#Kyberrikollisuus

Kyberrikollisuuden kustannuksista ja seurannasta

by
Kommentit pois päältä artikkelissa Kyberrikollisuuden kustannuksista ja seurannasta

Kyberrikollisuus on voimakkaasti kasvava rikollisuuden muoto, mitä ilmentää esimerkiksi se, että kyberrikollisuuden torjunta on noussut viime vuosina useiden valtioiden turvallisuusstrategioiden keskeiseksi painopistealueeksi. Liikenne- ja viestintäministeriö on valmistellut ehdotusta valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta vuosille 2021–2030. Eu­roopan komissio puolestaan julkaisi EU-tasoisen ky­berturvallisuusstrategian joulukuussa 2020. Tarkastelemme tässä blogissa Mikko Luomalan kanssa kyberrikollisuuden kustannuksia ja seurannan kehittämistä.

Perinteinen rikollisuus siirtyy verkkovälitteiseksi 

Perinteinen rikollisuus on siirtynyt voimakkaasti verkkovälitteiseksi, jota koronavirusepidemia on vielä vauhdittanut osaltaan. Tunnetuimpana viimeaikaisena esimerkkinä on Tor-verkossa tapahtuva huumausaineiden kauppa, josta on julkaistu mielenkiintoinen kotimainen tutkimus.

Kyberrikosten yhteydessä korostetaan usein rikoskäyttäytymisen kansainvälistä skaalautuvuutta ja yhdenkin tekijän potentiaalisten uhrien suurta määrää. Tästä ikävänä esimerkkinä on Vastaamon tietomurto, jonka myötä Tilastokeskuksen tilastojen mukaan sekä kiristysrikosten (n. 19 000 ilmoitusta lisää) että yksityiselämää koskevan tiedon levittämistä koskevien rikosten (n. 21 000 ilmoitusta lisää) määrät kasvoivat merkittävästi vuonna 2020 verrattuna edellisvuoteen.

Toisaalta rikollisuuden siirtyminen verkkovälitteiseksi ja siitä jäävät digitaaliset jalanjäljet voivat avata merkittäviä mahdollisuuksia myös rikostorjunnalle, kuten FBI:n Anom-operaatio osoittaa. Anom-nimisellä sovelluksella oli yli 11 000 käyttäjää ympäri maailman, jonka myötä poliisit iskivät yhtäaikaisesti rikollisjärjestöjä vastaan. Keskusrikospoliisi kertoi kesäkuussa ottaneensa kiinni lähes sata ihmistä Suomessa. Helsingin käräjäoikeus antoi heinäkuun puolessa välissä tuomion Anom-viesteihin liittyvässä jutussa, jossa marihuanaa oli järjestelty Espanjasta Suomeen lähemmäs 180 kilon edestä.

Kyberhyökkäysten kustannuksista ja kokonaiskuvasta

Maailmanlaa­juisesti kyberhyökkäysten kustannuksista on esitetty erilaisia arvioita. Niiden on arvioitu olevan jopa 600 miljardia dollaria vuosittain. Koronavirusepidemian myötä vuonna 2020 on ilmoitettujen kyberhyökkäysten määrän arvioitu kasvaneen ennennäkemättömällä 50 prosentin kasvulla.

Kansainvälinen rikospoliisijärjestö Interpol puolestaan ilmoitti haittaohjelmien ja tietojenkalastelun kasvaneen 569 prosentilla pelkästään helmikuusta maaliskuuhun vuonna 2020. Keskimääräinen kiristyshaittaohjelman kiristysmaksu oli 180 000 dollaria.

Kyberturvallisuuteen liittyvä taloudellinen keskustelu on painottunut toteutuneisiin kyberturvallisuusloukkauksiin. Tämän osalta täytyy korostaa, että useasti kyberhyökkäyksistä ilmoitetaan pidättäytyvästi, koska esimerkiksi maineriskit ovat suuria.

Myös viranomaisten tietoon tulleen kyberrikollisuuden mittakaava on vielä vaikeaa hahmottaa, muun muassa siksi, ettei tyypillisistä rikosnimikekohtaisista rikosilmoitus- tai tuomiotilastoista ole helppoa päätellä, mitkä rikosnimikkeet olisi laskettava kyberrikoksiksi. Vielä haastavampaa on arvioida kokonaisrikollisuuden määrää ja ilmiön kaikkia ulottuvuuksia, sillä merkittävää osa kyberrikoksista ei havaita tai ilmoiteta poliisille.

Mittausmenetelmien ja tutkimuksen kehittämisestä

Taloustieteilijät (Jamilov, Rey & Tahoun 2021) ovat kehittäneet uutta mittausmenetelmää kyberriskeille, joka ei perustu omaan ilmoittamiseen. He ovat käyttäneet koneoppimista ja tietokonelingvistiikkaa julkisesti noteerattujen yhtiöiden neljännesvuositulostiedotteisiin.

Heillä on kopiot yli 12 000 yhtiön puheluista (earnings calls) 85 valtiosta, jossa yhtiöt kertovat raportointikauden tuloksista ja analyytikot esittävät kysymyksiä. He ovat analysoineet puheluita ja käyttäneet algoritmia havaitsemaan kyberriskeihin liittyviä eri termejä ja mahdollisia altistuksia.

Alla olevassa kuvassa on esitetty aineiston pohjalta heidän laatimansa maailmanlaajuinen kyberriskialtistusindeksi, jossa näkyy keskiarvot kyberriskeille altistumiselle ja niiden esiintyvyys puheluissa. Kyberriskit ovat nelinkertaistuneet vuodesta 2002 alkaen ja yli kolminkertaistuneet vuodesta 2013 asti. Kuvaan on myös merkitty merkittäviä hakkerointeja ja kiristyshaittaohjelmia eri vuosilta.

Alla olevassa kuvassa puolestaan esitetään kyberriskialtistustapauksien vaihteluväli valtioittain vuonna 2020. Vaikka suurin osa kyberuhista kohdistuu yhdysvaltalaisiin yhtiöihin, niin on eurooppalaisten ja aasialaisten yhtiöiden osuus yli kaksinkertaistunut viimeisten viiden vuoden aikana. Suomessa vaihteluväli oli välillä 50-100. 

Kyberturvallisuuden kehittämistoimia on tehty kansallisesti ja EU-tasolla. Näissä korostuu vahvasti julkisen sektorin rooli ja erilaiset sääntelyratkaisut. Kyberturvallisuuden kannalta olennaista on kuitenkin elinkeinoelämän rooli ja riskienhallinta, jonka takia pitäisi eri sääntelyratkaisuiden kannustinvaikutuksiin ja tehokkuuteen kiinnittää enemmän huomiota.

Tämän takia olisi tärkeää, että aihetta tutkittaisiin monipuolisesti, kun kyberrikollisuus kasvaa voimakkaasti. Kyberrikollisuuden laajuus voi olla paljon suurempi kuin tiedetään, ja taloudellisten vahinkojen arviointi on tästä syystä haastavaa. Tämän takia olisi tärkeää kehittää mittaamista ja seurantaa.

Ylipäätään kyberrikollisuutta koskeva kriminologinen ja rikosoikeudellinen kotimainen tutkimus on ollut hyvin vähäistä. Taloustieteellinen näkökulma on myös tärkeää, koska kyberturvallisuuden ja -rikollisuuden kustannukset ovat merkityksellisiä koko yhteiskunnan näkökulmasta.

Arkipäiväistynyt kyberrikollisuus

by
Kommentit pois päältä artikkelissa Arkipäiväistynyt kyberrikollisuus

Nykyään saamme kokea yhä useammin erilaisia verkkotunnusten kalasteluyrityksiä tai kyberhyökkäyksien aiheuttamia tietojärjestelmien kaatumisia. Kyberrikollisuus onkin valitettavasti osa tätä päivää yhä enenevissä määrin, kun teknologia on mukana jokaisen arkipäivässä tavalla tai toisella.

Lähes kaikki tieto on erilaisissa päätelaitteissa tai niiden avulla saatavissa ja hallittavissa verkkoympäristöissä. Tämä toki positiivinen teknologinen kehitys on tuonut uusien mahdollisuuksien ohella myös uusia kyberrikollisuuteen liittyviä riskejä.

Kyberrikollisuudella tarkoitetaan verkkovälitteistä rikollisuutta ja rikoskäyttäytymistä, joka on hyvin kansainvälistä ja anonyymiä (ks. lisätietoa aiemmasta blogista).

Tietotekniikkaan kohdistuvat rikokset

Kyberrikollisuus voidaan jakaa tietotekniikkaan kohdistuviin ja tietokoneavusteisiin rikoksiin. Tietotekniikkaan kohdistuvilla rikoksilla tarkoitetaan sellaisia rikoksia, jotka kohdistuvat infrastruktuuriin ja sähköisiin järjestelmiin tai ohjelmiin.

Rikoslaissa säänneltyjä tähän kategoriaan kuuluvia rikoksia ovat esimerkiksi tietomurto ja tietoliikenteen häirintä. Esimerkkinä tietotekniikkaan kohdistuvasta rikoksesta voidaan mainita haittaohjelman lähettäminen sähköpostin välityksellä.

Tietotekniikkaan kohdistuvista rikoksista ja niiden määrästä on vain vähän tietoa, koska esimerkiksi yritykset eivät ole raportoineet viranomaisille tietomurroista maineen menettämisen pelossa. EU:n yleisen tietosuoja-asetuksen myötä ilmoitusvelvollisuudesta tuli kuitenkin lakisääteinen velvoite. Tietosuojavaltuutetun toimistoon oli viime vuonna tullutkin yli tuhat ilmoitusta tietoturvaloukkauksista.

Tietokoneavusteiset rikokset

Tietokoneavusteisilla rikoksilla tarkoitetaan puolestaan sellaisia rikoksia, joissa rikos tehdään tietokoneavusteisesti. Näistä rikoksista moni on niin sanottuja perinteisiä rikoksia. Esimerkkinä voidaan mainita petos, jossa käytetään tietokonetta apuna.

Tietokoneavusteisiin rikoksiin lukeutuu paljon laajempi joukko erilaisia rikosmuotoja kuin tietotekniikkaan kohdistuvissa rikoksissa. Esimerkiksi juuri tietojen kalastelu, jonka tarkoituksena on saada pankkitunnukset ja viedä kohteelta rahaa, kuuluu tietokoneavusteisiin rikoksiin.

Myös esimerkiksi laiton verkkolataaminen, sähköinen häirintä ja kiusaaminen, identiteettivarkaus ja kunnianloukkaus kuuluvat näihin rikoksiin. Vaikka sähköisestä häirinnästä ja kiusaamisesta ilmoitetaan harvemmin viranomaisille, tutkimustulokset ovat osoittaneet, että kyseinen rikosmuoto on tänä päivänä melko yleistä. Sen sijaan fyysinen kiusaaminen on vähentynyt.

Rikosoikeudesta ja sanktioista

Kyberrikosten kotimaiseen rikosoikeuteen vaikuttaa keskeisesti Euroopan neuvoston tietoverkkorikollisuutta koskeva yleissopimus ja sen lisäpöytäkirja. Lisäksi Euroopan parlamentti ja neuvosto ovat antaneet direktiivin tietojärjestelmiin kohdistuvista hyökkäyksistä.

Rikoslaissa keskeisenä on rikoslain 38 luku, jossa säädetään tieto- ja viestintärikoksista. Kyberrikoksiin liittyviä kriminalisointeja sisältyy muihinkin rikoslain lukuihin, kuten 28 luvussa säädetään luvatonta käyttöä koskevista rikoksista, 34 luvussa yleisvaarallisista rikoksista ja 35 luvussa datavahingontekorikoksista.

Muut perinteisemmät kriminalisoinnit voivat tulla myös sovellettaviksi kyberrikostapauksissa. Rikosoikeuden näkökulmasta kyberrikollisuus muodostaa hajanaisen kokonaisuuden. Lisäksi kriminalisoinneissa on päällekkäisyyttä.

Rikosoikeudellisten seuraamusten lisäksi laiminlyönneistä voi aiheutua merkittäviä hallinnollisia sanktioita. Tietosuoja-asetuksen mukaisia hallinnollisia sanktioita ei ole Suomessa vielä langetettu, kuten muualla Euroopassa. Esimerkiksi Ison-Britannian tietosuojaviranomainen (Information Commissioner’s Office) määräsi Marriott-hotelliketjulle noin 110 miljoonan euron hallinnollisen sanktion. Syynä oli vuoden 2018 lopulla varausjärjestelmästä löydetty tietoturva-aukko, jonka kautta paljastui noin 500 miljoonan asiakkaan henkilötietoja.

Suomessa ensimmäiset hallinnolliset sanktiot voidaan määrätä elokuun alusta, kun toimintansa aloittaa toimivaltuutta käyttävä kolmijäseninen kollegio.

Lopuksi

Kaiken kaikkiaan poliisin rekisterien ja kokonaisrikollisuustutkimuksen tietojen perusteella voidaan todeta, että kyberrikollisuus on tullut hyvin yleiseksi. Kyberrikollisuus on myös usein linkittynyt muuhun rikollisuuteen ja on osana nykyaikaista massarikollisuutta. Kyberrikollisuuteen liittyvät rahavirrat on arvioitu jo huumerikollisuuteen rinnastuviksi.

Kyberrikollisuus on vielä melko nuori ilmiö, joten tämän takia siitä ei ole mahdollista muodostaa luotettavaa ja tarkkaa kokonaiskuvaa, vaikka ensimmäinen tietokoneviirus Creeper kehitettiin jo 1970-luvun alussa.