Súlyos kibervédelmi incidens rázta meg a román büntetés-végrehajtási rendszert: fogvatartottak hónapokon át hozzáfértek a rendvédelmi szerverekhez, módosították saját és társaik adatait, pénzügyi kimutatásokat, sőt, még a büntetések és látogatási jogok rendszerét is manipulálni tudták. A botrány középpontjában az Országos Büntetés-végrehajtási Igazgatóság (ANP) vezetője, Geo Bogdan Burcu áll, akit a vádak szerint inkább a belső visszaélések eltussolása foglalkoztatott, mint a helyzet kezelése.
A kiszivárgott belső jelentések szerint a hackertámadás nem külső, hanem belső forrásból indult: egy, magát az Anonymous hálózat tagjaként azonosító elítélt adminisztrátori szintű hozzáférést szerzett a román börtönrendszer informatikai hálózatához. A férfi az úgynevezett IMSweb alkalmazásban - amely a fogvatartottak nyilvántartásáért, jogaiért és pénzügyeiért felel - teljes körű irányítást szerzett. Ezzel nemcsak betekintést nyert a bizalmas adatokba, hanem azokat tetszés szerint módosíthatta is.
A visszaélések első jeleit egy figyelmes börtönőr észlelte, aki a Târgu Jiu-i büntetés-végrehajtási intézet pénzügyi kimutatásaiban feltűnő eltéréseket fedezett fel. Egyes fogvatartottak számláin ugyanis tízszeresére növekedtek a bejegyzett összegek - például 150 lej helyett 1500 lej szerepelt a rendszerben -, ami lehetővé tette, hogy több elítélt jelentős összegeket költsön el jogtalanul. Volt, aki egy hónap alatt tízezer lejt költött online vásárlásokra, mindezt manipulált adatokból származó fedezettel.
A belső vizsgálat kiderítette, hogy a fogvatartottak több mint 300 órán keresztül voltak bejelentkezve különböző rendszerekbe, miközben ezrekre rúg a módosított vagy törölt adatok száma. A hackerek hozzáfértek személyes információkhoz - nevekhez, címekhez, vallási hovatartozáshoz -, továbbá beavatkoztak a büntetések időtartamába, a jó magaviseletért járó kedvezményekbe és az engedélyezett telefonos kapcsolatok listájába is.
A rendszer sebezhetőségét tovább súlyosbította, hogy a fogvatartottak nemcsak a börtönök info-kioszkjait, hanem az elítéltek számára kiadott táblagépeket is képesek voltak feltörni. A vizsgálat szerint az egyik elítélt a készüléket újraindítva úgynevezett "Safe Mode"-ba lépett, amelyen keresztül hozzáférést kapott az eszköz gyári beállításaihoz, az alkalmazásokhoz, sőt, az adminisztrátori opciókhoz is. Egyes beszámolók szerint a fogvatartottak képesek voltak belépni az intézmény belső intranet-hálózatába, és ott nyomtatókhoz, irodai gépekhez is hozzáfértek, így például a "Secretariat" feliratú adminisztrátori géphez.
A botrány súlyát növeli, hogy az ANP vezetése - a kiszivárgott információk szerint - több mint három héten át eltitkolta az esetet. Ahelyett, hogy országos szintű biztonsági vizsgálatot rendelt volna el, Geo Bogdan Burcu főigazgató "diszkrét belső intézkedésekkel" próbálta kezelni a válságot, hogy elkerülje a nyilvánosság figyelmét. Az egyik intézményvezető, aki videókonferencián rákérdezett a történtekre, másnap leváltásra került.
A kiszivárgott dokumentumok alapján az elítélteknek nemcsak a pénzügyi és személyi adatok felett volt ellenőrzésük, hanem hozzáfértek a biztonsági videókhoz és a börtönbiztonsági protokoll egyes elemeihez is. Ezzel a rendszer egyik legkritikusabb területén, a börtönbiztonság informatikai gerincén keletkezett rés. A román büntetés-végrehajtási szakszervezet szerint az incidens súlyos intézményi válságot jelez, amely az ANP felső vezetésének inkompetenciájára és a digitális biztonsági protokollok hiányosságaira vezethető vissza.
Mit tud majd Közép-Európa legkorszerűbb, high-tech okosbörtöne Csengeren?
Magyarország, sőt a régió legkorszerűbb börtöne épül a Szabolcs-Szatmár-Bereg vármegyei településen. Az ezerötszáz férőhelyes, high-tech létesítmény a 49-es főúttól egy kilométerre épül, egy 5 és fél hektár területen, modern, tartós és környezetbarát építészeti megoldásokkal. Az okosbörtönben videóanalizáló és helymeghatározó rendszer is működik majd.
Mindez jól mutatja, hogy a román börtönrendszer technológiai infrastruktúrája messze elmarad a korszerű kiberbiztonsági előírásoktól. A megfelelően nem kezelt hozzáférési jogosultságok, az elavult rendszerek és az ellenőrzés hiánya olyan helyzetet teremtett, amelyben az elítéltek gyakorlatilag átvették az irányítást az állami adatvagyon felett.
Miközben a hatóságok a botrány lecsendesítésén dolgoznak, a közvélemény és a szakmai szervezetek egyre hangosabban követelik az ANP vezetésének felelősségre vonását, valamint a teljes börtöninformatikai rendszer auditálását. A román kiberbiztonsági szakértők szerint ez az incidens az utóbbi évek egyik legsúlyosabb állami adatbiztonsági kudarca, amely hosszú távon alááshatja az igazságügyi rendszer hitelességét - és rávilágít arra, hogy a digitális korban még a legzártabb intézmények sincsenek biztonságban.
