- A digitális átalakulás napjainkban meghatározó szerepet játszik a gazdaság valamennyi ágazatában. Ez alól az energiaszektor sem kivétel, még akkor sem, ha egyáltalán nem számít éllovasnak, sőt, kifejezetten lassan alkalmazkodik a változásokhoz. A energiaszektor digitalizációjának elősegítése iránti törekvés kiolvasható mind az Európai Bizottság digitális egységes piaci stratégiájából, mind a “Tiszta Energia Minden Európainak” című – röviden csak „Téli Csomag”-nak nevezett – átfogó energiapiaci szabályozási csomagjából.
- Hasonló stratégiai irányok figyelhetők meg a Kormány Nemzeti Energiastratégiájában is hivatkozott Energetikai Iparfejlesztési és KFI Cselekvési Tervben, ami hangsúlyozza az informatikai és telekommunikációs ipar, valamint az infokommunikációs technológiák meghatározó szerepét a modernkor energiaiparában – többek között – az okos hálózati fejlesztések elterjedésének és az irántuk növekvő igénynek köszönhetően.
- Háromrészes cikksorozatunk első, valamint második részében a DLA Piper Hungary szenior ügyvédje bemutatta az energiaszektor közvetett és közvetlen digitalizációjának fontosabb fejlődési irányait: a mostani, záró cikkben az energiaszektor digitalizációs folyamatában rejlő veszélyeket veszi számba.
Befektetővédelem
Ahogyan arról a sorozatunk első részében már volt szó, a megújuló energiatermelő projekten alapuló induló vállalkozások számára kitűnő tőkegyűjtési lehetőséget kínálhat a közösségi finanszírozás, vagy az ICO. Egyszerűségüket elsősorban a szabályozottságuk alacsony fokának köszönhetik, viszont ez jelenti a legnagyobb kockázatot is velük kapcsolatban.
Bekefektetői kockázat
Az MNB és az Európai Értékpapír-piaci Hatóság (ESMA) felhívta a befektetők figyelmét arra, hogy az ICO-k rendkívül kockázatos és különösen spekulatív befektetéseknek számítanak, ezért fennáll akár a teljes befektetett tőke elvesztésének a veszélye is. A kibocsátott kriptovaluták vagy tokenek ára általában nagyon ingadozó, és azok visszaválthatósága is kérdéses lehet. Az ICO-k továbbá különösen kockázatosak a pénzmosás vagy csalás szempontjából. Egyes források szerint az ICO-knak csak kevesebb, mint egytizede jut el a kereskedési szakba, míg közel négyötödük egyszerűen átverés.
Vállalkozói kockázat
A közösségi finanszírozás ugyanakkor a jóhiszeműen tőkét gyűjtő vállalkozások számára is hordozhat kockázatokat. Ahogyan arra például az ESMA is felhívja a figyelmet, az ICO-t megvalósító vállalkozásoknak körültekintően kell mérlegelniük, hogy a kriptovaluta vagy token kibocsátásuk szabályozott tevékenységnek minősülhet-e. Ez esetben ugyanis vonatkozik rájuk egy sor jogszabály (pl. a pénzügyi eszközök piacaival, az alternatívbefektetésialap-kezelőkkel, a kibocsátási tájékoztatókkal vagy éppen a pénzmosás elleni küzdelemmel kapcsolatban), amiknek a be nem tartása jogszabálysértésnek minősül.
Bár már napirenden van a közösségi finanszírozás működési kereteinek európai uniós szabályozása, jelenleg Magyarországon e tárgykörben nem létezik speciális jogszabály.
A tevékenységet a hatályos pénzügyi és befektetési szolgáltatásokra vonatkozó jogszabályok, az EU-s jogi aktusok és az irányadó hatósági vélemények alapján kell megítélni. Elképzelhető ezért, hogy a közösségi finanszírozás keretében a vállalatok finanszírozása, pénz átadása és pénz befektetése olyan szabályozott tevékenységnek minősül, amit csak jegybanki engedély birtokában vagy bejelentés alapján lehetne folytatni.
Adatvédelem
A második cikkünkben említettük, hogy az IoT eszközök már egyre több adatot generálnak, és ez a jövőben várhatóan csak fokozódni fog. Az adatgyűjtésnek a gyártók által deklarált célja egyrészt, hogy a felhasználó szemmel követhesse és szabályozhassa saját fogyasztását, illetve az eszköz működését, másrészt, hogy az adott eszköz információt oszthasson meg egy másik eszközzel valamilyen további funkció ellátása érdekében.
Az IoT eszközök azonban az általuk gyűjtött adatokat nemcsak a felhasználónak vagy a felhasználó egy másik eszközének továbbíthatják, hanem sok esetben maguknak a gyártóknak (vagy a forgalmazóknak) is.
Ennek az indoka lehet az, hogy a gyártók a működési és felhasználási adatokat elemezve csak fejleszteni, tökéletesíteni szeretnék a terméküket, de könnyen meglehet, hogy a gyártók magas ellenérték fejében tovább kívánják adni ezeket az információkat harmadik felek, pl. marketing vagy piackutató cégek részére.
Tárgyakra vagy személyekre vonatkozó adatok?
Az okoseszközök adatai első ránézésére csak dolgokra vonatkozó technikai, műszaki adatoknak tűnhetnek,
de ha olyan egyedi azonosítóhoz társulnak, ami elválaszthatatlanul kapcsolódik egy élő személyhez, lehetővé téve az adott személy más fogyasztóktól történő megkülönböztetését – mint például az intelligens fogyasztásmérő gyártási száma –, akkor személyes adatokról beszélhetünk,
és a kezelésükre alkalmazni kell az adatvédelmi előírásokat. A legtöbb esetben persze az IoT eszközök gyári számát nem tartja nyilván valamely közműszolgáltató, viszont gyakran előfordul, hogy a jótállás érvényesítése érdekében a felhasználónak regisztrálnia kell magát és az egyedi sorozatszámmal ellátott eszközét a gyártó vagy forgalmazó honlapján. Ezt követően pedig a gyártó a regisztrált eszköz által gyűjtött valamennyi adatot már csak a személyes adatokra vonatkozó szabályok szerint kezelhetné.
Hozzájárulás mint jogalap
A GDPR a személyes adatok kezelését megfelelő jogalap meglétéhez köti. Az IoT eszközök esetében ez a jogalap a legtöbb esetben az érintett hozzájárulása lehet, aminek megadását tömör, átlátható, világosan és közérthetően megfogalmazott tájékoztatásnak kell megelőznie.
Az adatvédelmi tájékoztatókkal kapcsolatban általános probléma, hogy azok túlságosan hosszúak és az átlag felhasználó számára nehezen érthetőek.
Az IoT eszközök esetében viszont további gondokat okoz, hogy azok kijelzője – ha van egyáltalán – annyira kicsi, hogy azokon olvashatóan nem lehet semmilyen összefüggő szöveget megjeleníteni. Az ilyen termékek esetében ezért gyakran csak a csomagoláson található egy link a tájékoztatást tartalmazó honlaphoz vagy az arra irányító QR kód, amiket viszont már nem követnek a felhasználók.
Adatok összekapcsolása és profilalkotás
Sok esetben az is előfordul, hogy az adott IoT eszközhöz tartozik egy mobiltelefonos alkalmazás, amivel irányítani, felügyelni lehet a terméket. Bár a mobiltelefonon keresztül könnyebben megjeleníthető egy adatvédelmi nyilatkozat, a helyzetet olykor tovább bonyolítja, hogy az alkalmazás hozzáférést kér a telefon olyan adataihoz is (pl. a helyadatokhoz), amikre az IoT eszköz működéséhez nem lenne kifejezetten szükség.
A mobiltelefon és az okoseszköz együttes adatait összekapcsolva azonban könnyebben lehetővé válik a felhasználó profilozása.
A profilalkotás során azért gyűjtenek információt és elemzik a természetes személyek különböző jellemzőit vagy a viselkedési mintáit, hogy bizonyos kategóriába vagy csoportba sorolva őket kielemezhessék, vagy előre jelezhessék érdeklődési körüket, vagy várható magatartásukat. Az ekképpen meghatározott vásárlói szokások vagy fogyasztói preferenciák pedig értékes információkkal szolgálhatnak az értékesítőknek.
A felhasználók sokszor nincsenek tisztában azzal, hogy egészen pontosan milyen adatokat gyűjt az IoT eszközük, azokat milyen más adataikkal kapcsolhatják össze és ezekből milyen következtetések vonhatók le a személyükre nézve. Gyakran az is homályba vész, hogy ezeket az adatokat milyen célra használják fel és egészen pontosan kik, illetve ezek a szereplők megtesznek-e mindent az adatok technológiai védelme érdekében. De még ha meg is tesznek minden tőlük telhetőt, általános igazságként elmondható, hogy minél több az adat, annál nagyobb a kockázata azok illetéktelen kezekbe kerülésének, ami már kiberbiztonsági kérdéseket is felvet.
Kiberbiztonság
Ahogyan egyre több okoseszköz jelenik meg és egyre több mindent vezérelnek hálózatba kapcsolt számítógépek, úgy nő a veszélye az informatikai, vagy más néven kiberbűnözésnek (cybercrime) is. Az ilyen bűncselekmények sokszor határokon átívelnek, elkövetésükre jellemzően gyorsan, rövid időn belül kerül sor, és gyakran nagy szerepet kap a sértettek közrehatása is. A felderítettség foka ugyanakkor alacsony marad, mivel a bűnüldöző szervek munkáját megnehezíti, hogy az elkövetők könnyedén elfedhetik nemcsak a kilétüket, de még az elkövetés pontos helyét is.
A kiberbűncselekmények fajtái
Az informatikai bűncselekményeknek két fő kategóriáját különböztethetjük meg. Az egyik csoportba azon deliktumok tartoznak, amelyeknek célpontja és eszköze valamely információs rendszer, tehát amelyek számítógépektől függenek, azok hiányában nem is beszélhetnénk róluk (ún. cyber-dependent bűncselekmények). A másikba azok sorolhatók, amelyek hagyományos módon eddig is elkövethetők voltak, de az adott esetben információs rendszer felhasználásával valósítják meg őket (ún. cyber-enabled bűncselekmények), mint például a csalás, zsarolás, zaklatás (pl. cyberbullying). A digitalizált energetikaszektort érintően elsősorban az előbbi kategóriába tartozó kiberbűncselekmények számának növekedésére kell felkészülnünk.
Az IoT eszközök mint könnyű célpontok
Különösen nagy a kitettsége az IoT eszközöknek, amelyeknek a működésért felelős, gyárilag beépített szoftvere (ún. firmware) sok esetben nem felel meg az alapvető biztonsági követelményeknek. A biztonsági hibák a gyenge titkosítási mechanizmusoktól egészen az illetéktelen hozzáférést biztosító hátsó bejáratokig terjedhetnek. Ráadásul míg a különböző számítógépes programokhoz vagy mobilapplikációkhoz folyamatosan jelennek meg biztonsági frissítések és patchek, addig ez a firmware-ek túlnyomó részéről vagy nem mondható el, vagy a felhasználók hanyagságból nem telepítik azokat.
A támadók ezen sérülékenységet kihasználva rosszindulatú programokat, ún. malware-eket (az angol „malicious software” szavakból) másolhatnak valamelyik IoT eszközre, és onnan kiindulva hozzáférést szerezhetnek az otthoni WiFi hálózatot használó többi eszközhöz, ideértve a személyi számítógépeket is. Ha pedig már bejutottak a WiFi hálózatba, könnyedén kifürkészhetik az azon keresztül továbbított kommunikációt is.
A hackerek igyekeznek megtalálni a leggyengébb láncszemet a hálózatba kapcsolt eszközök közül. Ez korábban többnyire a hálózati nyomtató volt, de manapság már a kamerás kapucsengő, vagy épp a bébimonitor jelentheti a legnagyobb veszélyt.
Információs rendszer vagy adat megsértése
Aki egy IoT eszköz biztonsági résének kihasználásával, vagy akár a jelszó feltörésével jogosulatlanul belép egy WiFi hálózatba, az az „információs rendszer vagy adat megsértése” bűncselekményt követi el. Előfordul ugyanakkor, hogy a tulajdonos kényelmi okokból, vagy csak véletlenül nem állít be jelszavas védelmet, ezáltal védtelenül nyitva hagyja a hálózatot. Fontos kiemelni, hogy
ilyen esetben a WiFi-re csatlakozó támadó nem követ el bűncselekményt, ugyanis hiányzik annak egy alapvető tényállási eleme, „az információs rendszer védelmét biztosító technikai intézkedés megsértése vagy kijátszása”.
A hackerek természetesen ezt jól tudják, ezért is kiemelten fontos a megfelelő jelszavas védelem beállítása.
Robot hálózatok
A malware-ek feltelepítésével a hackereknek az is lehet a célja, hogy ún. botneteket hozzanak létre. Egy botnet (az angol „robot network” szavakból) akár több százezer vagy akár több millió számítógépből is állhat, amiket zombigépeknek is hívnak.
Az ilyen malware-rel fertőzött zombigépek általában továbbra is hibátlanul működnek, ezért a valódi tulajdonosuk nem is tudja, hogy az eszköze fertőzött és afelett mások már átvették az irányítást, így bármikor használhatják kedvük szerint.
A botnetek kialakításának és használatának többféle célja is lehet. Az interneten keresztül összekapcsolt nagyszámú zombigép együttes számítási kapacitásának köszönhetően egyfajta szuperszámítógép jön létre, ami alkalmas lehet például a titkosító rendszerek elleni nyers erős támadásra (brute force attack, amikor a jelszavak összes lehetséges karakterkombinációit egyesével végigpróbálja a feltörő program), vagy akár ún. elosztott szolgáltatás megtagadással járó túlterheléses támadásra is (DDoS, Distributed Denial of Service). Ez utóbbinak a lényege, hogy a rengeteg zombigépről egyszerre érkezik nagy mennyiségű kérés a célzott hálózatra vagy szerverre, amit az a túlterheléstől nem tud kiszolgálni, ezért lebénul. Ezzel a módszerrel napokra működésképtelenné lehet tenni akár az egyetemes szolgáltatók weboldalát vagy mobilapplikációját is.
Ezeken kívül egy botnetet lehet használni akár kriptovaluta bányászatra is (cryptojacking). Bitcoint például a legtöbb számítógép ma már önmagában nem tud nyereségesen bányászni, ugyanis a felhasznált villamos energia többe kerülne, mint maguknak a bitcoinoknak az értéke.
A megemelkedett összegű villamos energia számlát persze nem a botnetet használó hacker fizeti meg, hanem az egyes zombigépek tulajdonosai, akiknek fogalmuk sincs arról, hogy a számítógépüket illetéktelenek különösen energiaigényes számításokra használják.
Robot IoT hálózatok
Elviekben egy botnet nemcsak zombi számítógépekből, hanem zombi IoT eszközökből is állhat, amelyek működését a támadók a rájuk telepített malware-ek segítségével képesek lehetnek manipulálni. Például akár több millió eszközt is rábírhatnak arra, hogy növeljék a teljesítményüket egy rövid ideig a tulajdonosok számára még észre nem vehető módon (a hűtőgépek az élelmiszereket, vagy a légkondicionáló berendezések a helyiségeket hűtsék fél fokkal hidegebbre, a mosógépek mossák a ruhákat magasabb hőfokon, az okos robotporszívók takarítsanak nagyobb szívóerővel stb.).
Ennek eredményeképpen – kellő mennyiségű zombi IoT eszköz esetén – akár országos szinten is nőhet az energiafogyasztás, ami nyilvánvalóan kihatással lenne a villamos energia keresletre, így végeredményben az elektromos áramnak a villamosenergia tőzsdén jegyzett árára is.
A zombi IoT eszközöket irányító hackerek ekképpen manipulálhatják az árfolyamok ingadozásának irányát és spekulatív ügyletekkel jogosulatlan hasznot realizálhatnak.
Sokrétű elkövetői kör
Azon kívül, hogy a zombi IoT eszközök tulajdonosai nem is tudnak róla, hogy használati tárgyaik fertőzöttek, és észre sem veszik, hogy azok nem csak az ő utasításaik szerint működnek, a fenti kiberbűncselekmény felderítését az elkövetői kör rétegzettsége is akadályozhatja. A szükséges informatikai tudással rendelkező hackerek ugyanis gyakran csak létrehozzák a botnetet, amit különböző törvénytelen célokra bárkinek bérbe adnak a darkneten keresztül. Így elkülönülhet a megrendelői kör az infrastruktúrát biztosító kiberbűnözői csoporttól méghozzá úgy, hogy az egyes szereplők többnyire különböző országokban fejtik ki tevékenységüket.
Mindez felveti azt a sokszor nem is olyan egyszerű kérdést, hogy mely ország büntetőjoga alkalmazható, és mely ország bűnüldöző szervei jogosultak eljárni az adott ügyben.
Szerző: Rostás Péter