Emlékeznek? – Amikor az ifj. Rapcsák András vezette HVSZ miatt majdnem odalett az önkormányzati adatvagyon

Miután 2018-ban az időközi polgármester-választáson Márki-Zay Pétert választották meg Hódmezővásárhely élére, a háttérben sokáig nem nyugodtak a kedélyek. Ennek a része lehetett az a támadássorozat is, amely 2018-ban, majd 2019-ben érte az önkormányzat informatikai rendszerét. Az ismétlődő hackertámadások szálai a város saját cégéhez, a HVSZ Zrt-hez vezettek, amelyet 2019 október 23-ig, vagyis az előző önkormányzati választásokig még ifj. Rapcsák András vezetett. A támadásokért végül őt a bíróság 2023-ban jogerősen 250 ezer Ft pénzbüntetésre ítélte. Márki-Zay Péter szerint a volt cégvezető nem saját hobbiból tette, amit tett –  valaki utasíthatta őt.

2020Vádemelés

Információs rendszer és adat megsértésének bűntette miatt vádat emelt a Szegedi Járási Ügyészség ifj. Rapcsák András, a Hódmezővásárhelyi Vagyonkezelő (HVSZ) Zrt. korábbi vezetője ellen  – mutatta be 2020-ban Márki-Zay Péter élő videóban a Szegedi Járási Ügyészség értesítését. 

Hogyan kezdődött? – 2018 

Az új polgármester, Márki-Zay Péter hivatalba lépése után a hivatal több informatikusa felmondott, így a Városháza egy időre a HVSZ-szel kötött szerződést a hivatal informatikai rendszerének üzemeltetésére. Ezt a szerződést a HVSZ azonban még ugyanezen év októberében felmondta, arra hivatkozva, hogy a feladatokat az önkormányzat immár saját, akkorra betanult informatikusai el tudják látni, az ő szolgálataikra nincsen szükség.

Alig néhány nap telt el a szerződés felmondása után, még ugyanebben a hónapban, 2018 októberében a hivatal egyik számítógépe vírust kapott, ami elkezdett terjedni az azzal hálózatba kötött eszközökön. A lenti levél tanulsága szerint a HVSZ, bár már szerződésfelmondás után, de besegített a károk elhárításába.

Átvilágítás: feketén szerzett programmal készítettek biztonsági mentéseket

Az októberi vírustámadás már rámutatott a városháza informatikai rendszerének sérülékenységére. Az önkormányzat ezért – a HVSZ szerződésfelmondása után – egy külsős céggel szerződött, hogy átvilágítsa a hivatal informatikáját.

Az átvilágításkor először csak törvényi hiányosságokat találtak. 2019. januárjában már bevontak egy adatmentő szoftverekkel foglalkozó céget is, akivel megvizsgáltatták a kötelező biztonsági mentéseket. Ilyet minden polgármesteri hivatalnak rendszeresen kell készíteni tárolt adatairól. Ebből egy példányt a város, egyet pedig a Belügyminisztérium őriz arra az esetre, ha például természeti katasztrófa miatt odaveszne a teljes informatikai állomány. 

Ne nyúljatok semmihez, minden be van állítva!

A polgármesteri hivatalból távozó informatikusok állítólag azzal adták át a terepet 2018-ban, hogy az újak ne nyúljanak semmihez, „minden be van állítva”. 

Szerencsére ezt a tanácsot az újak nem fogadták meg, kiderült ugyanis, hogy

2019 – Ha nincsenek résen, az egész adatvagyon megsemmisül

Teljes üzemzavar lett úrrá a hódmezővásárhelyi önkormányzaton 2019. március 19-én, kedden, ami egészen vasárnapig eltartott. Az ok: zsarolóvírust kaptak. Lényegében leállt a munka a hivatalban, erről akkor a nyilvánosság is értesülhetett, ugyanis a város abban az évben késve adta le az éves beszámolóját a Magyar Államkincstárnak, ami miatt az állami előfinanszírozásukat is felfüggesztették egy időre. 

Szerencsére a biztonsági mentés átvilágításkor feltárt hiányosságait már rendezték, ezért a márciusi zsarolóvírusos támadáskor már volt használható biztonsági mentése a hivatalnak. Az önkormányzat nem fizetett a bűnözőknek, törölte a teljes számítógépes állományát és a legfrissebb biztonsági mentés alapján állították vissza a rendszert.

2019. július – újabb hekkelési kísérlet a választás előtt

Július 2-án a HVSZ Zrt. egyik gépéről is hekkertámadás érte a hivatal rendszerét. Az önkormányzat az ügyben a Nemzeti Nyomozó Irodánál tett feljelentést. Márki-Zay Péter az immár sorozatos informatikai támadásokról nem sokkal később facebook-posztban nyilatkozott:

A támadás során – a Nemzeti Kibervédelmi Intézet (NKI) jelentése alapján – a telepíteni próbált szoftverek között volt többek között

  • a Cain & Abel elnevezésű, hálózati lehallgatást és különféle jelszavak feltörését biztosító szoftver;
  • a Cain RDP Parser, egy lehallgatott távoli asztali kapcsolaton átvitt karakterek olvasható összeállításához használt program;
  • és a DUBrute 2.2, mely egy távoli asztali kapcsolatok feltörésére használt eszköz;
  • és RouterScan, amelyet a gyanú szerint a támadó a hivatal infrastruktúrájának külső letapogatására használt.

Információk szerint

Mindent tagadtak

A támadás idején még Ifj. Rapcsák András volt a Hódmezővásárhelyi Vagyonkezelő Zrt. vezetője. Márki-Zay 2019 szeptemberi nyilatkozatában már előállt a váddal: a HVSZ egyik gépéről érte támadás a polgármesteri hivatalt. 

A HVSZ Zrt. akkori vezetése tagadta a vádakat, és azt jelezte, áll minden vizsgálat elé. Ifj. Rapcsák akkor közösségi oldalán azt írta, közel húsz évig vett részt a polgármesteri hivatal rendszerének üzemeltetésében, ami alatt több támadást is elhárítottak:

A vádirat alapján, a szerződés felmondása után, meglévő jelszóval történt belépés a hivatal rendszerébe a HVSZ Zrt. rendszeréből, amelyért mint a társaság vezetője a teljes felelősséget vállalom és állok a tárgyalás elé. Álláspontom szerint bár a belépés fizikailag elképzelhető volt, de szándékosság bizonyosan nem volt benne, amit az is alátámaszt, hogy a polgármesteri hivatalt sem adatvédelmi, sem gazdasági, sem informatikai kár nem érte, mely álláspontom a bíróság előtt is képviselni fogom.

A végén még gyorsan kilopták az ügyfeleket a HVSZ-ből

Ifj. Rapcsák András 2019. október 23-ig volt a HVSZ igazgatóságának elnöke. A 2020 máricusi, már az új vezetés által elvégzett átvilágításából kiderül, hogy az igazgatóság leváltását megelőző napon 2019. október 22-én több üzemeltetési, támogatási szerződést felmondtak (kórház, református egyház intézményei, tankerület, HSZC). A HVSZ hírportálunknak 2020-ban így nyilatkozott: „Érdekes módon ezen iratok kivétel nélkül 2019. október 24-én kerültek a HVSZ Zrt. iktatásába. Ezzel szinte egy időben került be annak a 4 munkatársnak a felmondása is, akik azóta Rapcsák Andrással közösen az Infolan Kft. keretein belül végzik ugyanezeknek a szervezeteknek az informatikai üzemeltetését” – aminek kapcsán a cég új vezetése utalt arra, hogy mindez közbeszerzéshez kötött tevékenység. „A korábbi cégvezetés így egyszerűbben fogalmazva kilopta az ügyfeleket mintegy havi 2.5 millió forint értékben és a munkatársakat a HVSZ Zrt.-ből. Az Infolan Kft. 2019. október 30-án alakult, de igen gyorsan sikerült ellátni megfelelő állami feladatokkal.” – írta a HVSZ új vezetése.

2020 – Vádemelés

Információs rendszer és adat megsértésének bűntette miatt vádat emelt a Szegedi Járási Ügyészség ifj. Rapcsák András, a Hódmezővásárhelyi Vagyonkezelő (HVSZ) Zrt. korábbi vezetője ellen. A Szegedi Járásbíróság 2021-ben büntetővégzéssel megállapította Ifj. Rapcsák András, a HVSZ Zrt. korábbi vezetőjének bűnösségét a hackertámadásért, és első fokon 3 évre próbaidőre bocsátotta – ez az egyik legenyhébb büntetés a magyar jogban. Az eljárás azonban folytatódott, mert az ügyészség pénzbüntetésért fellebbezett.

2023. június – jogerős ítélet ifj. Rapcsák András ellen

Az első fokú ítéletet „súlyosbítva”, annak egyéb részeit meghagyva immár jogerősen 250 ezer forint pénzbüntetésre ítélte a Szegedi Törvényszék ifjabb Rapcsák Andrást, amiért behatolt a hódmezővásárhelyi önkormányzat informatikai rendszerébe – írta meg 2023-ban a hvg.hu.

Az ítélet szerint a vásárhelyi önkormányzat rendszerébe a 2018-as időközi polgármester-választás – Márki-Zay Péter első győzelme – és a 2019-es önkormányzati választás között hatoltak be.

Az önkormányzati tulajdonú HVSZ Zrt-nek a városházával való együttműködését szerződés rögzítette. Miután ezt felmondták, a vádlott az ügyészség szerint már jogtalanul lépett be az önkormányzat rendszerébe. A vádirat szerint nem lehetett „szándékolatlan” a behatolás, mert a rendszeren belül létrejött egy „virtuális gép”, amelyre többek közt hálózati lehallgatásra és jelszófeltörésre alkalmas szoftvereket telepítettek.

Ifjabb Rapcsák ügyvédje többek között azzal érvelt, hogy a hivatal jelszavait mások is ismerték – azok megváltoztatására többször fel is szólította a hivatalt a vádlott –, és a támadásra használt laptop az adott időszakban a rendszergazda irodájában volt. 

A bíróság a bizonyítékok alapján elutasította azt a védekezést, hogy a programok simán a rendszer üzemeltetését szolgálták volna, illetve, hogy a behatolással csak a védelmet szerette volna tesztelni a vádlott, vagy hogy gondatlanságból, véletlenül hatolt volna be a hálózatra.

Az ugyanakkor nem derült ki, hogy milyen adatokhoz szerettek volna hozzáférni.

Nem hobbiból tette, utasíthatta valaki

Márki-Zay szerint ifj. Rapcsák nem a saját belátása szerint cselekedett. „Annyira nem tartom ostobának, hogy ezt hobbiból tette volna. Szerintem valaki utasította és a legnagyobb csalódás nekem, hogy a motivációja nem derült kinyilatkozta az Azonnali.hu-nak az elsőfokú ítélet után a hódmezővásárhelyi polgármester, majd elmondta, hogy ennek ellenére nem szeretné, ha ifj. Rapcsák börtönbe kerülne.

A portál kérdésére, hogy szerinte ki utasíthatta ifj. Rapcsákot, Márki-Zay nem akart senkit megnevezni, de úgy fogalmazott:

adatokadatvagyonhekkertámadásHódmezővásárhelyHVSZifj. Rapcsák AndrásInfolan KftinformatikaMárki-Zay PéterönkormányzatügyészségVálasztásVásárhelyvírus