Amikor az adat fegyverré válik – és a választás már eldőlt
Amikor kiderült, hogy a Tisza pártnál adatok szivárogtak ki, a legtöbb ember pontosan értette, mi történt. Volt egy szervezet, voltak nevek, elérhetőségek, belső információk, amelyek illetéktelenekhez kerültek. Lehetett rajta felháborodni, lehetett vitatkozni azon, ki hibázott, de a helyzet maga világos volt: adat került ki, amit védeni kellett volna.
Az Oracle körüli ügy ugyanerről szól, csak nem egy párt esetében, hanem világszerte több mint száz nagy szervezetnél egyszerre, és nem egyszerű kapcsolati adatokról, hanem a legérzékenyebb személyes, pénzügyi és szervezeti információkról. A legfontosabb különbség azonban nem a méret, hanem az idő: itt az érintettek hónapokig nem tudták, hogy az adatszivárgás már megtörtént.
Ahhoz, hogy ez érthető legyen, először azt kell megérteni, mi volt maga a „szivárgás forrása”.
Nem egy lista, hanem a „belső irattár”
A nagy cégek és intézmények nem Excel-táblákban tartják nyilván az életüket. Van egy központi számítógépes rendszerük, ahol minden együtt van: dolgozók adatai, fizetések, bankszámlák, szerződések, belső ügyek, döntések lenyomatai. Sok helyen ezt a rendszert az Oracle egyik vállalati szoftvercsomagja működteti.
Ez nem egy „alkalmazás”, hanem inkább egy digitális irattár, amelyben egy szervezet teljes múltja és jelene együtt van. Ha ebből az irattárból adat kerül ki, az nem egy kellemetlen technikai incidens, hanem az egész működést érintő probléma.
2025 nyarán ebben a rendszerben volt egy rejtett hiba. Nem olyan, amit egy frissítési értesítés jelez, hanem egy olyan, amelyről senki sem tudott. Ezt használták ki a támadók.
Az adatlopás, amit senki nem látott
A támadók – egy Cl0p nevű bűnözői csoport – nem tették azt, amit a filmekben látunk. Nem bénították meg a rendszereket, nem állították le a munkát, nem hagytak azonnali nyomot. Egyszerűen lemásolták az adatokat, miközben hagyták, hogy minden működjön tovább a megszokott módon.
Ezért a legtöbb érintett szervezetnél nem volt olyan pillanat, mint a Tisza esetében, amikor egyértelművé vált volna: itt baj van. Voltak gyanús jelek, de nem volt bizonyíték arra, hogy adat ténylegesen elhagyta a rendszert. Amikor később megjelent a biztonsági javítás, sokan joggal gondolták azt, hogy az ügy ezzel le van zárva.
Nem volt.
A késleltetett zsarolás
A fordulat hónapokkal később jött. A támadók ekkor jelentkeztek, és nem általánosságban fenyegettek, hanem konkrét bizonyítékokkal. Megmutatták, milyen adatokat vittek el, milyen belső dokumentumok vannak náluk. Ekkor vált világossá az érintettek számára is, hogy az adatszivárgás már jóval korábban megtörtént, csak senki nem tudott róla.
Az ügy akkor került igazán a nyilvánosság elé, amikor egyes szervezetek kénytelenek voltak elismerni az érintettségüket, és a sajtó – köztük a Reuters – beszámolt róla. Az érintettek között voltak egyetemek, nagyvállalatok és médiacégek is, például a The Washington Post.
Miért kérnek ennyi pénzt?
Amikor nyilvánosságra került, hogy egyes zsarolókövetelések elérik az 50 millió dollárt, sokan legyintettek. Pedig a támadók logikája egyszerű: nem az adat értékét árazzák be, hanem azt, mennyibe kerül egy ilyen ügy következménye. Egy ekkora adatlopás után perek indulhatnak, hatóságok vizsgálódnak, bírságok jöhetnek, és ami talán a legdrágább, a bizalom is elveszhet.
Ez a gondolkodás ismerős lehet a Tisza-ügyből – csak itt a tét nem politikai kellemetlenség, hanem globális reputációs és jogi kockázat.
Mit tanulhatunk ebből?
A legfontosabb tanulság az, hogy az adatszivárgás ma már nem feltétlenül látványos esemény. Nem biztos, hogy akkor derül ki, amikor történik, sőt, sokszor csak jóval később, amikor az adat már rég nincs ott, ahol lennie kellene.
Ez azt is jelenti, hogy egy szervezet jóhiszeműen mondhatja azt: „nem találtunk bizonyítékot adatlopásra”, miközben a valóság egészen más. A biztonság ma nem azon múlik, hogy történt-e hiba, hanem azon, észrevesszük-e időben, hogy mi történt valójában.
A jogi és GDPR-aspektus, emberi nyelven
Európában a GDPR szerint adatvédelmi incidenst kell bejelenteni, ha személyes adatok illetéktelenekhez kerülnek. Az Oracle-ügy egyik legnagyobb problémája éppen az volt, hogy sokáig nem volt bizonyítható az adatkiáramlás ténye. Amikor azonban a zsarolólevelek megérkeztek, ez a kérdés megszűnt.
Ilyenkor utólag derül ki, hogy a gond nemcsak az adatlopás ténye, hanem az időzítés is. Egy későn felismert vagy későn bejelentett incidens önmagában is jogi következményekkel járhat. Ezért válhat ez az ügy precedenssé: a „nem tudtunk róla” érvelés egyre kevésbé lesz elfogadható.
Végső konklúzió: alkalmas lehet-e választási visszaélésekre?
A válasz nem az, hogy ebből biztosan választási csalás lesz, és nem is az, hogy bizonyítottan erre használták volna. A valódi kérdés az, hogy alkalmas lehet-e rá.
A modern választási visszaélések ugyanis nem a szavazólapnál történnek, hanem jóval korábban.
Nem az urnáknál zajlik a svindli, hanem a gondolkodást próbálják befolyásolni. Ehhez pedig nem véletlenszerű adatlisták kellenek, hanem pontos, hiteles, strukturált információk emberekről, hálózatokról, szervezeti szerepekről és kommunikációs csatornákról.
Egy ilyen adatszivárgás pontosan ezt adja. Nem azonnali csalást, hanem lehetőséget. Lehetőséget célzott befolyásolásra, zsarolásra, lejáratásra, dezinformációra. Az adatot nem kell azonnal felhasználni. El lehet tenni későbbre, egy kampányra, egy politikai krízisre, egy feszült időszakra. Pontosan úgy, ahogy ebben az ügyben is történt: az adatlopás és a következmények között hosszú idő telt el.
Ezért félrevezető az a megnyugtatás, hogy „a hibát kijavították”.
A hiba valóban megszűnt. Az adat viszont kint van. És amíg kint van, addig potenciális eszköz marad bárki kezében, aki érti az információs befolyásolás logikáját.
Ebben az értelemben az Oracle-ügy már nem pusztán informatikai probléma. A választási folyamatok előszobája, ahol a demokrácia nem technikai, hanem információs oldalról válik sebezhetővé.
