A sajtóban több helyen megjelent a hír, miszerint az SZTNH honlapjáról titkos anyagokat töltöttek le hackerek. Ma már nem lehet vita tárgya ez ügyben, hogy rosszindulatú támadás indult-e a Hivatal ellen, vagy pedig „etikus hacker” fedezett fel egy biztonsági rést. A magam részéről ismerve a történet lényegét, csodálkozva kell megállapítanom, hogy egy ilyen viszonylag egyszerű és egyértelmű ügyben milyen szinteken és milyen melléfogások tudnak bekövetkezni.

A történtek sok dolog mellett mindenesetre arra is jól rávilágítanak, hogy SZTNH az informatika területén talán mégsem lehet olyan magas szinten, ha a honlapjáról titkos anyagokat lehetett letölteni. Különösen igaz ez akkor, ha ehhez az „adatlopáshoz” különösebb informatikai ismeretekre nem is volt szükség. Elegendő volt egy legálisan elérhető adattömegben felismerni azt az egyszerű összefüggést, amely a böngészőben az URL felépítését adja. Ennek átírásával máris elérhetővé váltak a titkos iratok is.

Az Index 2014. 03. 31.-én „Feltörték a szabadalmi hivatal informatikai rendszerét” címmel jelentetett meg a cikket a hekkertámadásról, amelyben Dürr János, a hivatal főtanácsadója a lapnak elmondta: „a betörést lehetővé tevő informatikai hibákat kijavították, ugyanakkor a dokumentumokat hiába kérték, nem kapták vissza.”

A fent hivatkozott Index cikkben egyaránt elhangzik (http://index.hu/belfold/2014/03/31/feltortek_a_szabadalmi_hivatal_informatikai_rendszeret/) az SZTNH és a Magyar Szellemi Tulajdonvédelmi Egyesület (MSZTE) álláspontja.

A témával szakszerűen először a HVG folyóirat foglalkozott. „Gigantikus baki a magyar szabadalmi hivatalnál” címmel megjelent írásában.

Az SZTNH a honlapfeltörés kapcsán a weboldalán nyilatkozatot jelentetett meg, amely az alábbi linken található:

http://www.sztnh.gov.hu/hirek/2013/hirek_201311201724_1.html

A 2013. november 20.-i nyilatkozat címe az alábbi:

Hivatali álláspont az MSZTE honlapján 2013. november 19-én közölt egyes állítások megalapozatlanságáról

Ez a nyilatkozat azzal kezdődik, hogy a Hivatal már 2013. október 25-én egy közleményt és egy ügyfeleknek szóló tájékoztatót jelentetett meg az informatikai rendszerét ért támadásról, amelynek következtében közzététel előtt álló szabadalmi dokumentumok kerülhettek a támadó birtokába. Ez a nyilatkozat a HÍR TV Híradójában a megelőző napon közölt összeállításra reagálva a következő tájékoztatást adta:

„A hivatal 2013. szeptember 16-án értesült a szabadalmi bejelentéseket érintő jogosulatlan adatszerzésről. Megállapította, hogy az adatszerzés rosszhiszemű, célzatos és szisztematikus belföldi informatikai támadás eredménye volt. Ezt követően haladéktalanul megtette a szükséges intézkedéseket a további visszaélések megakadályozása, és az elkövetők felderítése érdekében: megszüntette a biztonsági rést, büntető feljelentést tett, továbbá tájékoztatta az információbiztonsági hatóságot, valamint a Közigazgatási és Igazságügyi Minisztériumot.”

Az SZTNH nyilatkozat elismeri, hogy volt olyan biztonsági rés, amelyet meg kellett szüntetni. Így tehát nincs is olyan nagy ellentmondás a két fél nyilatkozata között a dolog lényegét illetően.

A történtek időrendje szempontjából fontos még azt tudnunk, hogy a hibát a szabadalmakkal foglalkozó Magyar Szellemi Tulajdon Egyesület 2013 augusztusában jelentette az SZTNH felettesének, a Közigazgatási és Igazságügyi Minisztériumnak. A bizonyítékokat a minisztériumnak megküldték. Nyilvános adatokat augusztus 26-ig kértek le, 27-én pedig már nem nyilvánosakat is, amely tényről okiratot a közjegyző augusztus 30-án készített.

A Magyar Szellemi Tulajdonvédelmi Egyesület honlapja a történéseket az alábbi helyen mutatja be részletesen: www.mszte.com nyitólapján a "Szabadalmi botrány napról napra" cikkben. Az SZTNH egyetlen adatbázisának könnyű elérhetőségét igazságügyi szakvélemény is megerősítette. A szabadalmi törvény szerint pedig ami hozzáférhetővé válik, az egyúttal nyilvános is. A nyilvános szellemi tulajdon pedig külföldön szabadon felhasználható, a szabadalom csak Magyarországon védi visszamenőleg a találmányt. Épp ez jelenti az SZTNH mulasztás-sorozatának legnagyobb veszélyét.

A sajtóban megjelent ellentmondásos történetek kapcsán ezer kérdés is megfogalmazódik egy hozzáértő szakemberben, de ennek a rövid cikknek nem ezek megválaszolása a célja.

2012 óta az SZTNH joga és feladata a K+F projektek előzetes és utólagos minősítése. Sajnos a magam részéről már régóta vagyok kénytelen azt állítani, hogy az SZTNH által kiadott, általam ismert szakvélemények egyértelműen arról tanúskodnak, hogy a Hivatal a K+F mibenlétét nem ismeri, s az informatika szakmaterületen sem áll a helyzet magaslatán. A szakvéleményekben ugyanis olyan K+F szakmai természetű kijelentéseket olvashatunk, amelyeket egy bármilyen fajta kutatás-fejlesztéssel valaha is foglalkozott szakember nem engedne meg magának.

Megítélésünk szerint ahhoz, hogy valaki a szakértői munkát és felelősséget K+F projektek minősítése ügyében elvállalhasson, ahhoz, mind a kutatás-fejlesztés, mind pedig az adott szakmai terület kiváló ismerője kellene legyen. Az SZTNH által kiadott szakvélemények esetében a tisztán informatikai szakmai kérdések tárgyalása esetében is nagyon hamar kiderül, hogy alapvető fogalmakkal és szakmai ismeretekkel nincsen tisztában a hivatali szakértő. Roppan beszédes tény ebből a szempontból, hogy interneten megtalálható, ellenőrizetlen, hitelesnek nem tekinthető ismeretanyagra épül sok esetben a szakvélemény. A kutatás-fejlesztés, de különösen az informatikus szakmában a formál-logikai szabályok készségszintű ismerete ugyancsak elengedhetetlen követelmény. Az általunk kifogásolt szakvéleményekben gyakran visszaköszönő jelenség, hogy sokszor a tények helyes megállapítása ellenére a logikai következtetéseket az ismeretlen szakértőnek nem sikerül megfelelően levonni.

Távol áll tőlem az a stílus, amely a honlap elleni támadás ügyében 2014. 04. 01.-én az indexen a következő címmel jelent meg:

Ilyen gagyi hiba a világon nincs. A cikk az alábbi linken érhető el:

(http://index.hu/tech/2014/04/01/a_vilag_leggagyibb_hibajat_kovette_el_a_szabadalmi_hivatal/)

A két jelenség közötti párhuzam és a közös ok azonban már figyelmet érdemel. Nem tartom szerencsésnek azt a hivatali reakciót, hogy amikor az ember felhívja a figyelmet egy hibára, amely vélhetően valamifajta hozzá nem értésre vezethető vissza, akkor a köszönet és elnézés kérése helyett egy semmivel sem indokolható támadó reakciót vált ki. Ezzel összefüggésben tehát csak az egyik probléma az, hogy a program hozzá engedett férni illetékteleneket a titkos adatokhoz, de ennél is nagyobb dilettantizmusra utal az, hogy amennyiben a log-fájlokból utólag megállapítható volt a támadás ténye, akkor azokat a nyilvántartásokat miért nem ellenőrizte rendszeresen senki. Joggal merül fel a kérdés, ha a bejelentő nem szól, vajon mikor fedezte volna fel a Hivatal a hibát?

Hasonlóképpen nem értem, s a mai napig töröm a fejem az index írásában Dürr János azon nyilatkozatán, hogy a letöltött „dokumentumokat hiába kérték, nem kapták vissza” megfogalmazás alatt mit értett.

A szakvéleményekben számos hasonlóan meghökkentő megállapítás olvasható. Jelen példánál maradva: Vajon az „ellopott” digitális tartalmak visszaszolgáltatását mégis milyen módon képzeli az SZTNH? Ez szintén egy olyan, az ellenérdekű felet befeketíteni hivatott rosszindulatú megjegyzés, amelynek ügyében egy informatikához nem értő ember a kellő felkészültség hiányában elbizonytalanodik. A hozzáértők körében azonban éppen ellentétes reakciót vált ki. Jómagam feltételezni sem mertem eddig, hogy egy K+F ügyekben minősítésre felhatalmazott Hivatal főtanácsadója ennyire ne lenne képben a nyilatkozata tárgyát adó témakörben. Ha azonban tisztában van a nyilatkozata hátterében lévő szakmai kérdésekkel, a baj még nagyobb, ha ilyen tartalmú nyilatkozatot tesz. A szakértőket illetően is sajnos csak feltételezésekre kénytelen hagyatkozni az ember, ugyanis a Hivatal mögé bújva a felkészültségükről, kompetenciájukról semmit nem lehet tudni, legfeljebb az általuk írt szakvélemény árulkodik egyedül erről.

Csak remélni merem, hogy a történtek után másokban is megfogalmazódik a kérdés: ma Magyarországon tényleg ez az SZTNH illetékes abban, hogy az informatika tárgyú K+F projekteket előzetesen és utólagosan is minősítse?

dr. Reith János

A bejegyzés trackback címe:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.