Suurempi osa kyberrikoksista tulisi saada virallisen syytteen alaisuuteen

Julkaisin eilen kirjoituksen otsikolla ”Kiinalainen verkkovakoilu APT10-hakkeriryhmällä ja läntiset pilvipalvelut” (US-blogi 10.7.2019). Tämä blogikirjoitus on jatkoa tuohon kirjoitukseen.

Käsittelin kirjoituksessa Kiinan valtiollista tietomurtotoimintaa APT10-hakkeriryhmällä, joka koski vähintään 12 valtiota ja johon liittyen Yhdysvalloissa tuomioistuin on antanut tuomion kahdelle hakkerille, jotka toimivat siis Kiinan valtion hyväksi. FBI on etsintäkuuluttanut kyseiset rikoksentekijät. New Yorkin eteläisen piirikunnan käräjäoikeuden päätöksessä on nimetty myös Suomi rikoksentekokohteena (USDC SDNY 17.12.2018).

Rikoksessa kyse oli siis valtiollisesta toiminnasta, jossa toimija oli Kiinan turvallisuusministeriö.

Suomessa Kiinan hakkerointikohteena oli Valmet Oy. Valmetin hakkerointiasian uutisoi aluksi Reuters kirjoituksessaan otsikolla ”Inside the West’s failed fight against China’s ‘Cloud Hopper’ hackers” (Reuters 26.6.2019) ja sitä referoi Suomessa Helsingin Sanomat kirjoituksessa otsikolla ”Reuters: Teollisuusjätti Valmet joutui Kiinan verkkovakoilun uhriksi” (HS 28.6.2019).

Tietomurron kohteeksi joutuminen on yksityisomistuksessa olevalle yhtiölle ja etenkin pörssiyhtiölle häpeäksi koettu asia. Kyse on yrityksen arvosta – pörssiyritykselle myös pörssiarvosta. Häpeä halutaan salata, ettei oma osaamattomuus paljastuisi. Kyse on ammatillisesta uskottavuudesta ja kyvykkyydestä, joka on haastettu tietomurrolla onnistuen.

Helsingin Sanomien mukaan Valmet oli ulkoistanut syksyllä 2017 IT-toimintojaan ohjelmistotalo CGI:lle (kotisivut ja kotisivut). Helsingin Sanomat kysyi Valmet Oy:ltä, onko yhtiö ulkoistanut samalla myös tietoturvatoimintoja (HS 28.6.2019).

”Tietoturvaa ei ole ulkoistettu, vaan olemme viime vuosina jopa lisänneet Valmetin resursseja siihen. Kyberuhkiin varautuminen useilla jatkuvilla ja eritasoisilla keinoilla on nykypäivänä tärkeää. Luonnollisesti käytämme myös ulkoisia palveluita ja teemme jatkuvaa yhteistyötä eri osapuolten kanssa, mukaan lukien viranomaiset.” oli yhtiön vastaus.

Millaistakohan Valmet Oy:n yhteistyö on ollut viranomaisten kanssa tietoturva-asioissa? Kuinka paljon tietoturvaresursseja yhtiö on lisännyt? Jos olisin Valmet Oy:n osakkeenomistaja, haluaisin tietää. En ole Valmet Oy:n omistaja, mutta silti haluaisin tietää.

Valmet Oy ei ole tehnyt asianomistajana tietomurrosta rikosilmoitusta.

Helsingin Sanomat kirjoitti Valmet-tapauksesta liittyen KRP:hen ja Supoon:

”Keskusrikospoliisista kerrottiin HS:lle, ettei heillä ole Valmetin tapauksesta käynnissä esitutkintaa. Suojelupoliisi (Supo) ei kommentoinut tapausta.” (HS 28.6.2019).

Toisin kuin yksityiset yritykset, julkisyhteisöt ja julkisyhteisöjen omistuksessa olevat yritykset ovat sen sijaan tehneet ja tekevät rikosilmoituksia tietotekniikkarikoksista.

Lahden kaupunki joutui kyberhyökkäyksen kohteeksi 11.6.2019. KRP tutkii Lahden kaupungin saman päivänä tekemää rikosilmoitusta törkeänä tietojärjestelmän häirintänä (Yle 12.6.2019) ja tutkinta onkin jo edennyt (Yle 9.7.2019). Yhdellä koneella ollut haittaohjelma ehti levitä noin tuhanteen työasemaan.

Myös ulkoministeriöön tehdystä pitkäaikaisesta tietomurrosta (Yle 31.10.2013) tehtiin aikaan rikosilmoitus ja poliisi tutki asiaa. Esitutkinnassa tietomurtoja tutkittiin rikosnimikkeillä vakoilu ja törkeä vakoilu, virallisen syytteen alaisia rikoksia siis (Yle 2.7.2014). Murto toteutettiin Uroburos-haittaohjelmalla, jonka jäljet johtavat Venäjälle (G DATA SecurityLabs 28.2.2014 ja G DATA SecurityLabs Uroburos RedPaper). Uroburos-haittaohjelma tunnetaan myös nimillä Turla ja Snake.

En löytänyt netistä sivua, jossa olisi kerrottu, miten esitutkinta lopulta päättyi, siirtyikö se edes syyttäjälle ja nostettiinko syyteitä. Ilmeisesti ei, vaan prosessi tyssähti kesään 2014.

Ehkä emme kykene vielä samaan rikostekijöiden nimeämiseksi ja kiinnisaamiseksi kuin mihin monet asiantuntijablogistit ja Yhdysvallat kykenevät. Vai onko kyse politiikasta ja uskalluksen puutteesta, kun asia koskee Venäjää?

                                                                                     ****

Rikoslaki 38 luku, 10 § Syyteoikeus:

”Virallinen syyttäjä ei saa nostaa syytettä viestintäsalaisuuden loukkauksesta, törkeästä viestintäsalaisuuden loukkauksesta, tietojärjestelmän häirinnästä, tietomurrosta tai suojauksen purkujärjestelmärikoksesta, ellei asianomistaja ilmoita rikosta syytteeseen pantavaksi tai ellei rikoksentekijä rikosta tehdessään ole ollut yleistä posti- tai teletoimintaa harjoittavan laitoksen palveluksessa taikka ellei erittäin tärkeä yleinen etu vaadi syytteen nostamista.” (Rikoslaki 19.12.1889/39).

Tietomurto on siis lähtökohtaisesti asianomistajarikos, josta asianomistajan on tehtävä rikosilmoitus, ”ellei erittäin tärkeä yleinen etu vaadi [virallisen] syytteen nostamista.”

Ei ole tiedossa, että poliisi ja syyttäjälaitos ovat määritelleet kyberrikoksissa, milloin ”erittäin tärkeä yleinen etu” vaatisi syytteen nostamisen. Muodostaako vieraan valtion rikollinen tietomurto erittäin tärkeän yleisen edun?

”Yleinen etu” on termi, johon liittyy yleensä myös poliittista harkintaa. Yleisen edun juridista määrittelyä on tutkailtu mm. Helsingin yliopiston Erittäin tärkeä yleinen etu syyttäjän syyteoikeuden perustana -verkkojulkaisussa vuonna 2004.

Mielestäni, jos viestintäsalaisuuden loukkaukseen, törkeään viestintäsalaisuuden loukkaukseen, tietojärjestelmän häirintään ja tietomurtoon liittyvässä mahdollisessa rikoksessa tai suojauksen purkujärjestelmärikoksessa rikosepäily kohdistuu vieraaseen valtioon tai sen edustajiin, kyse on 38 luku 10 §:n mukaisesta erittäin tärkeästä yleisestä edusta ja virallisen syytteen alaisesta rikoksesta.

Jos tietomurron ja siis tietojen anastamisen suorittaa vieras valtio tai sen edustajat, kyse on mielestäni myös vakoilusta. Rikoslaki kirjoittaa rikosnimikkeinä vakoilun tai törkeän vakoilun. Noin ainakin silloin vakoilurikos tulkittiin, kun varastettava materiaali oli vielä paperilla. Toivottavasti asiakirjojen muuttuminen digitaaliseen muotoon eivätkä internetpiuhat ole hämärtäneet ajattelua.

Rikoslaki 12 luku, 5 § Vakoilu ja 6 § Törkeä vakoilu:

”Joka vierasta valtiota hyödyttääkseen tai Suomea vahingoittaakseen hankkii tiedon sellaisesta Suomen maanpuolustusta tai muuta poikkeuksellisiin oloihin varautumista, Suomen ulkomaansuhteita, valtiontaloutta, ulkomaankauppaa tai energiahuoltoa koskevasta taikka muusta niihin rinnastettavasta, Suomen turvallisuuteen vaikuttavasta seikasta, jonka tuleminen vieraan valtion tietoon voi aiheuttaa vahinkoa Suomen maanpuolustukselle, turvallisuudelle, ulkomaansuhteille tai kansantaloudelle, on tuomittava vakoilusta vankeuteen vähintään yhdeksi ja enintään kymmeneksi vuodeksi.” (Rikoslaki 19.12.1889/39).

Kyse olisi lähinnä ulkomaankaupasta taikka muusta Suomen turvallisuuteen vaikuttavasta seikasta ja kansantaloudelle aiheutetusta vahingosta.

Ei ole tiedossa, miten poliisi ja syyttäjälaitos tulkitsee, milloin etenkin ”vieraan valtion” tai sen edustajien suorittamassa tietorikoksissa kyse olisi mahdollisesta vakoilusta ja asia tulisi tutkia vakoilurikoksena. Ainakin ulkoministeriöön tehtyä pitkäaikaista tietomurtoa tutkittiin virallisen syytteen alaisena vakoilurikoksena. Ulkoministeriön tietomurto on siis yksi referenssi vakoilurikoksesta.

Rikoksen kohde – onko kohteena kyse valtiosta vai yrityksestä – ei voi määrittää, onko kysyessä asianomistajarikos ja virallisen syytteen alainen rikos. Määrittäjän tulee ensisijaisesti olla itse rikos.

Joka tapauksessa, vaikka rikos kohdistuisi vain yksityiseen yritykseen ja kyse olisi lähtökohdiltaan asianomistajarikoksesta, olisi asiaa syytä tutkia virallisen syytteen alaisena rikoksena silloin, kun rikoksentekijänä on mahdollinen vieras valtio tai sen edustaja.

Toki heti tutkinnan aluksi ja etenkin ilman tutkinnan aloittamista ei aina voi nimetä rikoksen tekijäksi vierasta valtiota ja/tai sen edustajia. Monessa tapauksessa tämän Kiinan APT10-tapauksen tapaan voi ulkomailta saadun tiedon perusteella kuitenkin jo tutkintaa aloittaessa nimetä vahvimmaksi tekijäkandidaatiksi vieraan vallan.

Uskallan väittää, että etenkin valtiollisten hakkereiden toimintaan kannustavasti vaikuttaa se, etteivät yksityiset yritykset tee rikosilmoituksia vaan kärsivät tappiot hiljaa nahoissaan. Hakkereiden kiinnijäämisriski on tällöin vähäisempi. Olisi hyvä, jos poliisi- ja syyttäjäviranomaiset voisivat osaltaan vaikuttaa tutkintakynnyskäytännöillään siihen, että yhä useampi kyberrikostapaus tulisi kansalliseen tai kansainväliseen poliisitutkintaan. Pitää osata siis luoda painetta rehelliseen toimintaan.

Supolle kysymys: miten ulkoministeriöön kohdistetun tiemurron tutkinta päättyi ja mitä olivat tulokset syyteharkinnan suhteen? Tutkinta ei tainnut päätyä syyttäjälle eikä oikeuteen?