Tekstivastine Oivalluksia-podcast, jakso 17 Kyberrikosten kintereillä
Miehen ääni ja musiikkia: Oivalluksia. Vaasan yliopiston podcast.
Miia Kahila: Tietokone ilmoittaa viruksesta, sähköpostiin tupsahtaa nigerialaiskirje ja naapuri valittaa Facebook-tilinsä kaappauksesta. Uutisista saa lukea Vastaamon tietomurrosta, Tor-verkossa käytävästä huumekaupasta ja internetin lapsipornosivustoista. Nämä kaikki ovat kyberrikollisuutta. Kyseessä on nouseva rikollisuuden muoto - kyberrikosten määrät ovatkin viime vuosina kasvaneet hurjasti maailmalla ja Suomessa. Mutta jaetaanko rangaistuksia samaan malliin? Ja millaisia rangaistuksia ja seuraamuksia tuomituille tulee? Vastaukset selviävät Oivalluksia-podcastin tässä jaksossa. Minä olen toimittaja Miia Kahila ja aiheesta ovat keskustelemassa Vaasan yliopiston turvallisuusalan tutkija, dosentti Jyri Paasonen ja väitöskirjatutkija Mikko Luomala. Heillä on käynnissä kyberrikollisuuteen liittyvä tutkimushanke, jonka ensimmäisiä tuloksia on juuri julkaistu asianajajaliiton tieteellisessä lehdessä. Jyri ja Mikko, tervetuloa Oivalluksia-podcastin vieraaksi!
Jyri Paasonen : Kiitokset.
Mikko Luomala: Kiitos.
Miia Kahila: Kerrotteko lisää tästä tutkimushankkeesta, miksi halusitte tutkia nimenomaan kyberrikoksia ja kyberrikollisuutta? Ja miksi tämä aihe on Jyri tärkeä?
Jyri Paasonen : Kyberrikollisuus on tosissaan nouseva kasvavan rikollisuuden muoto, ja tietysti sitä ilmentää se, että sen torjunta on noussut viime vuosina monien valtioiden turvallisuusstrategioiden keskeiseksi painopistealueeksi. Perinteinen rikollisuus on paljon siirtynyt nyt verkkovälitteiseksi. Esimerkkinä uutena Tor-verkossa tapahtuva huumausaineiden kauppa. Ja monesti kyberrikosten yhteydessä korostetaan sitä rikoskäyttäytymisen globaalia skaalautuvuutta ja yksi tekijä pystyy aiheuttamaan paljon, tietysti kuten Vastaamon ikävä tapaus osoittaa. Ja sitten taas toisaalta, jos ajatellaan positiivisia puolia rikostorjunnan näkökulmasta, tässä oli FBI:n Anom-operaatio, eli oli tämmöinen Anom-sovellus, millä oli yli 11 000 käyttäjää ympäri maailmaa, ja sen myötä poliisit iski yhtäaikaisesti rikollisjärjestöjä vastaan. Ja poliisi kertoi Suomessakin ottaneensa kesällä lähes sata ihmistä kiinni ja hyvin kovan luokan järjestäytyneen rikollisuuden piirissä olevia henkilöitä. Ja sieltä on ensimmäiset tuomiot jo tullutkin. Ja ylipäätään kyberrikollisuuteen liittyvä tutkimus on hyvin poikkitieteellistä ja tällainen laaja-alainen ilmiö. Ja tietysti se kansainvälinen tutkimus on tässä viime vuosina lisääntynyt voimakkaasti, mutta se painottuu vielä hyvin paljon tekniikkaan ja insinööritieteisiin niin kansainvälisesti kuin Suomessa. Ja puhtaasti tällainen kyberrikollisuutta koskeva kotimainen kriminologinen ja rikosoikeudellinen tutkimus on ollut hyvin vähäistä. Ja perinteisesti kriminologisesti suuri osa onni on painottunut siihen rikoksen toteuttamisen ja valvonnan tehokkuutteen. On toteutettu nimenomaan ei sen digitaalisen rikollisuuden kontekstissa.
Miia Kahila: Mikä Mikko sitten selittää kyberrikosten lisääntymistä?
Mikko Luomala: Esimerkiksi koronavirusepidemian myötä vuonna 2020 ilmoitettujen kyberhyökkäysten määrä on arvioitu kasvaneen ennennäkemättömällä 50 prosentin kasvulla. Ja sitten keskimääräinen kiristyshaittain kiristysmaksu oli 118 000 Amerikan dollaria. Kansainvälisen rikospoliisijärjestö Interpol puolestaan ilmoitti haittaohjelmien ja tietojenkalastelun kasvaneen 569 prosentilla pelkästään helmikuusta maaliskuuhun vuonna 2020. Kyberrikoksia on helpompi tehdä kuin perinteisiä rikoksia. Siten on tullut ihan uusia rikoksentekijöitä muuhun muun muassa huumekauppaan tähän ilmiöön mukaan. Ja on helppo perustaa Toriin sivusto ja alkaa tekemään kaupankäyntiä huumeiden ja muiden hyödykkeiden osalta. Kyberrikollisuuden kansainvälisissä julkaisuissa on puhuttu uuden rikollisuuden mahdollisuudesta sekä elämäntyylin muutoksesta, jolla on perusteltu rikosten siirtymistä tietoverkkoon, mutta väite perinteisen rikosten vähentymisestä johtuen kyberrikollisuuden mahdollisuudesta ja sen siirtymästä herättää vastanäkemyksiä akateemisessa keskustelussa, ja tämä ei ole vieläkään se viimeinen sana tähän ilmiön kuvaamiseen.
Miia Kahila: Tuossa on aluksi kerroin vähän, että millaisia kyberrikoksia itselleni on tullut vastaan, mutta mitkä kaikki rikokset oikeastaan ovat kyberrikoksia? Miten sitä voisi määritellä. Onko se, että kaikki se, mitä tehdään tietokoneella vai?
Jyri Paasonen : Tietysti ylipäätään kyberrikossääntelyyn niin se on lisääntynyt viime vuosien aikana. Ja keskeisesti siellä näin kansallisen sääntelyn lisäksi vaikuttaa kansainvälinen sääntely. Ja esimerkkinä siellä on Euroopan neuvoston tietoverkkorikollisuutta koskeva yleissopimus ja siihen liittyviä lisäpöytäkirjoja, ja samoin sitten parlamentti ja neuvosto on antanut direktiivin näihin tietojärjestelmiin kohdistuvista hyökkäyksistä. Kun tätä Suomen rikoslakia katsotaan, siellä keskeisenä on rikoslain 38 luku, mikä näistä tieto- ja viestintärikoksista on säädelty. Ja siellä on salassapitorikoksia ja viestintäsalaisuuden loukkausta ja tietojärjestelmien ja tietoliikenteen häirintää ja tietomurtoja ja identiteettivarkauksia esimerkkinä. Ja tietysti se pitää todeta, että kyllähän näitä on meillä säädelty muissakin rikoslain luvuissa, että esimerkiksi 34 luvussa on yleisvaarallista rikoksista ja kolmevitosessa on taas datavahinkotekorikoksista ja 28 luvussa ovat näitä käyttöä koskevia rikoksia. Ja ylipäätään, kun kysyit sitä, niin tietysti kaikki nämä hyvin perinteiset rikossäännökset voi tulla sovellettaviksi, kuten tässä tullut vaikka huumausainerikokset, petosrikokset on hyvin yleisiä ja tietysti myös erilaiset uhkaukset ja yksityiselämää koskevan tiedon levittämiseen liittyvät tapaukset on siellä sovellettavissa.
Miia Kahila: Kerrotteko lähemmin, mitä olette tässä tutkimuksessa tutkineet? Millaisia kysymyksiä teillä on ollut, joita olette lähteneet selvittämään ja mitä teillä on ollut tutkimuksessa lähteenä?
Mikko Luomala: Meillä on tosiaan käynnistynyt laajempi tutkimushanke viime talvena, josta nyt ensimmäiset julkaisut on tulossa ulos. Tutkimushankkeen tavoitteena on selvittää tieto- ja viestirikosten tyypillisiä teon piirteitä ja arvioida sitä millaisia tieto-ja viestintärikoksia rikosoikeusjärjestelmän piiriin tällä hetkellä päätyy ja millaisia rangaistuksia teosta tyypillisesti tuomitaan. Tutkimushankkeen laajempana tavoitteena on arvioida sitä, missä määrin nykyisiä tietorikoksia koskevat kriminalisoinnit kattavat tietorikollisuuden todellisen kirjon ja missä määrin rikoksentorjunta onnistuu paljastamaan ja selvittämään näitä rikoslajeja. Lisäksi tarkastellaan tuomittuja vahingonkorvauksia. Tutkimusaineistona ovat kaikki vuosina 2015-2020 annetut tuomiot käräjä- ja hovioikeuksissa Suomessa, jossa päärikoksena on ollut rikoslain 38 luvun mukainen tieto- tai viestintärikos. Lisäksi on analysoitu Tilastokeskuksen aineistoja, kuten rikos- ja pakkokeinotilastoja, syytetyt ja tuomitut- ja rangaistustilastoja. Tämä tilasto oli vuosille 2010-2019.
Miia Kahila: Kuinka paljon sitten kyberrikoksia on tullut poliisin tietoon tilastojen mukaan Suomessa ja yleensäkin, mitä ajattelette siitä, että voisiko niitä tosiasiallisesti olla enemmän kuin, mitä sitten tulee tietoon?
Jyri Paasonen : Poliisin tietoon tulleet tässä - tietysti nämä ovat kasvaneet 2010-luvulla voimakkaasti. Ja jos katotaan sitä aineistoa, niin 2010 tuli yhteensä 717 rikosta ja jos sitä verrataan siihen 2019, että siellä tuli jo yli 5200 rikosta. Tietysti tästä kasvusta valtaosan selittää se, että se identiteettivarkaus kriminalisoitiin silloin vuonna 2015. Mutta ylipäätään näiden muidenkin rikosnimikkeiden määrä on kasvanut tässä 2010-luvulla 80 prosentilla. Hyvin voimakasta kasvua kauttaaltaan. Ja tietysti ylipäätään, että nämä viranomaisten tietoon tullut kyberrikollisuuden mittakaava, niin sitä on vielä vaikeata, että ennen kaikkea nyt tietysti, kun ei näitä rikosnimikekohtaisia rikosilmoituksia tuomiotilastoista ole helppo päätellä että, mitkä ylipäätään olisi laskettava kyberrikoksiksi. Ja tietysti niinkuin kriminologian puolella paljon puhutaan tästä kokonaisrikollisuudesta, niin kyllä se tässä kyberrikoksissa hyvin haastavaa on. Ja tietysti tämän ilmiön ulottuvuudet on sellaisia, että kuinka merkittävä osa jää viranomaistilastoiden ulkopuolelle, ja mitä ei ilmoiteta poliisille. Että kyseessä on hyvin pitkälle varmasti vain jäävuoren huippu, mikä näkyy siellä viranomaistilastoissa. Ja tietysti, jos ajatellaan elinkeinoelämää ja yrityksiä, niin ei ne halua niistä kertoa ja viedä niitä rikosprosessiin, koska niistä tulee julkisia ja maineriskit ovat on niin isoja niissä tapauksissa.
Miia Kahila: Entäs Mikko, mitkä ovat yleisimpiä tapauksia, jotka ovat tulleet poliisin tietoon tai josta on nostettu syyte?
Mikko Luomala: Mä voisin antaa esimerkkinä, etttä vuonna 2019 kaikista rikosasioista kolme neljäsosaa oli identiteettivarkauksia. Muita yleensä nimikkeitä ovat tietomurto, viestintäsalaisuuden loukkaus. Ja näistä erityiset tietomurtoepäilyt ovat lisääntyneet viime vuosina. Kaikkien tuomioiden osalta vuodon yleishavainnoin todentaa, että edistyneempiä hakkerointitaitoja ilmeneviä rikoksia on vähemmistössä. Tekemämme luokittelun mukaan noin 80 prosenttia tieto- ja viestintärikoksista tehtiin menetelmin, jotka vastaa tietojärjestelmän normaalia käyttöä. Kuten esimerkiksi toisen henkilön käyttäjätunnuksen, salasanan hyödyntämistä järjestelmään kirjautuessa, joka on tietomurto. Tai vastaavasti tilanteessa, jossa omia käyttäjätietoja käytettiin oikeudettomien tietojen katseluun, esimerkiksi potilasjärjestön järjestelmän luvaton katselu. Haittaohjelmia tai algoritmia pääosin valmista sellaista käytettiin ainoastaan 12 tapauksessa. Noin kahdeksas aineiston tuomio ei ollut kyberrikos laisinkaan. Tällöin kyseessä oli tyypillisesti viestisalaisuuden loukkaus tai postikirjeen luvaton avaaminen. Tietoliikenteen häirintärikoksissa korostuvat puolestaan aiheettomat hätäkeskussoitot. Noin kahdeksankymmentä prosenttia näistä tuomioista oli kyse tällaista teosta, jossa joku ihminen soittaa puhelimella aiheettoman hätäkeskussoiton. Pahimmissa tapauksissa soitto toistuu useita satoja kertoja. Salassapitorikoksissa tietovarannot ovat sikäli merkittävässä roolissa ja eteenpäin paljastunut salassapidettävät tiedot ovat usein lähtöisin operatiivista asiakastieto- ja muista järjestelmistä. Henkilörekisteri- ja tietosuojarikoksissa puolestaan dominoivat potilastietojen asiattomat katselut ja mukana lisäksi useita tapauksia, joissa poliisi tuomitaan samalla virkaverollisuuden rikkomisesta poliisiasian tietojärjestelmän tietojen perusteettomasta käytöstä.
Miia Kahila: Entä Jyri, miten paljon Suomessa on sitten rangaistu?
Jyri Paasonen : Tästä meidän aineistosta käytännössä, kun katsottiin, niin kyllähän se rangaistusten määrä on varsin matala. Että se henkilöiden määrä vuosittain korkeimmillaan on 48. Tietysti se pitää näistä tuomiotilastoista, että kun laaditaan päärikosperustaisesti, niin se suora vertailu kaikkine rikosepäilyine erikseen poliisitilastoihin on äkkiä harhaanjohtava. Ja jos sitä paremmin vertailukelpoista katsotaan, niin niitä tuomioita, joissa se syyksi luettu rikosten määrä on selvästi korkeampi, niin viime vuosina keskimäärin vain 500 kappaletta. Tietysti se ero siihen päärikospohjaiseen tuomittujen määrään selittää erityisesti se rangaistusasteikon vakavimpien rikosten oheisrikoksina esiintyvien identiteettivarkauksien suuri määrä viime vuosina, mistä tuossa puhuttiin alussa. Selvästi yleisin seuraamus siellä tuomioistuimessa on sakkotuomio. Niitä oli noin neljässä viidestä tuomiossa ja lisäksi siellä oli 2015-19 välillä 17 rangaistusmääräystä. Pelkästään vain seitsemän henkilöä tuomittiin viiden vuoden aikana ehdottomaan vankeusrangaistukseen, mikä on hirmu vähän. Näistä kolmessa tapauksessa päärikos oli tietoliikenteen häirintä ja neljässä törkeä tietoliikenteen häirintä. Ja yhdyskuntapalveluun tuomittiin vain yhden kerran ja ehdollisia vankeusrangaistuksia oli yhteensä 23 kappaletta.
Miia Kahila: Tässä on aika iso ero on rikosten ja rangaistusten määrässä. Mistä se voisi johtua? Onko tämä jonkinlainen ongelma?
Jyri Paasonen : Joo kyllähän sitä voi yllättävän alhaisena pitää. Ja tietysti se, jos kattoo niitä poliisin tietoon tulleita. Esimerkiksi vuonna 2018 niin poliisi kirjasi lähes 500 tietomurtoepäilyä ja sitä seuraavana vuonna tuomittiin ainoastaan kaksi henkilöä tietomurrosta ja syyksi luettiin viisi rikosta. Tietysti tässä on myös se mahdollisuus, että osa näistä eroista poliisin tietoon tulleiden rikosten ja tuomiossa syyksi luettujen rikosten määrässä liittyy niiden rikosten erilaiseen yksiköihin. Tämä tilastokeskuksen Rikos- ja pakkokeinotilasto sisältää myös ne vuosittaiset tiedot niiden selvitettyjen rikosten ja syyttäjälle ilmoitettujen rikosten määrässä. Vaikka ei näidenkään tietojen avulla ei pysty täysin yksiselitteisesti selvittämään sitä aitoa selvitysastetta, taikka syyteharkintaan edenneen rikosepäilyiden osuutta. Kyllä nämä tulokset ja tilastot viittaa siihen, että tieto- ja viestintärikokset etenee syyteharkintaan varsin harvoin verrattuna, jos katsotaan kaikkia rikoslakirikosten keskimääräistä tasoa ylipäätään.
Miia Kahila: Sanotte tutkimuksessanne, että kyberrikokset ovat tällä hetkellä merkittävä haaste niin rikosoikeusjärjestelmälle kuin rikosvastuun toteutumiselle. Onko jotain jo tehty asialle? Mitä teidän mielestänne pitäisi tehdä? Miten tutkimusta kyberrikoksista pitäisi nyt jatkaa?
Jyri Paasonen : Sinänsä se on ihan selvää, että näitten tutkimustulosten mukaan, että kyllä ne lisäpanostukset sinne kyberrikosten torjuntaan ja paljastamiseen on tarpeen. Ja tietysti se, että poliisitoimintaa vaikeuttaa erityisesti käytettävissä olevat tiedonhankintakeinot ja tiedon säilyvyys. Se rikosten ilmoittamiskynnyksen korkeus ja ne viiveet siellä rikosilmoituspäässä. Ja ylipäätään, jos tätä kyberpuolta katsotaan laajemmin, niin kyllä se selkeä puute on työmarkkinoilla, että löydettäisiin sellaisia osaajia niin sinne elinkeinoelämän puolelle kun sinne viranomaispuolelle. Ja kyllähän näitä kehittämistoimia on tehty kansallisesti ja EU-tasolla ja se, että erityisesti näissä painottuu nykyään julkisen sektorin rooli ja nämä erilaiset sääntelyratkaisut, mutta ennen kaikkea pitäisi huomioida tätä elinkeinoelämän roolia ja tietysti tätä yritysten riskienhallintaa. Tarvitaan näiden eri sääntelyratkaisujen kannustinvaikutuksia ja tehokkuuteen pitäisi paljon enemmän kiinnittää huomiota. Ja tietysti tutkimuksen näkökulmasta niin pitäisi pystyä hyödyntämään myös niitä muita aineistoja kuin näitä viranomaisaineistoja. Esimerkiksi mitä vaikka yksityiset ja elinkeinoelämä kerää tuolla, ketkä näiden asioiden parissa työskentelee. Ja tietysti kyberrikollisuuden laajuuteen liittyen, niin kyllähän se varmasti paljon suurempi on mitä jo tällä hetkellä tiedetään. Ja se, että niiden taloudellisten vahinkojen arviointi jo on hyvin haastavaa. Että pitäisi myös kehittää tätä kyberrikosten mittaamista ja seurantaa. Kyllä meillä tässä tutkittavaa riittää ja tutkimus jatkuu. Ja tietysti se, että mielenkiintoista on, että nyt kun meillä on hyvä aineisto, niin katsotaan sitä rangaistuskäytäntöä tarkemmin ja samoin että minkäänlaisia rikostorjunnan keinoja siellä voitas käyttää ja samoin tähän lainsäädännön kehittämiseen. Ja tietysti tärkeää on katsoa myös rikoksentekijänäkökulmaa.
Miia Kahila: Mikko,teet Vaasan yliopistossa väitöskirjaa. Aiotko väitöskirjassasi keskittyä nimenomaan kyberrikollisuuteen?
Mikko Luomala: Juuri näin, ja ollaan tekemässä vielä laajempaa kyberturvallisuuskyselyä turvallisuuskriittiselle organisaatioille,jossa kysytään heidän valmiuksia ja kokemuksiaan kyberrikoksista.
Miia Kahila: Kyberturvallisuus ja varsinkin laajemmin kokonaisturvallisuus on yksi mielenkiintoisista tutkimusalueista Vaasan yliopistossa. Olen kuullut, että yliopistossa on myös meneillään hankkeita, jotka liittyvät esimerkiksi energiajärjestelmien kyberturvallisuuteen. Jyri, olet turvallisuuden tutkija, oletko näissä hankkeissa mukana ja onko sinulla muita ajankohtaisia turvallisuuteen liittyviä tutkimuksia, joista haluaisit lyhyesti meille kertoa?
Jyri Paasonen : Ja olet tosissaan, olen sellainen puuhapete, että olen monessa monessa mukana. Ja tietysti yhtenä hienona asiana on, että Vaasan yliopistossa on panostettu ja yhtenä profiilialueena on kokonaisturvallisuuden kehittäminen. Ja tähän liittyen ollaan kehittämässä nimenomaan opetus- ja tutkimustoimintaa ja yhteistyötä alueen muiden toimijoiden kanssa. Näistä muista tutkimushankkeista niin tekniikan puolella meillä on useampi tutkimushanke käynnissä just tähän energia-alaan ja sen kyberturvallisuuteen liittyen ja yliopistolla myös sen puolen koulutusta kehitetään ja samoin sitten tällaista kyberturvallislabraa, mitä pystytään hyödyntämään erilaisissa testauksissa ja pystyy myös muut ulkopuoliset organisaatiot tulemaan sinne tekemään testauksia esimerkiksi haavoittuvuuksiin liittyen. Ja meillä on tässä näitä muitakin tutkimusprojekteja käynnissä, yksi vähän vastaava tutkimusprojekti, mikä sitä kyberrikoksista on, on talousrikoksiin liittyen nyt kanssa käynnistynyt. Ja ehkä yhteenvetona voisi vielä sanoa, että kyllä nykynne täällä rikosseuraamuspuoleen liittyen niin aika vähän meillä tehdään sitä tutkimusta, jos verrataan muihin Pohjoismaihin ja ylipäätään niin vähän tehdään tutkimusta eri turvallisuusalan toimijoihin ja julkisen vallan käyttöön liittyen. Että koko turvallisuustutkimuksen kenttä on vielä aika hajanaista meillä Suomessa, ja ennen kaikkea se tutkimuskokonaisuuden puute on sen suhteen ilmeinen ja se on hyvin yksittäisiin opinnäytetöihin painottunut. Ja meiltä on puuttunut tällainen kriminaalipoliittinen keskustelu yhteiskunnassa, ja niinkuin tuosta kokonaisturvallisuudesta sanoitkin, niin kyllähän se sillä lailla on, että se tulevaisuudessa tullaan entistä enemmän korostumaan ja vaatii myös niitä asiantuntijoita, joilla on yhä laaja-alaisemmat näkökulmat ovat näihin turvallisuusasioihin ja riskienhallintaan organisaatiossa. Ja tietysti yliopiston näkökulmasta voidan tähän tarpeeseen opetuksella ja tutkimuksella vastata. Ja sitä kautta myös se, että kavennetaan tutkijoiden ja sen työelämän välistä kuilua ja parannetaan myös tieteiden välistä verkostossa kotimaassa.
Miia Kahila: Tänään Oivalluksia-podcastin vieraana olivat Vaasan yliopiston turvallisuusalan tutkija, dosentti Jyri Paasonen ja väitöskirjatutkija Mikko Luomala. Kiitoksia kun tulitte vieraaksi.
Mikko Luomala ja Jyri Paasonen: Kiitokset!