AriPesonen1

Suurempi osa kyberrikoksista tulisi saada virallisen syytteen alaisuuteen

Julkaisin eilen kirjoituksen otsikolla ”Kiinalainen verkkovakoilu APT10-hakkeriryhmällä ja läntiset pilvipalvelut” (US-blogi 10.7.2019). Tämä blogikirjoitus on jatkoa tuohon kirjoitukseen.

Käsittelin kirjoituksessa Kiinan valtiollista tietomurtotoimintaa APT10-hakkeriryhmällä, joka koski vähintään 12 valtiota ja johon liittyen Yhdysvalloissa tuomioistuin on antanut tuomion kahdelle hakkerille, jotka toimivat siis Kiinan valtion hyväksi. FBI on etsintäkuuluttanut kyseiset rikoksentekijät. New Yorkin eteläisen piirikunnan käräjäoikeuden päätöksessä on nimetty myös Suomi rikoksentekokohteena (USDC SDNY 17.12.2018).

Rikoksessa kyse oli siis valtiollisesta toiminnasta, jossa toimija oli Kiinan turvallisuusministeriö.

Suomessa Kiinan hakkerointikohteena oli Valmet Oy. Valmetin hakkerointiasian uutisoi aluksi Reuters kirjoituksessaan otsikolla ”Inside the West’s failed fight against China’s ‘Cloud Hopper’ hackers” (Reuters 26.6.2019) ja sitä referoi Suomessa Helsingin Sanomat kirjoituksessa otsikolla ”Reuters: Teollisuusjätti Valmet joutui Kiinan verkkovakoilun uhriksi” (HS 28.6.2019).

Tietomurron kohteeksi joutuminen on yksityisomistuksessa olevalle yhtiölle ja etenkin pörssiyhtiölle häpeäksi koettu asia. Kyse on yrityksen arvosta - pörssiyritykselle myös pörssiarvosta. Häpeä halutaan salata, ettei oma osaamattomuus paljastuisi. Kyse on ammatillisesta uskottavuudesta ja kyvykkyydestä, joka on haastettu tietomurrolla onnistuen.

Helsingin Sanomien mukaan Valmet oli ulkoistanut syksyllä 2017 IT-toimintojaan ohjelmistotalo CGI:lle (kotisivut ja kotisivut). Helsingin Sanomat kysyi Valmet Oy:ltä, onko yhtiö ulkoistanut samalla myös tietoturvatoimintoja (HS 28.6.2019).

Tietoturvaa ei ole ulkoistettu, vaan olemme viime vuosina jopa lisänneet Valmetin resursseja siihen. Kyberuhkiin varautuminen useilla jatkuvilla ja eritasoisilla keinoilla on nykypäivänä tärkeää. Luonnollisesti käytämme myös ulkoisia palveluita ja teemme jatkuvaa yhteistyötä eri osapuolten kanssa, mukaan lukien viranomaiset.” oli yhtiön vastaus.

Millaistakohan Valmet Oy:n yhteistyö on ollut viranomaisten kanssa tietoturva-asioissa? Kuinka paljon tietoturvaresursseja yhtiö on lisännyt? Jos olisin Valmet Oy:n osakkeenomistaja, haluaisin tietää. En ole Valmet Oy:n omistaja, mutta silti haluaisin tietää.

Valmet Oy ei ole tehnyt asianomistajana tietomurrosta rikosilmoitusta.

Helsingin Sanomat kirjoitti Valmet-tapauksesta liittyen KRP:hen ja Supoon:

Keskusrikospoliisista kerrottiin HS:lle, ettei heillä ole Valmetin tapauksesta käynnissä esitutkintaa. Suojelupoliisi (Supo) ei kommentoinut tapausta.” (HS 28.6.2019).

Toisin kuin yksityiset yritykset, julkisyhteisöt ja julkisyhteisöjen omistuksessa olevat yritykset ovat sen sijaan tehneet ja tekevät rikosilmoituksia tietotekniikkarikoksista.

Lahden kaupunki joutui kyberhyökkäyksen kohteeksi 11.6.2019. KRP tutkii Lahden kaupungin saman päivänä tekemää rikosilmoitusta törkeänä tietojärjestelmän häirintänä (Yle 12.6.2019) ja tutkinta onkin jo edennyt (Yle 9.7.2019). Yhdellä koneella ollut haittaohjelma ehti levitä noin tuhanteen työasemaan.

Myös ulkoministeriöön tehdystä pitkäaikaisesta tietomurrosta (Yle 31.10.2013) tehtiin aikaan rikosilmoitus ja poliisi tutki asiaa. Esitutkinnassa tietomurtoja tutkittiin rikosnimikkeillä vakoilu ja törkeä vakoilu, virallisen syytteen alaisia rikoksia siis (Yle 2.7.2014). Murto toteutettiin Uroburos-haittaohjelmalla, jonka jäljet johtavat Venäjälle (G DATA SecurityLabs 28.2.2014 ja G DATA SecurityLabs Uroburos RedPaper). Uroburos-haittaohjelma tunnetaan myös nimillä Turla ja Snake.

En löytänyt netistä sivua, jossa olisi kerrottu, miten esitutkinta lopulta päättyi, siirtyikö se edes syyttäjälle ja nostettiinko syyteitä. Ilmeisesti ei, vaan prosessi tyssähti kesään 2014.

Ehkä emme kykene vielä samaan rikostekijöiden nimeämiseksi ja kiinnisaamiseksi kuin mihin monet asiantuntijablogistit ja Yhdysvallat kykenevät. Vai onko kyse politiikasta ja uskalluksen puutteesta, kun asia koskee Venäjää?

                                                                                     ****

Rikoslaki 38 luku, 10 § Syyteoikeus:

Virallinen syyttäjä ei saa nostaa syytettä viestintäsalaisuuden loukkauksesta, törkeästä viestintäsalaisuuden loukkauksesta, tietojärjestelmän häirinnästä, tietomurrosta tai suojauksen purkujärjestelmärikoksesta, ellei asianomistaja ilmoita rikosta syytteeseen pantavaksi tai ellei rikoksentekijä rikosta tehdessään ole ollut yleistä posti- tai teletoimintaa harjoittavan laitoksen palveluksessa taikka ellei erittäin tärkeä yleinen etu vaadi syytteen nostamista.” (Rikoslaki 19.12.1889/39).

Tietomurto on siis lähtökohtaisesti asianomistajarikos, josta asianomistajan on tehtävä rikosilmoitus, ”ellei erittäin tärkeä yleinen etu vaadi [virallisen] syytteen nostamista.

Ei ole tiedossa, että poliisi ja syyttäjälaitos ovat määritelleet kyberrikoksissa, milloin ”erittäin tärkeä yleinen etu” vaatisi syytteen nostamisen. Muodostaako vieraan valtion rikollinen tietomurto erittäin tärkeän yleisen edun?

”Yleinen etu” on termi, johon liittyy yleensä myös poliittista harkintaa. Yleisen edun juridista määrittelyä on tutkailtu mm. Helsingin yliopiston Erittäin tärkeä yleinen etu syyttäjän syyteoikeuden perustana -verkkojulkaisussa vuonna 2004.

Mielestäni, jos viestintäsalaisuuden loukkaukseen, törkeään viestintäsalaisuuden loukkaukseen, tietojärjestelmän häirintään ja tietomurtoon liittyvässä mahdollisessa rikoksessa tai suojauksen purkujärjestelmärikoksessa rikosepäily kohdistuu vieraaseen valtioon tai sen edustajiin, kyse on 38 luku 10 §:n mukaisesta erittäin tärkeästä yleisestä edusta ja virallisen syytteen alaisesta rikoksesta.

Jos tietomurron ja siis tietojen anastamisen suorittaa vieras valtio tai sen edustajat, kyse on mielestäni myös vakoilusta. Rikoslaki kirjoittaa rikosnimikkeinä vakoilun tai törkeän vakoilun. Noin ainakin silloin vakoilurikos tulkittiin, kun varastettava materiaali oli vielä paperilla. Toivottavasti asiakirjojen muuttuminen digitaaliseen muotoon eivätkä internetpiuhat ole hämärtäneet ajattelua.

Rikoslaki 12 luku, 5 § Vakoilu ja 6 § Törkeä vakoilu:

Joka vierasta valtiota hyödyttääkseen tai Suomea vahingoittaakseen hankkii tiedon sellaisesta Suomen maanpuolustusta tai muuta poikkeuksellisiin oloihin varautumista, Suomen ulkomaansuhteita, valtiontaloutta, ulkomaankauppaa tai energiahuoltoa koskevasta taikka muusta niihin rinnastettavasta, Suomen turvallisuuteen vaikuttavasta seikasta, jonka tuleminen vieraan valtion tietoon voi aiheuttaa vahinkoa Suomen maanpuolustukselle, turvallisuudelle, ulkomaansuhteille tai kansantaloudelle, on tuomittava vakoilusta vankeuteen vähintään yhdeksi ja enintään kymmeneksi vuodeksi.” (Rikoslaki 19.12.1889/39).

Kyse olisi lähinnä ulkomaankaupasta taikka muusta Suomen turvallisuuteen vaikuttavasta seikasta ja kansantaloudelle aiheutetusta vahingosta.

Ei ole tiedossa, miten poliisi ja syyttäjälaitos tulkitsee, milloin etenkin ”vieraan valtion” tai sen edustajien suorittamassa tietorikoksissa kyse olisi mahdollisesta vakoilusta ja asia tulisi tutkia vakoilurikoksena. Ainakin ulkoministeriöön tehtyä pitkäaikaista tietomurtoa tutkittiin virallisen syytteen alaisena vakoilurikoksena. Ulkoministeriön tietomurto on siis yksi referenssi vakoilurikoksesta.

Rikoksen kohde - onko kohteena kyse valtiosta vai yrityksestä - ei voi määrittää, onko kysyessä asianomistajarikos ja virallisen syytteen alainen rikos. Määrittäjän tulee ensisijaisesti olla itse rikos.

Joka tapauksessa, vaikka rikos kohdistuisi vain yksityiseen yritykseen ja kyse olisi lähtökohdiltaan asianomistajarikoksesta, olisi asiaa syytä tutkia virallisen syytteen alaisena rikoksena silloin, kun rikoksentekijänä on mahdollinen vieras valtio tai sen edustaja.

Toki heti tutkinnan aluksi ja etenkin ilman tutkinnan aloittamista ei aina voi nimetä rikoksen tekijäksi vierasta valtiota ja/tai sen edustajia. Monessa tapauksessa tämän Kiinan APT10-tapauksen tapaan voi ulkomailta saadun tiedon perusteella kuitenkin jo tutkintaa aloittaessa nimetä vahvimmaksi tekijäkandidaatiksi vieraan vallan.

Uskallan väittää, että etenkin valtiollisten hakkereiden toimintaan kannustavasti vaikuttaa se, etteivät yksityiset yritykset tee rikosilmoituksia vaan kärsivät tappiot hiljaa nahoissaan. Hakkereiden kiinnijäämisriski on tällöin vähäisempi. Olisi hyvä, jos poliisi- ja syyttäjäviranomaiset voisivat osaltaan vaikuttaa tutkintakynnyskäytännöillään siihen, että yhä useampi kyberrikostapaus tulisi kansalliseen tai kansainväliseen poliisitutkintaan. Pitää osata siis luoda painetta rehelliseen toimintaan.

Supolle kysymys: miten ulkoministeriöön kohdistetun tiemurron tutkinta päättyi ja mitä olivat tulokset syyteharkinnan suhteen? Tutkinta ei tainnut päätyä syyttäjälle eikä oikeuteen?

Piditkö tästä kirjoituksesta? Näytä se!

3Suosittele

3 käyttäjää suosittelee tätä kirjoitusta. - Näytä suosittelijat

NäytäPiilota kommentit (2 kommenttia)

Käyttäjän markok kuva
Marko Kivelä

Oikeastaan tuo on osin vähän toisessa kohdassa lainsäädäntöämme:

"rikoslain 30 pykälä 4 §
Yritysvakoilu
Joka oikeudettomasti hankkii tiedon toiselle kuuluvasta liikesalaisuudesta

1) tunkeutumalla ulkopuolisilta suljettuun paikkaan taikka ulkopuolisilta suojattuun tietojärjestelmään,

2) hankkimalla haltuunsa tai jäljentämällä asiakirjan tai muun tallenteen taikka muulla siihen rinnastettavalla tavalla tai

3) käyttämällä teknistä erikoislaitetta

tarkoituksin oikeudettomasti ilmaista tällainen salaisuus tai oikeudettomasti käyttää sitä, on tuomittava, jollei teosta ole muualla laissa säädetty ankarampaa rangaistusta, yritysvakoilusta sakkoon tai vankeuteen enintään kahdeksi vuodeksi.

Yritys on rangaistava."

Sitä miten palvelunestohyökkäykset tai vastaavat toimet on sanktioitu, en osaa sanoa. Joka tapauksessa lainsäädäntö erilaisten kyberrikosten osalta on hivenen hajallaan vähän siellä sun täällä. On varmasti totta, että merkittävämmissä tapauksissa noiden ei pitäisi olla asianomistajarikoksia, mutta en ole aivan varma, että onko tuo keskeisin pullonkaula. Kyseessähän ovat useimiten rikokset joiden selvittely vaatii poikkeuksellista osaamista ja valtioiden välistä yhteistyötä. Onko poliisissamme saatika syyttäjälaitoksessamme riittävästi osaamista ja resursseja tällä saralla? Eli kaatuuko nuo oikeasti siihen, ettei uhri halua nostaa syytettä vaiko siihen, että viranomaiset päätyvät harkinnassaan tulokseen, ettei asian tutkiminen johda kuitenkaan niin pitkälle, että syyte voitaisiin nostaa?

Käyttäjän AriPesonen1 kuva
Ari Pesonen

Hyvä kommentti. Minulla ajatus oli, että jos tekijä on valtiollinen tekijä, seuraisiko siitä erityistä. Ilmeisesti ei lainsäätäjä ole aikanaan ajatellut valtiollista toimijaa liikesalaisuuksien ryövääjänä ja mm. siksi kyseessä olisi vain asianomistaja-asia.

Toimituksen poiminnat

Tämän blogin suosituimmat kirjoitukset