Emlékeznek? – Amikor az ifj. Rapcsák András vezette HVSZ miatt majdnem odalett az önkormányzati adatvagyon
Miután 2018-ban az időközi polgármester-választáson Márki-Zay Pétert választották meg Hódmezővásárhely élére, a háttérben sokáig nem nyugodtak a kedélyek. Ennek a része lehetett az a támadássorozat is, amely 2018-ban, majd 2019-ben érte az önkormányzat informatikai rendszerét. Az ismétlődő hackertámadások szálai a város saját cégéhez, a HVSZ Zrt-hez vezettek, amelyet 2019 október 23-ig, vagyis az előző önkormányzati választásokig még ifj. Rapcsák András vezetett. A támadásokért végül őt a bíróság 2023-ban jogerősen 250 ezer Ft pénzbüntetésre ítélte. Márki-Zay Péter szerint a volt cégvezető nem saját hobbiból tette, amit tett – valaki utasíthatta őt.
2020 – Vádemelés
Információs rendszer és adat megsértésének bűntette miatt vádat emelt a Szegedi Járási Ügyészség ifj. Rapcsák András, a Hódmezővásárhelyi Vagyonkezelő (HVSZ) Zrt. korábbi vezetője ellen – mutatta be 2020-ban Márki-Zay Péter élő videóban a Szegedi Járási Ügyészség értesítését.
Hogyan kezdődött? – 2018
Az új polgármester, Márki-Zay Péter hivatalba lépése után a hivatal több informatikusa felmondott, így a Városháza egy időre a HVSZ-szel kötött szerződést a hivatal informatikai rendszerének üzemeltetésére. Ezt a szerződést a HVSZ azonban még ugyanezen év októberében felmondta, arra hivatkozva, hogy a feladatokat az önkormányzat immár saját, akkorra betanult informatikusai el tudják látni, az ő szolgálataikra nincsen szükség.
Alig néhány nap telt el a szerződés felmondása után, még ugyanebben a hónapban, 2018 októberében a hivatal egyik számítógépe vírust kapott, ami elkezdett terjedni az azzal hálózatba kötött eszközökön. A lenti levél tanulsága szerint a HVSZ, bár már szerződésfelmondás után, de besegített a károk elhárításába.
Átvilágítás: feketén szerzett programmal készítettek biztonsági mentéseket
Az októberi vírustámadás már rámutatott a városháza informatikai rendszerének sérülékenységére. Az önkormányzat ezért – a HVSZ szerződésfelmondása után – egy külsős céggel szerződött, hogy átvilágítsa a hivatal informatikáját.
Az átvilágításkor először csak törvényi hiányosságokat találtak. 2019. januárjában már bevontak egy adatmentő szoftverekkel foglalkozó céget is, akivel megvizsgáltatták a kötelező biztonsági mentéseket. Ilyet minden polgármesteri hivatalnak rendszeresen kell készíteni tárolt adatairól. Ebből egy példányt a város, egyet pedig a Belügyminisztérium őriz arra az esetre, ha például természeti katasztrófa miatt odaveszne a teljes informatikai állomány.
Ne nyúljatok semmihez, minden be van állítva!
A polgármesteri hivatalból távozó informatikusok állítólag azzal adták át a terepet 2018-ban, hogy az újak ne nyúljanak semmihez, „minden be van állítva”.
Szerencsére ezt a tanácsot az újak nem fogadták meg, kiderült ugyanis, hogy
2019 – Ha nincsenek résen, az egész adatvagyon megsemmisül
Teljes üzemzavar lett úrrá a hódmezővásárhelyi önkormányzaton 2019. március 19-én, kedden, ami egészen vasárnapig eltartott. Az ok: zsarolóvírust kaptak. Lényegében leállt a munka a hivatalban, erről akkor a nyilvánosság is értesülhetett, ugyanis a város abban az évben késve adta le az éves beszámolóját a Magyar Államkincstárnak, ami miatt az állami előfinanszírozásukat is felfüggesztették egy időre.
Szerencsére a biztonsági mentés átvilágításkor feltárt hiányosságait már rendezték, ezért a márciusi zsarolóvírusos támadáskor már volt használható biztonsági mentése a hivatalnak. Az önkormányzat nem fizetett a bűnözőknek, törölte a teljes számítógépes állományát és a legfrissebb biztonsági mentés alapján állították vissza a rendszert.
2019. július – újabb hekkelési kísérlet a választás előtt
Július 2-án a HVSZ Zrt. egyik gépéről is hekkertámadás érte a hivatal rendszerét. Az önkormányzat az ügyben a Nemzeti Nyomozó Irodánál tett feljelentést. Márki-Zay Péter az immár sorozatos informatikai támadásokról nem sokkal később facebook-posztban nyilatkozott:
A támadás során – a Nemzeti Kibervédelmi Intézet (NKI) jelentése alapján – a telepíteni próbált szoftverek között volt többek között
- a Cain & Abel elnevezésű, hálózati lehallgatást és különféle jelszavak feltörését biztosító szoftver;
- a Cain RDP Parser, egy lehallgatott távoli asztali kapcsolaton átvitt karakterek olvasható összeállításához használt program;
- és a DUBrute 2.2, mely egy távoli asztali kapcsolatok feltörésére használt eszköz;
- és RouterScan, amelyet a gyanú szerint a támadó a hivatal infrastruktúrájának külső letapogatására használt.
Információk szerint
Mindent tagadtak
A támadás idején még Ifj. Rapcsák András volt a Hódmezővásárhelyi Vagyonkezelő Zrt. vezetője. Márki-Zay 2019 szeptemberi nyilatkozatában már előállt a váddal: a HVSZ egyik gépéről érte támadás a polgármesteri hivatalt.
A HVSZ Zrt. akkori vezetése tagadta a vádakat, és azt jelezte, áll minden vizsgálat elé. Ifj. Rapcsák akkor közösségi oldalán azt írta, közel húsz évig vett részt a polgármesteri hivatal rendszerének üzemeltetésében, ami alatt több támadást is elhárítottak:
„A vádirat alapján, a szerződés felmondása után, meglévő jelszóval történt belépés a hivatal rendszerébe a HVSZ Zrt. rendszeréből, amelyért mint a társaság vezetője a teljes felelősséget vállalom és állok a tárgyalás elé. Álláspontom szerint bár a belépés fizikailag elképzelhető volt, de szándékosság bizonyosan nem volt benne, amit az is alátámaszt, hogy a polgármesteri hivatalt sem adatvédelmi, sem gazdasági, sem informatikai kár nem érte, mely álláspontom a bíróság előtt is képviselni fogom.„
A végén még gyorsan kilopták az ügyfeleket a HVSZ-ből
Ifj. Rapcsák András 2019. október 23-ig volt a HVSZ igazgatóságának elnöke. A 2020 máricusi, már az új vezetés által elvégzett átvilágításából kiderül, hogy az igazgatóság leváltását megelőző napon 2019. október 22-én több üzemeltetési, támogatási szerződést felmondtak (kórház, református egyház intézményei, tankerület, HSZC). A HVSZ hírportálunknak 2020-ban így nyilatkozott: „Érdekes módon ezen iratok kivétel nélkül 2019. október 24-én kerültek a HVSZ Zrt. iktatásába. Ezzel szinte egy időben került be annak a 4 munkatársnak a felmondása is, akik azóta Rapcsák Andrással közösen az Infolan Kft. keretein belül végzik ugyanezeknek a szervezeteknek az informatikai üzemeltetését” – aminek kapcsán a cég új vezetése utalt arra, hogy mindez közbeszerzéshez kötött tevékenység. „A korábbi cégvezetés így egyszerűbben fogalmazva kilopta az ügyfeleket mintegy havi 2.5 millió forint értékben és a munkatársakat a HVSZ Zrt.-ből. Az Infolan Kft. 2019. október 30-án alakult, de igen gyorsan sikerült ellátni megfelelő állami feladatokkal.” – írta a HVSZ új vezetése.
2020 – Vádemelés
Információs rendszer és adat megsértésének bűntette miatt vádat emelt a Szegedi Járási Ügyészség ifj. Rapcsák András, a Hódmezővásárhelyi Vagyonkezelő (HVSZ) Zrt. korábbi vezetője ellen. A Szegedi Járásbíróság 2021-ben büntetővégzéssel megállapította Ifj. Rapcsák András, a HVSZ Zrt. korábbi vezetőjének bűnösségét a hackertámadásért, és első fokon 3 évre próbaidőre bocsátotta – ez az egyik legenyhébb büntetés a magyar jogban. Az eljárás azonban folytatódott, mert az ügyészség pénzbüntetésért fellebbezett.
2023. június – jogerős ítélet ifj. Rapcsák András ellen
Az első fokú ítéletet „súlyosbítva”, annak egyéb részeit meghagyva immár jogerősen 250 ezer forint pénzbüntetésre ítélte a Szegedi Törvényszék ifjabb Rapcsák Andrást, amiért behatolt a hódmezővásárhelyi önkormányzat informatikai rendszerébe – írta meg 2023-ban a hvg.hu.
Az ítélet szerint a vásárhelyi önkormányzat rendszerébe a 2018-as időközi polgármester-választás – Márki-Zay Péter első győzelme – és a 2019-es önkormányzati választás között hatoltak be.
Az önkormányzati tulajdonú HVSZ Zrt-nek a városházával való együttműködését szerződés rögzítette. Miután ezt felmondták, a vádlott az ügyészség szerint már jogtalanul lépett be az önkormányzat rendszerébe. A vádirat szerint nem lehetett „szándékolatlan” a behatolás, mert a rendszeren belül létrejött egy „virtuális gép”, amelyre többek közt hálózati lehallgatásra és jelszófeltörésre alkalmas szoftvereket telepítettek.
Ifjabb Rapcsák ügyvédje többek között azzal érvelt, hogy a hivatal jelszavait mások is ismerték – azok megváltoztatására többször fel is szólította a hivatalt a vádlott –, és a támadásra használt laptop az adott időszakban a rendszergazda irodájában volt.
A bíróság a bizonyítékok alapján elutasította azt a védekezést, hogy a programok simán a rendszer üzemeltetését szolgálták volna, illetve, hogy a behatolással csak a védelmet szerette volna tesztelni a vádlott, vagy hogy gondatlanságból, véletlenül hatolt volna be a hálózatra.
Az ugyanakkor nem derült ki, hogy milyen adatokhoz szerettek volna hozzáférni.
Nem hobbiból tette, utasíthatta valaki
Márki-Zay szerint ifj. Rapcsák nem a saját belátása szerint cselekedett. „Annyira nem tartom ostobának, hogy ezt hobbiból tette volna. Szerintem valaki utasította és a legnagyobb csalódás nekem, hogy a motivációja nem derült ki – nyilatkozta az Azonnali.hu-nak az elsőfokú ítélet után a hódmezővásárhelyi polgármester, majd elmondta, hogy ennek ellenére nem szeretné, ha ifj. Rapcsák börtönbe kerülne.
A portál kérdésére, hogy szerinte ki utasíthatta ifj. Rapcsákot, Márki-Zay nem akart senkit megnevezni, de úgy fogalmazott:
Hozzászólások lezárva.