#Kyberrikollisuus

Tietosuojavaltuutetun päätöksistä tutkimustuloksia

by
Kommentit pois päältä artikkelissa Tietosuojavaltuutetun päätöksistä tutkimustuloksia

Meillä on käynnissä kyberrikoksiin liittyvä tutkimushanke, jossa olemme keskittyneet erityisesti kyberrikosten rangaistuskäytäntöön tuomioistuimissa vuosina 2015–2019. Olemme aiemmissa tutkimuksissa tarkastelleet tietosuojarikoksia, mutta emme tietosuojan valvontaviranomaisen päätöksiä ja antamia seuraamuksia.

Finlexissä on julkaistu tietosuojavaltuutetun päätöksiä EU:n yleisen tietosuoja-asetuksen, rikosasioiden tietosuojalain ja henkilötietolain tulkinnasta. Tarkastelemme tutkimuksessamme näitä päätöksiä vuosilta 2018–2022. Tutkimus on julkaisuprosessissa, joten tässä yhteydessä on esitelty keskeiset tulokset päätöksien osalta.

Kaiken kaikkiaan päätöksiä oli julkaistu yhteensä 119 (taulukko 1), joista 48 päätöstä oli tietosuojavaltuutetun ratkaisemia ja 55 päätöstä apulaistietosuojavaltuutetun ratkaisemia. Tietosuojavaltuutetun seuraamuskollegio oli puolestaan ratkaissut kymmenen tapausta. Yksi päätös oli korkeimman hallinto-oikeuden, joka koski uskonnollisen saarnaamistyön yhteydessä keräämiä henkilötietoja.

Taulukko 1. Tietosuojatapausten päätöksentekijät vuosina 2018–2022.    

Päätöksentekijä Lukumäärä
KHO 1
Apulaistietosuojavaltuutettu 55
Apulaistietosuojavaltuutettu ja seuraamuskollegio 5
Tietosuojavaltuutettu 48
Tietosuojavaltuutetun seuraamuskollegio 10
Yhteensä 119

Tapauksista suurin osa (109 tapausta) oli päätöksiä. Joukossa oli myös esimerkiksi muutamia kannanottoja, lausuntoja ja määräyksiä (taulukko 2).

Taulukko 2. Tietosuojatapausten ratkaisut vuosina 2018–2022.    

 Ratkaisu Lukumäärä
Kannanotto 2
Lausunto 2
Määräys 2
Päätös 109
Päätös ja ohjaus 3
Muu 1
Yhteensä 119

Suurin osa päätöksistä kohdistui yrityksiin (86 tapausta). Neljätoista tapausta koski kunnan viranomaista ja kahdeksan valtion viranomaista. Tapaukset liittyivät myös usean eri toimialan toimintaan, ja niistä neljätoista kohdistui yksityisen pysäköinninvalvonnan yrityksiin, neljätoista suoramarkkinointiyrityksiin, kahdeksan julkiseen terveydenhuoltoon ja viisi hakukoneyhtiöihin sekä viisi liikennevakuutuskeskukseen. Loput tapaukset jakaantuivat tasaisesti eri toimialojen kesken ja joidenkin tapausten osalta ei voitu luotettavasti selvittää tietosuojavaltuutetun asiakirjoista, mitä organisaatiota tai yritystä päätös koski.

Hallinnollisia seuraamusmaksuja määrättiin yhteensä 2 182 800 euron edestä vuosina 2020–2022 (taulukko 3). Vuosina 2018 ja 2019 ei määrätty yhtään hallinnollista seuraamusmaksua. Suurin hallinnollinen seuraamusmaksu oli 750 000 euroa, joka kohdistui yksityiseen perintätoimistoon. Seuraamusmaksuja määrättiin yhteensä 18 tapauksessa. Maksujen keskiarvo oli 128 400 euroa.

Taulukko 3. Määrätyt hallinnolliset seuraamusmaksut vuosina 2018–2022.

Kohde Seuraamusmaksu (€) Vuosi
Posti 100 000 2020
Yritys (toimiala tuntematon) 16 000 2020
Yritys (toimiala tuntematon) 12 500 2020
Suoramarkkinointiyritys 7 000 2020
Taksiyhtiö 72 000 2020
Ammattikorkeakoulu 25 000 2021
Terveyspalveluyritys 608 000 2021
Liikennevakuutuskeskus 52 000 2021
Matkailualan yritys 6 500 2021
Terveyspalveluyritys 5 000 2021
Yksityinen pysäköinninvalvontayritys 75 000 2021
Lehden kustantaja 8 500 2021
Suoramarkkinointiyritys 8 300 2022
Lehdet ja uutispalvelut 85 000 2022
Laivayhtiö 230 000 2022
Terveyspalveluyritys 122 000 2022
Yksityinen perintätoimisto 750 000 2022
Yhteensä 2 182 800  

Päätöksissä oli myös useita turvallisuustekniikkaan liittyneitä tapauksia. Esimerkiksi tietosuojavaltuutetun antamassa päätöksessä 26.05.2020 käsiteltiin taksialan yrityksen kameravalvonnan lainmukaisuutta ja tietojen minimoinnin näkökulmaa.

Päätöksessä arvioitiin sijaintitietojen, äänitietojen ja kameravalvontavideon tietojen keräämisen perusteita ja tietojen keräämisen minimoinnin tarvetta sekä tietosuojaa koskevaa vaikutusten arviointia ja profilointia. Osa autoista keräsi sekä ääntä että kuvaa. Tietojen keräämistä yritettiin oikeuttaa turvallisuussyiden perusteella. Rekisteripitäjällä oli ollut noin neljä miljoonaa asiakasta ja yli 2 000 taksiautoa.

Apulaistietosuojavaltuutettu ja seuraamuskollegio antoivat taksialan yritykselle 72 000 euron hallinnollisen seuraamusmaksun puutteista kameravalvonnan tasapainotestin tekemisessä, äänen keräämisen osalta tehtävän minimointiperiaatteen laiminlyömisestä, tietojenkäsittelyn avoimuuden laiminlyömisestä, kaikkien tietojenkäsittelijöiden määrittelyn laiminlyömisestä, tietojenkäsittelyn vaikutusten arvioinnin puutteellisuudesta ja siitä, että tietoselosteet eivät vastanneet tietojenkäsittelyn kokonaiskuvaa.

Johtopäätöksiä

Tietosuojavaltuutetun antamista päätöksistä merkittävä osa koski yrityksiä. Yksittäisiä julkista sektoria koskeneita päätöksiä oli myös eri organisaatioihin liittyen. Esimerkiksi julkisen terveydenhuollon tietosuojassa oli puutteita, ja yhdessä päätöksessä tehtiin hallinnollista seuraamusmaksun määräämisharkintaa, mutta tietosuojalaki ei mahdollista hallinnollisen seuraamuksen määräämistä julkiselle toimijalle.

Suomessa tulisi seurata aktiivisesti muiden EU:n jäsenvaltioiden tietosuojan valvontaviranomaisten päätöksiä ja linjanvetoja, koska kyberrikollisuus on hyvin kansainvälistä. Kyberrikollisuus on merkittävä haaste koko rikosoikeusjärjestelmälle.

Kyberturvallisuuden kannalta kontrollien tehokkuudella ja organisaatioiden riskienhallinnan sekä sääntelyn toimivuudella on merkitystä, jotta voidaan suojata tehokkaasti henkilötietoja. Kyberrikoksella voidaankin vahingoittaa laajasti yhteiskuntaa.

Tämän takia olisi tärkeää tehdä jatkossa vertailevaa tutkimusta tietosuojan valvontaviranomaisten välillä eri valtioissa ja tutkia myös hallinnollisen seuraamusjärjestelmän hyötyjä tietosuojan sekä kyberturvallisuuden kehittämisen näkökulmasta.

Kyberrikokset tuomioistuimissa – missä kyberrikolliset ovat?

by
Kommentit pois päältä artikkelissa Kyberrikokset tuomioistuimissa – missä kyberrikolliset ovat?

Olin kertomassa meidän kyberrikollisuuteen liittyvästä tutkimuksesta Tietoturva ry:n Tietoturvakatsaus 2022 -webinaarissa. Kyberrikollisuuteen liittyvä kansainvälisesti tutkimus on lisääntynyt viime vuosina. Tutkimus on kuitenkin tekniikkaan ja insinööritieteisiin painottunutta.

Kyberrikollisuutta koskeva kotimainen kriminologinen ja rikosoikeudellinen tutkimus on ollut hyvin vähäistä, vaikka kyberrikosten sääntely on lisääntynyt voimakkaasti viime vuosien aikana. Rikoslaissa keskeisenä on 38 luku, jossa säädetään tieto- ja viestintärikoksista. Kyberrikoksia koskevia säännöksiä sisältyy myös muihin rikoslain lukuihin.

Poliisin tietoon tulleet rikokset ja tuomiot

Poliisiin tietoon tulleiden tieto- ja viestintärikosten määrä on kasvanut selvästi 2010-luvulla. Vuonna 2010 poliisin tietoon tuli yhteensä 717 rikosta, vuonna 2019 peräti 5202 rikosta. Valtaosan tästä kasvusta selittää kuitenkin identiteettivarkauden kriminalisointi vuonna 2015. Muiden nimikkeiden yhteenlaskettu määrä on kasvanut vuosien 2010–2019 aikana maltillisemmin, mutta kuitenkin noin 80 prosenttia.

Tietoon tulleiden rikosten määrään suhteutettuna tieto- ja viestintärikoksista käräjäoikeuksissa tuomittujen rangaistusten määrä on varsin matala: vuosina 2015–2019 tuomittujen henkilöiden määrä (yhteensä 206 henkilöä) on ollut vuosittain korkeimmillaan 48. Koska tuomiotilastot laaditaan päärikosperustaisesti, suora vertailu kaikki rikosepäilyt erikseen laskeviin poliisitilastoihin on harhaanjohtava. Paremmin vertailukelpoinen, tuomioissa syyksi luettujen rikosten määrä onkin selvästi korkeampi, viime vuosina keskimäärin vajaat 500 kappaletta.

Eroa päärikospohjaiseen tuomittujen määrään selittää erityisesti rangaistusasteikoltaan vakavampien rikosten oheisrikoksena esiintyvien identiteettivarkauksien suuri määrä viime vuosina. Tästä rikostilastointiin liittyvästä seikasta huolimatta tieto- ja viestintärikoksista tuomittujen määrää voidaan pitää yllättävän alhaisena. Esimerkiksi vuonna 2018 poliisi kirjasi lähes 500 tietomurtoepäilyä, mutta seuraavana vuonna tuomittiin ainoastaan kaksi henkilöä tietomurrosta, ja syyksi luettiin viisi rikosta.

Selvästi yleisin seuraamus on tuomioistuimessa määrätty sakko, joka oli seuraamuslajina noin neljässä viidestä tuomiosta. Näiden lisäksi vuosina 2015–19 määrättiin 17 rangaistusmääräystä. Yhteensä 7 henkilöä tuomittiin viiden vuoden aikana ehdottomaan vankeusrangaistukseen. Näistä kolmessa tapauksessa päärikoksena oli tietoliikenteen häirintä, neljässä törkeä tietoliikenteen häirintä.

Teonpiirteet vuosien 2015–2019 käräjäoikeusaineistossa

Kaikkien tuomioiden osalta voidaan yleishavaintona todeta, että edistyneempiä ”hakkerointitaitoja” ilmentävät rikokset ovat aineistossa vähemmistössä. Noin 80 prosenttia rikoksista tehtiin menetelmin, joka vastaavat tietojärjestelmän normaalia käyttöä, kuten esimerkiksi toisen henkilön käyttäjätunnuksen ja salasanan hyödyntämistä järjestelmään kirjautuessa (tietomurto). Haittaohjelmaa tai algoritmia käytettiin ainoastaan 12 tapauksessa.

Yleisin syyksi luettu tieto- ja viestintärikos tuomioaineistossamme on viestintäsalaisuuden loukkaus. Tietoliikenteen häirintärikoksissa (perusmuotoinen tai törkeä) korostuvat puolestaan aiheettomat hätäkeskussoitot. Noin 80 % tuomioista oli kyse tällaisesta teosta. Pahimmissa tapauksissa soittoja oli tehty useita satoja kertoja.

Tietosuojarikoksia puolestaan dominoivat potilastietojen asiattomat katselut, ja mukana on lisäksi useita tapauksia, joissa poliisi tuomittiin samalla virkavelvollisuuden rikkomisesta Poliisiasiain tietojärjestelmän tietojen perusteettomasta käytöstä.

Törkeissä tietomurroissa tekokokonaisuudet olivat huomattavasti laajempia ja tekotavoiltaan teknisesti vaativampia, mutta toisaalta näitä tuomioita oli aineistossa ainoastaan kaksi kappaletta viiden vuoden aikana. Törkeiden tietomurtojen lisäksi edistyneempiä kyberrikoksia aineistossa edustavat tietojärjestelmä häirintärikokset. Törkeistä tietomurroista tuomitut tuomittiin myös törkeästä tietojärjestelmän häirinnästä.

Palvelunestohyökkäykset ovat keskeinen tekotapa näissä rikoksissa, ja yhtä tapausta lukuun ottamatta muissa tuomiossa, joissa syyksi luettiin joko perusmuotoinen tai törkeä tietojärjestelmän häirintä, kyseessä oli nimenomaan tällainen teko. Ainoastaan seitsemän tuomioita sisälsi vähintään yhden tällaisen teon, joten näidenkin rikosten voidaan todeta olevan vielä varsin harvinaisia tuomioistuimissa.

Johtopäätöksiä

Tuomioistuinaineistomme analyysin perusteella vaikuttaa siltä, että keskeinen syy suhteellisen lievään rangaistuskäytäntöön tieto- ja viestintärikoksissa on se, että tällä hetkellä tuomioon saakka päätyvät rikokset edustavat verrattain lieviä tekomuotoja. Vaikka onkin todennäköistä, että rikosilmoituksiksi päätyy vain pieni osa kaikista kyberrikoksista, on tietoon tulleiden rikostenkin empiirisessä tutkimuksessa paljon tehtävää, joka voisi hyödyttää rikoksentorjuntaa.

Suuri ero tietoon tulleiden rikosten ja syyksi luettujen tieto- ja viestintärikosten lukumäärässä viittaa siihen, että valtaosa rikosepäilyistä päättyy joko esitutkintaan tai syyteharkintaan, mutta syitä tähän ei tunneta. Toisaalta on selvää, ettei viranomaisten tietoon tulleen kyberrikollisuuden koko kuvaa saada selville keskittymällä ainoastaan rikoslain 38 luvun mukaisiin rikosepäilyihin tai -tuomioihin, vaan rikosilmoituksia ja tuomioita tulisi käydä laajemmin läpi useampien sellaisten rikoslajien osalta, joissa on todennäköisesti kyberrikollisuuden elementtejä. Tällaisia rikoslajeja ovat muun muassa huumausainerikokset, petosrikokset, laittomat uhkaukset sekä yksityiselämää koskevan tiedon levittäminen.

Kyberrikokset ovat tällä hetkellä merkittävä haaste rikosoikeusjärjestelmälle ja sitä kautta rikosvastuun toteutumiselle. Vaikuttaa selvältä, että lisäpanostukset kyberrikollisuuden torjuntaan ja paljastamiseen ovat tarpeen. Kyberturvallisuuden kehittämistoimia on tehty kansallisesti ja EU-tasolla. Näissä korostuu vahvasti julkisen sektorin rooli ja erilaiset sääntelyratkaisut.

Kyberturvallisuuden kannalta olennaista on kuitenkin elinkeinoelämän rooli ja yritysten riskienhallinta, jonka takia eri sääntelyratkaisuiden kannustinvaikutuksiin ja tehokkuuteen pitäisi kiinnittää nykyistä enemmän huomiota. Tämän takia olisi tärkeää, että aihetta tutkittaisiin monipuolisesti, kun kyberrikollisuus kasvaa voimakkaasti. Kyberrikollisuuden laajuus voi olla paljon suurempi kuin tiedetään, ja taloudellisten vahinkojen arviointi on tästä syystä haastavaa. Tämän takia olisi tärkeää kehittää myös kyberrikosten mittaamista ja seurantaa.

Kyberrikollisuuden kustannuksista ja seurannasta

by
Kommentit pois päältä artikkelissa Kyberrikollisuuden kustannuksista ja seurannasta

Kyberrikollisuus on voimakkaasti kasvava rikollisuuden muoto, mitä ilmentää esimerkiksi se, että kyberrikollisuuden torjunta on noussut viime vuosina useiden valtioiden turvallisuusstrategioiden keskeiseksi painopistealueeksi. Liikenne- ja viestintäministeriö on valmistellut ehdotusta valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta vuosille 2021–2030. Eu­roopan komissio puolestaan julkaisi EU-tasoisen ky­berturvallisuusstrategian joulukuussa 2020. Tarkastelemme tässä blogissa Mikko Luomalan kanssa kyberrikollisuuden kustannuksia ja seurannan kehittämistä.

Perinteinen rikollisuus siirtyy verkkovälitteiseksi 

Perinteinen rikollisuus on siirtynyt voimakkaasti verkkovälitteiseksi, jota koronavirusepidemia on vielä vauhdittanut osaltaan. Tunnetuimpana viimeaikaisena esimerkkinä on Tor-verkossa tapahtuva huumausaineiden kauppa, josta on julkaistu mielenkiintoinen kotimainen tutkimus.

Kyberrikosten yhteydessä korostetaan usein rikoskäyttäytymisen kansainvälistä skaalautuvuutta ja yhdenkin tekijän potentiaalisten uhrien suurta määrää. Tästä ikävänä esimerkkinä on Vastaamon tietomurto, jonka myötä Tilastokeskuksen tilastojen mukaan sekä kiristysrikosten (n. 19 000 ilmoitusta lisää) että yksityiselämää koskevan tiedon levittämistä koskevien rikosten (n. 21 000 ilmoitusta lisää) määrät kasvoivat merkittävästi vuonna 2020 verrattuna edellisvuoteen.

Toisaalta rikollisuuden siirtyminen verkkovälitteiseksi ja siitä jäävät digitaaliset jalanjäljet voivat avata merkittäviä mahdollisuuksia myös rikostorjunnalle, kuten FBI:n Anom-operaatio osoittaa. Anom-nimisellä sovelluksella oli yli 11 000 käyttäjää ympäri maailman, jonka myötä poliisit iskivät yhtäaikaisesti rikollisjärjestöjä vastaan. Keskusrikospoliisi kertoi kesäkuussa ottaneensa kiinni lähes sata ihmistä Suomessa. Helsingin käräjäoikeus antoi heinäkuun puolessa välissä tuomion Anom-viesteihin liittyvässä jutussa, jossa marihuanaa oli järjestelty Espanjasta Suomeen lähemmäs 180 kilon edestä.

Kyberhyökkäysten kustannuksista ja kokonaiskuvasta

Maailmanlaa­juisesti kyberhyökkäysten kustannuksista on esitetty erilaisia arvioita. Niiden on arvioitu olevan jopa 600 miljardia dollaria vuosittain. Koronavirusepidemian myötä vuonna 2020 on ilmoitettujen kyberhyökkäysten määrän arvioitu kasvaneen ennennäkemättömällä 50 prosentin kasvulla.

Kansainvälinen rikospoliisijärjestö Interpol puolestaan ilmoitti haittaohjelmien ja tietojenkalastelun kasvaneen 569 prosentilla pelkästään helmikuusta maaliskuuhun vuonna 2020. Keskimääräinen kiristyshaittaohjelman kiristysmaksu oli 180 000 dollaria.

Kyberturvallisuuteen liittyvä taloudellinen keskustelu on painottunut toteutuneisiin kyberturvallisuusloukkauksiin. Tämän osalta täytyy korostaa, että useasti kyberhyökkäyksistä ilmoitetaan pidättäytyvästi, koska esimerkiksi maineriskit ovat suuria.

Myös viranomaisten tietoon tulleen kyberrikollisuuden mittakaava on vielä vaikeaa hahmottaa, muun muassa siksi, ettei tyypillisistä rikosnimikekohtaisista rikosilmoitus- tai tuomiotilastoista ole helppoa päätellä, mitkä rikosnimikkeet olisi laskettava kyberrikoksiksi. Vielä haastavampaa on arvioida kokonaisrikollisuuden määrää ja ilmiön kaikkia ulottuvuuksia, sillä merkittävää osa kyberrikoksista ei havaita tai ilmoiteta poliisille.

Mittausmenetelmien ja tutkimuksen kehittämisestä

Taloustieteilijät (Jamilov, Rey & Tahoun 2021) ovat kehittäneet uutta mittausmenetelmää kyberriskeille, joka ei perustu omaan ilmoittamiseen. He ovat käyttäneet koneoppimista ja tietokonelingvistiikkaa julkisesti noteerattujen yhtiöiden neljännesvuositulostiedotteisiin.

Heillä on kopiot yli 12 000 yhtiön puheluista (earnings calls) 85 valtiosta, jossa yhtiöt kertovat raportointikauden tuloksista ja analyytikot esittävät kysymyksiä. He ovat analysoineet puheluita ja käyttäneet algoritmia havaitsemaan kyberriskeihin liittyviä eri termejä ja mahdollisia altistuksia.

Alla olevassa kuvassa on esitetty aineiston pohjalta heidän laatimansa maailmanlaajuinen kyberriskialtistusindeksi, jossa näkyy keskiarvot kyberriskeille altistumiselle ja niiden esiintyvyys puheluissa. Kyberriskit ovat nelinkertaistuneet vuodesta 2002 alkaen ja yli kolminkertaistuneet vuodesta 2013 asti. Kuvaan on myös merkitty merkittäviä hakkerointeja ja kiristyshaittaohjelmia eri vuosilta.

Alla olevassa kuvassa puolestaan esitetään kyberriskialtistustapauksien vaihteluväli valtioittain vuonna 2020. Vaikka suurin osa kyberuhista kohdistuu yhdysvaltalaisiin yhtiöihin, niin on eurooppalaisten ja aasialaisten yhtiöiden osuus yli kaksinkertaistunut viimeisten viiden vuoden aikana. Suomessa vaihteluväli oli välillä 50-100. 

Kyberturvallisuuden kehittämistoimia on tehty kansallisesti ja EU-tasolla. Näissä korostuu vahvasti julkisen sektorin rooli ja erilaiset sääntelyratkaisut. Kyberturvallisuuden kannalta olennaista on kuitenkin elinkeinoelämän rooli ja riskienhallinta, jonka takia pitäisi eri sääntelyratkaisuiden kannustinvaikutuksiin ja tehokkuuteen kiinnittää enemmän huomiota.

Tämän takia olisi tärkeää, että aihetta tutkittaisiin monipuolisesti, kun kyberrikollisuus kasvaa voimakkaasti. Kyberrikollisuuden laajuus voi olla paljon suurempi kuin tiedetään, ja taloudellisten vahinkojen arviointi on tästä syystä haastavaa. Tämän takia olisi tärkeää kehittää mittaamista ja seurantaa.

Ylipäätään kyberrikollisuutta koskeva kriminologinen ja rikosoikeudellinen kotimainen tutkimus on ollut hyvin vähäistä. Taloustieteellinen näkökulma on myös tärkeää, koska kyberturvallisuuden ja -rikollisuuden kustannukset ovat merkityksellisiä koko yhteiskunnan näkökulmasta.

Arkipäiväistynyt kyberrikollisuus

by
Kommentit pois päältä artikkelissa Arkipäiväistynyt kyberrikollisuus

Nykyään saamme kokea yhä useammin erilaisia verkkotunnusten kalasteluyrityksiä tai kyberhyökkäyksien aiheuttamia tietojärjestelmien kaatumisia. Kyberrikollisuus onkin valitettavasti osa tätä päivää yhä enenevissä määrin, kun teknologia on mukana jokaisen arkipäivässä tavalla tai toisella.

Lähes kaikki tieto on erilaisissa päätelaitteissa tai niiden avulla saatavissa ja hallittavissa verkkoympäristöissä. Tämä toki positiivinen teknologinen kehitys on tuonut uusien mahdollisuuksien ohella myös uusia kyberrikollisuuteen liittyviä riskejä.

Kyberrikollisuudella tarkoitetaan verkkovälitteistä rikollisuutta ja rikoskäyttäytymistä, joka on hyvin kansainvälistä ja anonyymiä (ks. lisätietoa aiemmasta blogista).

Tietotekniikkaan kohdistuvat rikokset

Kyberrikollisuus voidaan jakaa tietotekniikkaan kohdistuviin ja tietokoneavusteisiin rikoksiin. Tietotekniikkaan kohdistuvilla rikoksilla tarkoitetaan sellaisia rikoksia, jotka kohdistuvat infrastruktuuriin ja sähköisiin järjestelmiin tai ohjelmiin.

Rikoslaissa säänneltyjä tähän kategoriaan kuuluvia rikoksia ovat esimerkiksi tietomurto ja tietoliikenteen häirintä. Esimerkkinä tietotekniikkaan kohdistuvasta rikoksesta voidaan mainita haittaohjelman lähettäminen sähköpostin välityksellä.

Tietotekniikkaan kohdistuvista rikoksista ja niiden määrästä on vain vähän tietoa, koska esimerkiksi yritykset eivät ole raportoineet viranomaisille tietomurroista maineen menettämisen pelossa. EU:n yleisen tietosuoja-asetuksen myötä ilmoitusvelvollisuudesta tuli kuitenkin lakisääteinen velvoite. Tietosuojavaltuutetun toimistoon oli viime vuonna tullutkin yli tuhat ilmoitusta tietoturvaloukkauksista.

Tietokoneavusteiset rikokset

Tietokoneavusteisilla rikoksilla tarkoitetaan puolestaan sellaisia rikoksia, joissa rikos tehdään tietokoneavusteisesti. Näistä rikoksista moni on niin sanottuja perinteisiä rikoksia. Esimerkkinä voidaan mainita petos, jossa käytetään tietokonetta apuna.

Tietokoneavusteisiin rikoksiin lukeutuu paljon laajempi joukko erilaisia rikosmuotoja kuin tietotekniikkaan kohdistuvissa rikoksissa. Esimerkiksi juuri tietojen kalastelu, jonka tarkoituksena on saada pankkitunnukset ja viedä kohteelta rahaa, kuuluu tietokoneavusteisiin rikoksiin.

Myös esimerkiksi laiton verkkolataaminen, sähköinen häirintä ja kiusaaminen, identiteettivarkaus ja kunnianloukkaus kuuluvat näihin rikoksiin. Vaikka sähköisestä häirinnästä ja kiusaamisesta ilmoitetaan harvemmin viranomaisille, tutkimustulokset ovat osoittaneet, että kyseinen rikosmuoto on tänä päivänä melko yleistä. Sen sijaan fyysinen kiusaaminen on vähentynyt.

Rikosoikeudesta ja sanktioista

Kyberrikosten kotimaiseen rikosoikeuteen vaikuttaa keskeisesti Euroopan neuvoston tietoverkkorikollisuutta koskeva yleissopimus ja sen lisäpöytäkirja. Lisäksi Euroopan parlamentti ja neuvosto ovat antaneet direktiivin tietojärjestelmiin kohdistuvista hyökkäyksistä.

Rikoslaissa keskeisenä on rikoslain 38 luku, jossa säädetään tieto- ja viestintärikoksista. Kyberrikoksiin liittyviä kriminalisointeja sisältyy muihinkin rikoslain lukuihin, kuten 28 luvussa säädetään luvatonta käyttöä koskevista rikoksista, 34 luvussa yleisvaarallisista rikoksista ja 35 luvussa datavahingontekorikoksista.

Muut perinteisemmät kriminalisoinnit voivat tulla myös sovellettaviksi kyberrikostapauksissa. Rikosoikeuden näkökulmasta kyberrikollisuus muodostaa hajanaisen kokonaisuuden. Lisäksi kriminalisoinneissa on päällekkäisyyttä.

Rikosoikeudellisten seuraamusten lisäksi laiminlyönneistä voi aiheutua merkittäviä hallinnollisia sanktioita. Tietosuoja-asetuksen mukaisia hallinnollisia sanktioita ei ole Suomessa vielä langetettu, kuten muualla Euroopassa. Esimerkiksi Ison-Britannian tietosuojaviranomainen (Information Commissioner’s Office) määräsi Marriott-hotelliketjulle noin 110 miljoonan euron hallinnollisen sanktion. Syynä oli vuoden 2018 lopulla varausjärjestelmästä löydetty tietoturva-aukko, jonka kautta paljastui noin 500 miljoonan asiakkaan henkilötietoja.

Suomessa ensimmäiset hallinnolliset sanktiot voidaan määrätä elokuun alusta, kun toimintansa aloittaa toimivaltuutta käyttävä kolmijäseninen kollegio.

Lopuksi

Kaiken kaikkiaan poliisin rekisterien ja kokonaisrikollisuustutkimuksen tietojen perusteella voidaan todeta, että kyberrikollisuus on tullut hyvin yleiseksi. Kyberrikollisuus on myös usein linkittynyt muuhun rikollisuuteen ja on osana nykyaikaista massarikollisuutta. Kyberrikollisuuteen liittyvät rahavirrat on arvioitu jo huumerikollisuuteen rinnastuviksi.

Kyberrikollisuus on vielä melko nuori ilmiö, joten tämän takia siitä ei ole mahdollista muodostaa luotettavaa ja tarkkaa kokonaiskuvaa, vaikka ensimmäinen tietokoneviirus Creeper kehitettiin jo 1970-luvun alussa.