Tieto- ja kyberturvallisuuden merkitys on kasvanut merkittävästi viime vuosien aikana palveluiden digitalisoitumisen ja tuotantotapojen sekä niiden ulkoistamisen myötä. Samoin käyttötavat ovat muuttuneet merkittävästi, kun etätyöskentely on lisääntynyt ja päätelaitteita on enemmän käytössä. Digitaaliset palvelut tarvitsevat tieto- ja kyberturvallisen yhteiskunnallisen toimintaympäristön. Nykyään puhutaankin digitaalisesta turvallisuudesta, joka pitää sisällään sekä tietoturvan että yhteiskunnan kyberturvallisuuden.
Kyberturvallisuus on noussut kansainvälisen ja kansallisen keskustelun aiheeksi, koska kyberrikosten osuus kaikista rikoksista on varsin merkittävä. Esimerkiksi British Crime Survey’n (2017) tulokset osoittavat internetissä tapahtuneen petoksen olevan tällä hetkellä yleisin rikos, jonka uhriksi kyselyn vastaajat ilmoittivat joutuneensa. Määrälliset tiedot sekä poliisin rekistereistä että kokonaisrikollisuuden piiristä osoittavat, että kyberrikollisuuden monet muodot ovat tulleet hyvin yleisiksi.
Kyberrikosten trendeistä
Levi (2017) on tutkinut kyberrikosten trendejä länsimaissa ja niiden vaikutusta kriminaalipolitiikkaan. Tutkimustulokset osoittavat verkkorikollisuuden huomattavaa kasvua. Toistaiseksi ei ole kuitenkaan selvää, onko se vain siirtymä kotitalouksien ja autojen omaisuusrikollisuuden laskulle, tai kuinka paljon päällekkäisyyttä on rikoksentekijöiden ja aiempien ei verkkorikoksentekijöiden välillä.
Lisäksi on syntynyt uudentyyppisiä rikoksia, kun teknologia muuttaa rikollisuuden tilaisuusrakennetta (opportunity structure). Sähköinen häirintä ja kiusaaminen (cyberbullying) ovat myös yleistyneet voimakkaasti. Esimerkiksi vuonna 2015 tehdyn tutkimuksen (Näsi ym.) mukaan 15-20 prosenttia Suomen, Ison-Britannian, Saksan ja Yhdysvaltojen nuorista aikuisista oli joutunut verkkokiusaamisen uhriksi.
Kryptomarkkinat ja bottiverkot
Kyberrikoksentorjunnan näkökulmasta haasteita asettaa viime vuosina voimakkaasti yleistyneet laittomat verkkomarkkinat, joista voi ostaa ja myydä erilaisia tavaroita ja palveluita, kuten huumeita, hakkerointipalveluita ja varastettua taloudellista tai arkaluonteista tietoa. Nämä anonyymit markkinapaikat eli kryptomarkkinat (cryptomarkets) ovat kiinnittäneet lainvalvonnan ja lainsäätäjän huomion.
Décary-Hétu ja Giommoni (2017) tutkivat laajojen poliisioperaatioiden vaikutusta kryptomarkkinoihin. Tutkimustulokset osoittivat, että rikoksentekijät sopeutuivat poliisioperaatioihin ja vaikutukset olivat rajallisia. Operaatioilla ei esimerkiksi havaittu olleen vaikutusta myyntihintoihin.
Kryptomarkkinoiden lisäksi bottiverkot (botnet) ovat kyber- ja verkkorikollisuuden yleisimpiä muotoja tällä hetkellä (Dupontin 2017). Bottiverkot tarjoavat infrastruktuurin, joka mahdollistaa pankkipetokset, jaetut palvelunestohyökkäykset (distributed denial of service attacks DDoS) ja klikkauspetokset (click fraud).
Kyberpetokset ja kyberrikostentekijät
Kansainvälisiin kyberrikoksiin liittyen erityisesti kyberpetokset ovat puhuttaneet viime vuosina. Kyberpetoksen avainominaisuus on, että sitä voi tehdä maailmanlaajuisesti. Tämä ei tarkoita, että kaikki kyberpetokset olisivat kansainvälisiä, toisiin sisältyy normaalia kanssakäymistä jossain vaiheessa rikosta ja verkkohuutokaupan myyntipetoksissa näyttäisi olevan yleistä, että tekijät ja uhrit ovat samasta valtiosta (Levi, Doig, Gundur, Wall & Williams 2017).
Kyberrikostentekijöistä tiedetään toistaiseksi vähän, mutta yksi toimintaa kuvaava piirre on sen verkostoituminen. Leukfeldt, Kleemans ja Stol (2017) tutkivat näitä verkostoja (cybercriminal networks) Saksassa, Isossa-Britanniassa ja Yhdysvalloissa. Tutkimus osoitti, että verkostot saavat yleensä alkunsa sosiaalisten kontaktien avulla tai foorumien yhteiskäytöllä. Foorumeilla on elintärkeä rooli suurimmassa osassa verkostoja tarjoamalla paikan, jossa rikolliset voivat tavata, rekrytoida ja käydä kauppaa rikollisista palveluista. Suurin osa verkostoista ovat pääasiassa kansainvälisiä ja kohdistettu finanssi-instituutioiden asiakkaisiin, mutta useimmat verkostot eivät ole kuitenkaan rajoittuneet yhdentyyppiseen rikokseen.
Kyberturvallisuuden tutkimuksen nykytilasta
Kyberturvallisuuteen liittyvä tutkimus on lähtökohtaisesti moni- ja poikkitieteellistä, koska kyseessä on hyvin laaja-alainen ilmiö. Kansainvälisesti tutkimus on lisääntynyt viime vuosina. Tutkimus on kuitenkin tekniikkaan ja insinööritieteisiin painottunutta niin kansainvälisesti (Long & White 2010) kuin Suomessa (Lehto & Kähkönen 2015).
Kyberturvallisuutta tarkastelevassa tutkimuksessa kriminologinen ja yhteiskuntatieteellinen näkökulma on ollut harvinainen. Kriminologisesti suurin osa siitä huomiosta, joka on suunnattu rikoksen toteuttamiseen ja valvonnan tehokkuuteen, on toteutettu ei digitaalisen rikollisuuden kontekstissa (Levi 2017). Oikeustieteen puolella aihetta on myös tutkittu hyvin vähän, vaikka siihen liittyvä sääntely on lisääntynyt voimakkaasti viime vuosien aikana.
Kotimaisesta sääntelystä
Kansainvälisissä, eri valtioiden kyberturvallisuuden tasoa mittaavissa indekseissä sääntelyn ajanmukaisuus on yksi arvioitava ulottuvuus. Näissä arvioissa Suomi ei saa kovin korkeita arvioita osakseen.
Sääntelyn kehittäminen on yksi tärkeä kokonaisuus kyberturvallisuuden kehittämisessä ja vahventamisessa. Monikansallisille yhtiöille ja viranomaisille koituu lisähaasteita siitä, että valtioissa on erilaiset säännökset yksityisyyden suojasta, tiedustelusta, pakkokeinoista ja kriminalisoinneista.
Suomen sääntelyä ei ole kyetty ajanmukaistamaan kyberturvallisuuden vaatimuksia vastaavaksi, joskin tiedustelulainsäädännön osalta lakihanke on parhaillaan käynnissä. Hallitus antoi tammikuussa eduskunnan käsiteltäväksi neljä lakiesitystä, jotka yhdessä muodostavat tiedustelulainsäädännön kokonaisuuden. Oikeusministeriö on valmistellut perustuslain muutosesityksen ja tiedustelutoiminnan valvontaa koskevaa lainsäädäntöä. Tiedustelutoiminnan valvonnasta vastaisi jatkossa uusi tiedusteluvaltuutettu. Sisäministeriössä on puolestaan valmisteltu siviilitiedustelua ja puolustusministeriössä sotilastiedustelua koskeva lainsäädäntö.
EU:n yleinen tietosuoja-asetus tulee luomaan yhteiset tietosuojaa koskevat raamit EU:n alueen toimijoille. Asetus jättää jäsenvaltioiden lainsäätäjille kansallista, asetuksen säännöksiä täsmentävää ja täydentävää liikkumavaraa. Kansallista tietosuojalakia on jatkovalmisteltu puolen vuoden ajan oikeusministeriössä virkatyönä ilman avointa jatkovalmistelua. Lainsäädännön arviointineuvosto antoi varsin kriittisen lausuntonsa tietosuojalain luonnoksesta helmikuussa.
Useissa ministeriöissä on tehty myös valmistelua kansallisen erityislainsäädännön sovittamiseksi tietosuoja-asetuksen kanssa. Osa näistä lakiehdotusluonnoksista on ollut jo lausuntokierroksella. Monissa erityislaeissa muutokset ovat varsin pieniä ja niissä pyritään tekemään viittauksia sekä tietosuoja-asetukseen että tulevaan kansalliseen tietosuojalakiin. Ministeriöissä tehty työ odottelee, että kansallinen tietosuojalaki on käsitelty ensiksi eduskunnassa. Tämä tulee hyvin todennäköisesti tarkoittamaan sitä, että 25.5.2018 Suomessa ei ole täysin sovitettua lainsäädäntöä tietosuoja-asetuksen kanssa.