása mindkét fél érdeke, és amelyhez az etikus hacker részéről egy rendkívül erős titoktartási kötelem társul.

A büntetőjogi és adatvédelmi megközelítés az elterjedt

Az etikus hacker tevékenységgel kapcsolatban a jogi szakirodalom és a sajtó (a kevés műszaki jellegű írás mellett) általában a lehetséges büntetőjogi jogkövetkezményekkel, továbbá üzleti titok vagy személyes adatok nyilvánosságra kerülésének veszélyeivel foglalkozik. Vajon az etikus hackerek bűncselekményt követnek-e el, amikor számítástechnikai rendszerekbe behatolnak, azok sebezhetőségéről információkat gyűjtenek, működésüket visszafejtik (reverse engineering), jogosultságokat szereznek, adatokat megváltoztatnak, törölnek, vagy éppen social engineering segítségével bizalmas, érzékeny adatokat szereznek meg? Vagy a jog biztosít nekik egy „szabaduló kártyát”, amellyel tevékenységüket legalizálhatják?

Ezek a publikációk szinte mind egyetértenek abban, hogy az etikus hacker magatartása általában nem minősül bűncselekménynek, a magyar büntető törvénykönyv szerinti „információs rendszer vagy adat megsértésének”, ha az etikus hacker betart néhány alapvető játékszabályt:

- a számítástechnikai, információs rendszer üzemeltetőjének tudtával, megbízása alapján, erre feljogosítottan jár el és követi el a fent felsorolt cselekményeket,

- nem lépi túl a megbízójával kötött szerződésében meghatározott korlátokat,

- az általa megtudott sérülékenységeket, sebezhetőségeket, üzleti titkokat, személyes adatokat és egyéb információkat nem adja tovább harmadik személynek és nem is hozza nyilvánosságra.

A szerzői jogi aspektus hiánya

A témát boncolgató írások hajlamosak a vizsgálatot itt be is fejezni, és azt mondani, hogy ha a fenti feltételeknek megfelel az etikus hacker működése, akkor tevékenysége jogszerű, jogi felelősségre nem vonható. Ez azonban csupán az érem egyik oldala, mivel szinte semmelyik, etikus hacker témában megjelent tanulmány sem foglalkozik a munka azon oldalával, hogy ezek a hackerek olyan, a megbízójuknál/munkáltatójuknál elérhető szoftverekbe hatolnak be, végeznek módosításokat, amelyekre a megbízójuk – szerencsés esetben – rendelkezik a szoftver szerzői jogainak tulajdonosától származó felhasználási engedéllyel (licenccel), ők maguk azonban nem.

Ugyanígy azt az esetkört sem vizsgálják túl sokan, hogy az etikus hackerek a megbízójuknál futó szoftverek működését alaposan tanulmányozzák, megfigyelik, esetlegesen még azok forráskódját is visszafejtik annak érdekében, hogy a szoftverekben rejtőző hibákat, biztonsági réseket felfedezzék szintén – anélkül, hogy lenne a szoftver felhasználására engedélyük.

Égbe révedő informatikusok: az Időkép-sztori Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?

A jelen cikksorozat ezekre a ritkán tárgyalt kérdésekre keres választ, annak előrebocsátásával azonban, hogy nem feltétlenül talál is. Néha csak még több kérdést tud felvetni, míg máskor akár egyértelmű, vagy legalábbis annak tűnő választ adni. Azt is le kell szögezni, hogy ez a cikksorozat a szerzői jogi problémákat elsősorban az európai uniós és a magyar jog szemszögéből vizsgálja, és legfeljebb csak egy óvatos kitekintést ad más államok joggyakorlatára, a teljesség igénye nélkül.

A következő két részben tehát az alábbi két kérdéssel fogunk részletesen foglalkozni:

a) Jogosult-e az etikus hacker a megbízója által használt szoftverek, operációs rendszerek működését a szoftver alapját képező elv vagy elgondolás megismerése céljából tanulmányozni, megfigyelni?

b) Jogosult-e az etikus hacker a megbízója által használt szoftverek hibáinak felfedése és azok javítása céljából a szoftvereket többszörözni, módosítani vagy esetleg visszafejteni?

A szerző dr. Horváth Katalin ügyvéd, a Sár és Társai Ügyvédi Iroda szerzői jogi szakértő partnere, a Szerzői Jogi Szakértő Testület és a Magyar Szerzői Jogi Fórum Egyesület tagja.