Olin kertomassa meidän kyberrikollisuuteen liittyvästä tutkimuksesta Tietoturva ry:n Tietoturvakatsaus 2022 -webinaarissa. Kyberrikollisuuteen liittyvä kansainvälisesti tutkimus on lisääntynyt viime vuosina. Tutkimus on kuitenkin tekniikkaan ja insinööritieteisiin painottunutta.

Kyberrikollisuutta koskeva kotimainen kriminologinen ja rikosoikeudellinen tutkimus on ollut hyvin vähäistä, vaikka kyberrikosten sääntely on lisääntynyt voimakkaasti viime vuosien aikana. Rikoslaissa keskeisenä on 38 luku, jossa säädetään tieto- ja viestintärikoksista. Kyberrikoksia koskevia säännöksiä sisältyy myös muihin rikoslain lukuihin.

Poliisin tietoon tulleet rikokset ja tuomiot

Poliisiin tietoon tulleiden tieto- ja viestintärikosten määrä on kasvanut selvästi 2010-luvulla. Vuonna 2010 poliisin tietoon tuli yhteensä 717 rikosta, vuonna 2019 peräti 5202 rikosta. Valtaosan tästä kasvusta selittää kuitenkin identiteettivarkauden kriminalisointi vuonna 2015. Muiden nimikkeiden yhteenlaskettu määrä on kasvanut vuosien 2010–2019 aikana maltillisemmin, mutta kuitenkin noin 80 prosenttia.

Tietoon tulleiden rikosten määrään suhteutettuna tieto- ja viestintärikoksista käräjäoikeuksissa tuomittujen rangaistusten määrä on varsin matala: vuosina 2015–2019 tuomittujen henkilöiden määrä (yhteensä 206 henkilöä) on ollut vuosittain korkeimmillaan 48. Koska tuomiotilastot laaditaan päärikosperustaisesti, suora vertailu kaikki rikosepäilyt erikseen laskeviin poliisitilastoihin on harhaanjohtava. Paremmin vertailukelpoinen, tuomioissa syyksi luettujen rikosten määrä onkin selvästi korkeampi, viime vuosina keskimäärin vajaat 500 kappaletta.

Eroa päärikospohjaiseen tuomittujen määrään selittää erityisesti rangaistusasteikoltaan vakavampien rikosten oheisrikoksena esiintyvien identiteettivarkauksien suuri määrä viime vuosina. Tästä rikostilastointiin liittyvästä seikasta huolimatta tieto- ja viestintärikoksista tuomittujen määrää voidaan pitää yllättävän alhaisena. Esimerkiksi vuonna 2018 poliisi kirjasi lähes 500 tietomurtoepäilyä, mutta seuraavana vuonna tuomittiin ainoastaan kaksi henkilöä tietomurrosta, ja syyksi luettiin viisi rikosta.

Selvästi yleisin seuraamus on tuomioistuimessa määrätty sakko, joka oli seuraamuslajina noin neljässä viidestä tuomiosta. Näiden lisäksi vuosina 2015–19 määrättiin 17 rangaistusmääräystä. Yhteensä 7 henkilöä tuomittiin viiden vuoden aikana ehdottomaan vankeusrangaistukseen. Näistä kolmessa tapauksessa päärikoksena oli tietoliikenteen häirintä, neljässä törkeä tietoliikenteen häirintä.

Teonpiirteet vuosien 2015–2019 käräjäoikeusaineistossa

Kaikkien tuomioiden osalta voidaan yleishavaintona todeta, että edistyneempiä ”hakkerointitaitoja” ilmentävät rikokset ovat aineistossa vähemmistössä. Noin 80 prosenttia rikoksista tehtiin menetelmin, joka vastaavat tietojärjestelmän normaalia käyttöä, kuten esimerkiksi toisen henkilön käyttäjätunnuksen ja salasanan hyödyntämistä järjestelmään kirjautuessa (tietomurto). Haittaohjelmaa tai algoritmia käytettiin ainoastaan 12 tapauksessa.

Yleisin syyksi luettu tieto- ja viestintärikos tuomioaineistossamme on viestintäsalaisuuden loukkaus. Tietoliikenteen häirintärikoksissa (perusmuotoinen tai törkeä) korostuvat puolestaan aiheettomat hätäkeskussoitot. Noin 80 % tuomioista oli kyse tällaisesta teosta. Pahimmissa tapauksissa soittoja oli tehty useita satoja kertoja.

Tietosuojarikoksia puolestaan dominoivat potilastietojen asiattomat katselut, ja mukana on lisäksi useita tapauksia, joissa poliisi tuomittiin samalla virkavelvollisuuden rikkomisesta Poliisiasiain tietojärjestelmän tietojen perusteettomasta käytöstä.

Törkeissä tietomurroissa tekokokonaisuudet olivat huomattavasti laajempia ja tekotavoiltaan teknisesti vaativampia, mutta toisaalta näitä tuomioita oli aineistossa ainoastaan kaksi kappaletta viiden vuoden aikana. Törkeiden tietomurtojen lisäksi edistyneempiä kyberrikoksia aineistossa edustavat tietojärjestelmä häirintärikokset. Törkeistä tietomurroista tuomitut tuomittiin myös törkeästä tietojärjestelmän häirinnästä.

Palvelunestohyökkäykset ovat keskeinen tekotapa näissä rikoksissa, ja yhtä tapausta lukuun ottamatta muissa tuomiossa, joissa syyksi luettiin joko perusmuotoinen tai törkeä tietojärjestelmän häirintä, kyseessä oli nimenomaan tällainen teko. Ainoastaan seitsemän tuomioita sisälsi vähintään yhden tällaisen teon, joten näidenkin rikosten voidaan todeta olevan vielä varsin harvinaisia tuomioistuimissa.

Johtopäätöksiä

Tuomioistuinaineistomme analyysin perusteella vaikuttaa siltä, että keskeinen syy suhteellisen lievään rangaistuskäytäntöön tieto- ja viestintärikoksissa on se, että tällä hetkellä tuomioon saakka päätyvät rikokset edustavat verrattain lieviä tekomuotoja. Vaikka onkin todennäköistä, että rikosilmoituksiksi päätyy vain pieni osa kaikista kyberrikoksista, on tietoon tulleiden rikostenkin empiirisessä tutkimuksessa paljon tehtävää, joka voisi hyödyttää rikoksentorjuntaa.

Suuri ero tietoon tulleiden rikosten ja syyksi luettujen tieto- ja viestintärikosten lukumäärässä viittaa siihen, että valtaosa rikosepäilyistä päättyy joko esitutkintaan tai syyteharkintaan, mutta syitä tähän ei tunneta. Toisaalta on selvää, ettei viranomaisten tietoon tulleen kyberrikollisuuden koko kuvaa saada selville keskittymällä ainoastaan rikoslain 38 luvun mukaisiin rikosepäilyihin tai -tuomioihin, vaan rikosilmoituksia ja tuomioita tulisi käydä laajemmin läpi useampien sellaisten rikoslajien osalta, joissa on todennäköisesti kyberrikollisuuden elementtejä. Tällaisia rikoslajeja ovat muun muassa huumausainerikokset, petosrikokset, laittomat uhkaukset sekä yksityiselämää koskevan tiedon levittäminen.

Kyberrikokset ovat tällä hetkellä merkittävä haaste rikosoikeusjärjestelmälle ja sitä kautta rikosvastuun toteutumiselle. Vaikuttaa selvältä, että lisäpanostukset kyberrikollisuuden torjuntaan ja paljastamiseen ovat tarpeen. Kyberturvallisuuden kehittämistoimia on tehty kansallisesti ja EU-tasolla. Näissä korostuu vahvasti julkisen sektorin rooli ja erilaiset sääntelyratkaisut.

Kyberturvallisuuden kannalta olennaista on kuitenkin elinkeinoelämän rooli ja yritysten riskienhallinta, jonka takia eri sääntelyratkaisuiden kannustinvaikutuksiin ja tehokkuuteen pitäisi kiinnittää nykyistä enemmän huomiota. Tämän takia olisi tärkeää, että aihetta tutkittaisiin monipuolisesti, kun kyberrikollisuus kasvaa voimakkaasti. Kyberrikollisuuden laajuus voi olla paljon suurempi kuin tiedetään, ja taloudellisten vahinkojen arviointi on tästä syystä haastavaa. Tämän takia olisi tärkeää kehittää myös kyberrikosten mittaamista ja seurantaa.