#kyberturvallisuus

Turvallisuuden megatrendit 2024

by
Kommentit pois päältä artikkelissa Turvallisuuden megatrendit 2024

Security Industry Association (SIA) järjestää vuosittain Securing New Ground -tapahtuman, jossa teollisuuden johtajat ja talouskumppanit kokoontuvat. Tapahtumassa keskustellaan alan trendeistä ja ideoita jaetaan avoimesti.

Ennen tapahtumaa SIA selvitti kyselyn avulla jäseniltään, mitkä tekijät vaikuttivat heidän liiketoimintapäätöksiinsä ja mitä trendejä he seurasivat. SIA kysyi myös, mitkä aiemmat trendit olivat edelleen merkityksellisiä, mitkä trendit eivät enää olleet niin vaikuttavia ja mitä trendejä SIA:n julkaisemaan vuosittaiseen raporttiin voitaisiin lisätä. Tämän kaiken perusteella SIA muodosti raportin vuoden 2024 turvallisuuden megatrendeistä, joita on tarkasteltu tässä blogissa.

1. Tekoälyn turvallisuus

Tekoälyn turvallisuutta voidaan arvioida kolmen kysymyksen avulla: 1) miten voimme luottaa tekoälyyn, 2) miten varmistetaan tekoälyn eettinen soveltaminen ja 3) miten varmistetaan tekoälyn kyberturvallisuus?

Tekoälyn käytön lisääntymisen myötä kaikenkokoisten organisaatioiden on tarpeellista panostaakattavaan ja ennakoivaan turvallisuuteen, erityisesti kyberturvallisuuteen, jolloin organisaatiot voivat suunnitella, kehittää ja ottaa käyttöön koneoppimismalleja mahdollisimman turvallisesti.

Erilaiset tekoälyn käytön turvallisuuteen liittyvät työkalut ja alustat ovat olennaisia, koska ilman niitä on vain ajan kysymys, milloin organisaatio joutuu tietoturvaloukkauksen kohteeksi.

2. Tekoäly: ei pelkästään kameravalvontaa, vaan visuaalista älyä

Tekoäly on muuttamassa pysyvästi kameravalvontaa. Se on muuttumassa visuaaliseksi älyksi.Kameravalvonnasta on tulossa nopeasti kaikenkattava työkalu turvallisuusalalle. Se on muuttumassa tallentavasta työkalusta joksikin aivan muuksi. Kamerat ovat alustoja useille tunnistimille, kuten ääni-, kemikaali- ja lämpötilatunnistimille.

Tekoäly ja kameroiden tunnistimiin sovellettu analytiikka tekevät kameroista moninkertaisesti arvokkaampia käyttäjille kuin pelkät kamerat ovat. Visuaalisen älyn kyvyt kehittyvät, ja organisaatiot alkavat luoda visuaalisen älyn infrastruktuuria. Turvallisuusalan perushaaste on se, tuleeko se johtamaan tällä kasvualueella, kun kameravalvonnasta tulee visuaalista älyä.

3. Generatiivinen tekoäly

Generatiivinen tekoäly ja laajat kielimallit ovat tulleet maailmalla viime aikoina yhä tunnetummiksi. Nykyään on olemassa lukuisia tekoälysovelluksia, jotka voivat auttaa erilaisissa työtehtävissä, kuten ohjelmoijia koodin kirjoittamisessa.

Näiden teknologioiden kehittyessä ja käyttöönoton laajetessa ne tulevat vaikuttamaan turvallisuusalaan kolmella ensisijaisella alueella: 1) laajoja kielimallisovelluksia tullaan soveltamaan turvallisuusjärjestelmien dataan, 2) generatiivista tekoälyä tullaan käyttämään sisällön tuottamiseen ja 3) generatiivisia tekoälysovelluksia tullaan soveltamaan liiketoiminnan toiminnallisten haasteiden ratkaisemiseen.

4. Tekoälyn sääntely 

Tekoäly tulee muuttamaan voimakkaasti turvallisuusalaa, minkä myötä tulee myös sitä koskevaa sääntelyä, joka luo puitteet tekoälylle. Sääntely lisää luottamusta ja läpinäkyvyyttä tekoälyn käyttöön.

Monet uskovat, että sääntely tulee toisaalta myös nopeuttamaan tekoälyteknologian kehittämistä. Sääntelyn myötä tekoälytulevaisuus tulee edellyttämään enemmän vaatimustenmukaisuuden noudattamista, tietosuojaa ja todennäköisesti vielä enemmän avoimuutta sekä läpinäkyvyyttä algoritmeihin liittyen. 

5. Enemmän vastinetta turvallisuusinvestoinneille 

Turvallisuusjärjestelmät ja -ratkaisut tulevat tarjoamaan yhä enemmän vastinetta turvallisuusinvestoinneille. Ne tarjoavat liiketoiminta-arvoa ydinturvallisuustarpeen yli. Kun turvallisuusjärjestelmät ja -ratkaisut tuottavat yli perustuoton, tulee näistä ratkaisuista entistä välttämättömämpiä alan toimijoille ja yritysten omistajille.

Välttämättömyys on tulossa hyvin näkyväksi erityisesti kulunvalvontasektorilla. Jos jollakin tämän luettelon trendillä on suuri vaikutus turvallisuusalan toimijaan, se on tämä. Turvallisuusalan toimijoiden on aina tarvinnut osoittaa turvallisuusinvestoinnin kannattavuus sitä hankkivalle taholle, että investointi vähentää kalliita turvallisuuspoikkeamia. Turvallisuus näyttääkin arvonsa, kun mitään ei tapahdu!  

6. SaaS-palvelut muokkaavat liiketoimintamalleja

Kun turvallisuusmarkkinoilla siirrytään voimakkaasti SaaS-palveluihin ja palveluiden toimitusmalleihin, merkitsee tämä laajoja muutoksia integraattoreiden liiketoiminnalle ja myös koko turvallisuusalalle.

Perinteiset paikan päällä toteutettavat laitepohjaiset ratkaisut antavat periksi mallille, jossa turvallisuusratkaisuja myydään tilauksina, jotka on sidottu yritysasiakkaiden liiketoiminnan tulokseen. Turvallisuusalan on navigoitava tässä kehityksessä samalla, kun on myös tuettava vanhoja järjestelmiä.

7. Teknologiajättiläisten vaikutus turvallisuusalaan

Teknologiajättiläisten, kuten Applen, Googlen, Metan, Microsoftin ja Amazonin, markkina-aseman vuoksi niiden on mahdollista vaikuttaa nopeasti kokonaisiin toimialoihin, myös turvallisuusalaan. Pelkästään jo niiden kyky toimittaa massiiviselle asiakaskunnalleen laitteistoa ja pilviratkaisuja (usein uusinta tekoälyä käyttäen) antaa niille valtavan vaikuttamismahdollisuuden. Teknologiajättiläiset pystyvät myös muuttamaan ihmisten odotuksia.

Esimerkiksi Yhdysvalloissa henkilö voi mennä Home Depotiin, valita laadukkaan älylukon ja tunnin sisällä saada sen asennetuksi, wifiin yhdistetyksi, etäkäytön otettua käyttöön, iPhone tai Android -ohjauksen mahdollistettua, käyttöoikeudet määriteltyä ja rekisteröidä useita käyttäjiä. Teknologiajättiläiset nostavat asiakaskokemuksen rimaa ja tekevät mahdolliseksi palveluiden sekä teknologioiden integraation saumattomuuden.

8. Pilvipalvelut keskittyvät entistä enemmän

Tämä trendi on kuin arvoitus: on pilvinen päivä, mutta taivaalla on vain muutama pilvi. Pilvipalveluiden lujittaminen ja hallitsevien pilvipalveluiden tarjoajien suuremman vaikutusvallan haaliminen ovat yhteydessä teknologiajättiläisten vaikutusta koskevaan trendiin, koska ne hallitsevat pilvimarkkinoita.

Vain muutama yritys hallitsee pilvipalveluita, sillä Amazon Web Services (AWS), Google Cloud ja Microsoft Azure omistavat yhdessä kaksi kolmasosaa markkinoista. Monille turvallisuusalan toimijoille, jotka ajattelevat turvallisuusalan tulevaisuutta, tämä aiheuttaa levottomuutta.

Turvallisuusratkaisut ovat hyvin marginaalinen osa teknologiajättiläisten tulovirtaa pilvipalveluissa. Lisäksi asiakkaat voivat keskittää omat pilvipalvelunsa yhdelle toimijalle, jolloin he haluavat saada kaikki samaan pilveen. Tämä voi aiheuttaa puolestaan haasteita turvallisuusalan toimijoille, jos he ovat keskittäneet omat ratkaisunsa yhteen pilvipalveluun.

 9. Kiinteistömarkkinoiden uudelleenoptimointi 

Viime vuodet ovat olleet haastavia kiinteistömarkkinoille, erityisesti toimistorakennuksille. Etätyön lisääntyminen vähensi toimistorakennusten käyttötarvetta. Samaan aikaan korot nousivat tasaisesti. Moniperheasuntojen vuokrien kasvuvauhti hidastui tai tasaantui, ja kaupallisten toimistotilojen vuokrahinnat putosivat. Tämä on pakottanut vuokranantajat harkitsemaan uudelleen teknologiakustannuksia ja rauhoittamaan kiinteistöteknologiamarkkinoita.

Tämä tulee johtamaan toimistojen muuntamiseen asunnoiksi ja rakennusjärjestelmien yhteenliittämiseen (myös turvallisuuden) toiminnan tehokkuuden lisäämiseksi. Tämä suuntaus voi kuitenkin luoda mahdollisuuksia turvallisuusalalle. Tärkeää olisi pystyä yhdistämään turvallisuustekniset järjestelmät kiinteistöteknisiin järjestelmiin. Asiakkaat haluavat jatkuvasti seurata muun muassa kulunvalvontajärjestelmien tietoa toimitilojen käytöstä ja hyödyntää niitä tehokkaammin.

10. IT:n ja OT:n lähentyminen

Tietotekniikka (IT) ja operatiivinen teknologia (OT) lähentyvät nopeasti toisiaan. Lisäksi OT-järjestelmät integroituvat organisaation tietoympäristöön. Tämä lähentyminen vaatii laajempien ja monimutkaisempien ratkaisuiden luomista, mikä lisää riskejä, mikä puolestaan luo mahdollisuuksia turvallisuusalalle. IT:n ja OT:n lähentyminen luo myös tarpeen standardeille yhteentoimivuuden ja kyberturvallisuuden vuoksi.

 

Kuva: Axis

Tietosuojavaltuutetun päätöksistä tutkimustuloksia

by
Kommentit pois päältä artikkelissa Tietosuojavaltuutetun päätöksistä tutkimustuloksia

Meillä on käynnissä kyberrikoksiin liittyvä tutkimushanke, jossa olemme keskittyneet erityisesti kyberrikosten rangaistuskäytäntöön tuomioistuimissa vuosina 2015–2019. Olemme aiemmissa tutkimuksissa tarkastelleet tietosuojarikoksia, mutta emme tietosuojan valvontaviranomaisen päätöksiä ja antamia seuraamuksia.

Finlexissä on julkaistu tietosuojavaltuutetun päätöksiä EU:n yleisen tietosuoja-asetuksen, rikosasioiden tietosuojalain ja henkilötietolain tulkinnasta. Tarkastelemme tutkimuksessamme näitä päätöksiä vuosilta 2018–2022. Tutkimus on julkaisuprosessissa, joten tässä yhteydessä on esitelty keskeiset tulokset päätöksien osalta.

Kaiken kaikkiaan päätöksiä oli julkaistu yhteensä 119 (taulukko 1), joista 48 päätöstä oli tietosuojavaltuutetun ratkaisemia ja 55 päätöstä apulaistietosuojavaltuutetun ratkaisemia. Tietosuojavaltuutetun seuraamuskollegio oli puolestaan ratkaissut kymmenen tapausta. Yksi päätös oli korkeimman hallinto-oikeuden, joka koski uskonnollisen saarnaamistyön yhteydessä keräämiä henkilötietoja.

Taulukko 1. Tietosuojatapausten päätöksentekijät vuosina 2018–2022.    

Päätöksentekijä Lukumäärä
KHO 1
Apulaistietosuojavaltuutettu 55
Apulaistietosuojavaltuutettu ja seuraamuskollegio 5
Tietosuojavaltuutettu 48
Tietosuojavaltuutetun seuraamuskollegio 10
Yhteensä 119

Tapauksista suurin osa (109 tapausta) oli päätöksiä. Joukossa oli myös esimerkiksi muutamia kannanottoja, lausuntoja ja määräyksiä (taulukko 2).

Taulukko 2. Tietosuojatapausten ratkaisut vuosina 2018–2022.    

 Ratkaisu Lukumäärä
Kannanotto 2
Lausunto 2
Määräys 2
Päätös 109
Päätös ja ohjaus 3
Muu 1
Yhteensä 119

Suurin osa päätöksistä kohdistui yrityksiin (86 tapausta). Neljätoista tapausta koski kunnan viranomaista ja kahdeksan valtion viranomaista. Tapaukset liittyivät myös usean eri toimialan toimintaan, ja niistä neljätoista kohdistui yksityisen pysäköinninvalvonnan yrityksiin, neljätoista suoramarkkinointiyrityksiin, kahdeksan julkiseen terveydenhuoltoon ja viisi hakukoneyhtiöihin sekä viisi liikennevakuutuskeskukseen. Loput tapaukset jakaantuivat tasaisesti eri toimialojen kesken ja joidenkin tapausten osalta ei voitu luotettavasti selvittää tietosuojavaltuutetun asiakirjoista, mitä organisaatiota tai yritystä päätös koski.

Hallinnollisia seuraamusmaksuja määrättiin yhteensä 2 182 800 euron edestä vuosina 2020–2022 (taulukko 3). Vuosina 2018 ja 2019 ei määrätty yhtään hallinnollista seuraamusmaksua. Suurin hallinnollinen seuraamusmaksu oli 750 000 euroa, joka kohdistui yksityiseen perintätoimistoon. Seuraamusmaksuja määrättiin yhteensä 18 tapauksessa. Maksujen keskiarvo oli 128 400 euroa.

Taulukko 3. Määrätyt hallinnolliset seuraamusmaksut vuosina 2018–2022.

Kohde Seuraamusmaksu (€) Vuosi
Posti 100 000 2020
Yritys (toimiala tuntematon) 16 000 2020
Yritys (toimiala tuntematon) 12 500 2020
Suoramarkkinointiyritys 7 000 2020
Taksiyhtiö 72 000 2020
Ammattikorkeakoulu 25 000 2021
Terveyspalveluyritys 608 000 2021
Liikennevakuutuskeskus 52 000 2021
Matkailualan yritys 6 500 2021
Terveyspalveluyritys 5 000 2021
Yksityinen pysäköinninvalvontayritys 75 000 2021
Lehden kustantaja 8 500 2021
Suoramarkkinointiyritys 8 300 2022
Lehdet ja uutispalvelut 85 000 2022
Laivayhtiö 230 000 2022
Terveyspalveluyritys 122 000 2022
Yksityinen perintätoimisto 750 000 2022
Yhteensä 2 182 800  

Päätöksissä oli myös useita turvallisuustekniikkaan liittyneitä tapauksia. Esimerkiksi tietosuojavaltuutetun antamassa päätöksessä 26.05.2020 käsiteltiin taksialan yrityksen kameravalvonnan lainmukaisuutta ja tietojen minimoinnin näkökulmaa.

Päätöksessä arvioitiin sijaintitietojen, äänitietojen ja kameravalvontavideon tietojen keräämisen perusteita ja tietojen keräämisen minimoinnin tarvetta sekä tietosuojaa koskevaa vaikutusten arviointia ja profilointia. Osa autoista keräsi sekä ääntä että kuvaa. Tietojen keräämistä yritettiin oikeuttaa turvallisuussyiden perusteella. Rekisteripitäjällä oli ollut noin neljä miljoonaa asiakasta ja yli 2 000 taksiautoa.

Apulaistietosuojavaltuutettu ja seuraamuskollegio antoivat taksialan yritykselle 72 000 euron hallinnollisen seuraamusmaksun puutteista kameravalvonnan tasapainotestin tekemisessä, äänen keräämisen osalta tehtävän minimointiperiaatteen laiminlyömisestä, tietojenkäsittelyn avoimuuden laiminlyömisestä, kaikkien tietojenkäsittelijöiden määrittelyn laiminlyömisestä, tietojenkäsittelyn vaikutusten arvioinnin puutteellisuudesta ja siitä, että tietoselosteet eivät vastanneet tietojenkäsittelyn kokonaiskuvaa.

Johtopäätöksiä

Tietosuojavaltuutetun antamista päätöksistä merkittävä osa koski yrityksiä. Yksittäisiä julkista sektoria koskeneita päätöksiä oli myös eri organisaatioihin liittyen. Esimerkiksi julkisen terveydenhuollon tietosuojassa oli puutteita, ja yhdessä päätöksessä tehtiin hallinnollista seuraamusmaksun määräämisharkintaa, mutta tietosuojalaki ei mahdollista hallinnollisen seuraamuksen määräämistä julkiselle toimijalle.

Suomessa tulisi seurata aktiivisesti muiden EU:n jäsenvaltioiden tietosuojan valvontaviranomaisten päätöksiä ja linjanvetoja, koska kyberrikollisuus on hyvin kansainvälistä. Kyberrikollisuus on merkittävä haaste koko rikosoikeusjärjestelmälle.

Kyberturvallisuuden kannalta kontrollien tehokkuudella ja organisaatioiden riskienhallinnan sekä sääntelyn toimivuudella on merkitystä, jotta voidaan suojata tehokkaasti henkilötietoja. Kyberrikoksella voidaankin vahingoittaa laajasti yhteiskuntaa.

Tämän takia olisi tärkeää tehdä jatkossa vertailevaa tutkimusta tietosuojan valvontaviranomaisten välillä eri valtioissa ja tutkia myös hallinnollisen seuraamusjärjestelmän hyötyjä tietosuojan sekä kyberturvallisuuden kehittämisen näkökulmasta.

Kyberrikokset tuomioistuimissa – missä kyberrikolliset ovat?

by
Kommentit pois päältä artikkelissa Kyberrikokset tuomioistuimissa – missä kyberrikolliset ovat?

Olin kertomassa meidän kyberrikollisuuteen liittyvästä tutkimuksesta Tietoturva ry:n Tietoturvakatsaus 2022 -webinaarissa. Kyberrikollisuuteen liittyvä kansainvälisesti tutkimus on lisääntynyt viime vuosina. Tutkimus on kuitenkin tekniikkaan ja insinööritieteisiin painottunutta.

Kyberrikollisuutta koskeva kotimainen kriminologinen ja rikosoikeudellinen tutkimus on ollut hyvin vähäistä, vaikka kyberrikosten sääntely on lisääntynyt voimakkaasti viime vuosien aikana. Rikoslaissa keskeisenä on 38 luku, jossa säädetään tieto- ja viestintärikoksista. Kyberrikoksia koskevia säännöksiä sisältyy myös muihin rikoslain lukuihin.

Poliisin tietoon tulleet rikokset ja tuomiot

Poliisiin tietoon tulleiden tieto- ja viestintärikosten määrä on kasvanut selvästi 2010-luvulla. Vuonna 2010 poliisin tietoon tuli yhteensä 717 rikosta, vuonna 2019 peräti 5202 rikosta. Valtaosan tästä kasvusta selittää kuitenkin identiteettivarkauden kriminalisointi vuonna 2015. Muiden nimikkeiden yhteenlaskettu määrä on kasvanut vuosien 2010–2019 aikana maltillisemmin, mutta kuitenkin noin 80 prosenttia.

Tietoon tulleiden rikosten määrään suhteutettuna tieto- ja viestintärikoksista käräjäoikeuksissa tuomittujen rangaistusten määrä on varsin matala: vuosina 2015–2019 tuomittujen henkilöiden määrä (yhteensä 206 henkilöä) on ollut vuosittain korkeimmillaan 48. Koska tuomiotilastot laaditaan päärikosperustaisesti, suora vertailu kaikki rikosepäilyt erikseen laskeviin poliisitilastoihin on harhaanjohtava. Paremmin vertailukelpoinen, tuomioissa syyksi luettujen rikosten määrä onkin selvästi korkeampi, viime vuosina keskimäärin vajaat 500 kappaletta.

Eroa päärikospohjaiseen tuomittujen määrään selittää erityisesti rangaistusasteikoltaan vakavampien rikosten oheisrikoksena esiintyvien identiteettivarkauksien suuri määrä viime vuosina. Tästä rikostilastointiin liittyvästä seikasta huolimatta tieto- ja viestintärikoksista tuomittujen määrää voidaan pitää yllättävän alhaisena. Esimerkiksi vuonna 2018 poliisi kirjasi lähes 500 tietomurtoepäilyä, mutta seuraavana vuonna tuomittiin ainoastaan kaksi henkilöä tietomurrosta, ja syyksi luettiin viisi rikosta.

Selvästi yleisin seuraamus on tuomioistuimessa määrätty sakko, joka oli seuraamuslajina noin neljässä viidestä tuomiosta. Näiden lisäksi vuosina 2015–19 määrättiin 17 rangaistusmääräystä. Yhteensä 7 henkilöä tuomittiin viiden vuoden aikana ehdottomaan vankeusrangaistukseen. Näistä kolmessa tapauksessa päärikoksena oli tietoliikenteen häirintä, neljässä törkeä tietoliikenteen häirintä.

Teonpiirteet vuosien 2015–2019 käräjäoikeusaineistossa

Kaikkien tuomioiden osalta voidaan yleishavaintona todeta, että edistyneempiä ”hakkerointitaitoja” ilmentävät rikokset ovat aineistossa vähemmistössä. Noin 80 prosenttia rikoksista tehtiin menetelmin, joka vastaavat tietojärjestelmän normaalia käyttöä, kuten esimerkiksi toisen henkilön käyttäjätunnuksen ja salasanan hyödyntämistä järjestelmään kirjautuessa (tietomurto). Haittaohjelmaa tai algoritmia käytettiin ainoastaan 12 tapauksessa.

Yleisin syyksi luettu tieto- ja viestintärikos tuomioaineistossamme on viestintäsalaisuuden loukkaus. Tietoliikenteen häirintärikoksissa (perusmuotoinen tai törkeä) korostuvat puolestaan aiheettomat hätäkeskussoitot. Noin 80 % tuomioista oli kyse tällaisesta teosta. Pahimmissa tapauksissa soittoja oli tehty useita satoja kertoja.

Tietosuojarikoksia puolestaan dominoivat potilastietojen asiattomat katselut, ja mukana on lisäksi useita tapauksia, joissa poliisi tuomittiin samalla virkavelvollisuuden rikkomisesta Poliisiasiain tietojärjestelmän tietojen perusteettomasta käytöstä.

Törkeissä tietomurroissa tekokokonaisuudet olivat huomattavasti laajempia ja tekotavoiltaan teknisesti vaativampia, mutta toisaalta näitä tuomioita oli aineistossa ainoastaan kaksi kappaletta viiden vuoden aikana. Törkeiden tietomurtojen lisäksi edistyneempiä kyberrikoksia aineistossa edustavat tietojärjestelmä häirintärikokset. Törkeistä tietomurroista tuomitut tuomittiin myös törkeästä tietojärjestelmän häirinnästä.

Palvelunestohyökkäykset ovat keskeinen tekotapa näissä rikoksissa, ja yhtä tapausta lukuun ottamatta muissa tuomiossa, joissa syyksi luettiin joko perusmuotoinen tai törkeä tietojärjestelmän häirintä, kyseessä oli nimenomaan tällainen teko. Ainoastaan seitsemän tuomioita sisälsi vähintään yhden tällaisen teon, joten näidenkin rikosten voidaan todeta olevan vielä varsin harvinaisia tuomioistuimissa.

Johtopäätöksiä

Tuomioistuinaineistomme analyysin perusteella vaikuttaa siltä, että keskeinen syy suhteellisen lievään rangaistuskäytäntöön tieto- ja viestintärikoksissa on se, että tällä hetkellä tuomioon saakka päätyvät rikokset edustavat verrattain lieviä tekomuotoja. Vaikka onkin todennäköistä, että rikosilmoituksiksi päätyy vain pieni osa kaikista kyberrikoksista, on tietoon tulleiden rikostenkin empiirisessä tutkimuksessa paljon tehtävää, joka voisi hyödyttää rikoksentorjuntaa.

Suuri ero tietoon tulleiden rikosten ja syyksi luettujen tieto- ja viestintärikosten lukumäärässä viittaa siihen, että valtaosa rikosepäilyistä päättyy joko esitutkintaan tai syyteharkintaan, mutta syitä tähän ei tunneta. Toisaalta on selvää, ettei viranomaisten tietoon tulleen kyberrikollisuuden koko kuvaa saada selville keskittymällä ainoastaan rikoslain 38 luvun mukaisiin rikosepäilyihin tai -tuomioihin, vaan rikosilmoituksia ja tuomioita tulisi käydä laajemmin läpi useampien sellaisten rikoslajien osalta, joissa on todennäköisesti kyberrikollisuuden elementtejä. Tällaisia rikoslajeja ovat muun muassa huumausainerikokset, petosrikokset, laittomat uhkaukset sekä yksityiselämää koskevan tiedon levittäminen.

Kyberrikokset ovat tällä hetkellä merkittävä haaste rikosoikeusjärjestelmälle ja sitä kautta rikosvastuun toteutumiselle. Vaikuttaa selvältä, että lisäpanostukset kyberrikollisuuden torjuntaan ja paljastamiseen ovat tarpeen. Kyberturvallisuuden kehittämistoimia on tehty kansallisesti ja EU-tasolla. Näissä korostuu vahvasti julkisen sektorin rooli ja erilaiset sääntelyratkaisut.

Kyberturvallisuuden kannalta olennaista on kuitenkin elinkeinoelämän rooli ja yritysten riskienhallinta, jonka takia eri sääntelyratkaisuiden kannustinvaikutuksiin ja tehokkuuteen pitäisi kiinnittää nykyistä enemmän huomiota. Tämän takia olisi tärkeää, että aihetta tutkittaisiin monipuolisesti, kun kyberrikollisuus kasvaa voimakkaasti. Kyberrikollisuuden laajuus voi olla paljon suurempi kuin tiedetään, ja taloudellisten vahinkojen arviointi on tästä syystä haastavaa. Tämän takia olisi tärkeää kehittää myös kyberrikosten mittaamista ja seurantaa.

Kyberrikollisuuden kustannuksista ja seurannasta

by
Kommentit pois päältä artikkelissa Kyberrikollisuuden kustannuksista ja seurannasta

Kyberrikollisuus on voimakkaasti kasvava rikollisuuden muoto, mitä ilmentää esimerkiksi se, että kyberrikollisuuden torjunta on noussut viime vuosina useiden valtioiden turvallisuusstrategioiden keskeiseksi painopistealueeksi. Liikenne- ja viestintäministeriö on valmistellut ehdotusta valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta vuosille 2021–2030. Eu­roopan komissio puolestaan julkaisi EU-tasoisen ky­berturvallisuusstrategian joulukuussa 2020. Tarkastelemme tässä blogissa Mikko Luomalan kanssa kyberrikollisuuden kustannuksia ja seurannan kehittämistä.

Perinteinen rikollisuus siirtyy verkkovälitteiseksi 

Perinteinen rikollisuus on siirtynyt voimakkaasti verkkovälitteiseksi, jota koronavirusepidemia on vielä vauhdittanut osaltaan. Tunnetuimpana viimeaikaisena esimerkkinä on Tor-verkossa tapahtuva huumausaineiden kauppa, josta on julkaistu mielenkiintoinen kotimainen tutkimus.

Kyberrikosten yhteydessä korostetaan usein rikoskäyttäytymisen kansainvälistä skaalautuvuutta ja yhdenkin tekijän potentiaalisten uhrien suurta määrää. Tästä ikävänä esimerkkinä on Vastaamon tietomurto, jonka myötä Tilastokeskuksen tilastojen mukaan sekä kiristysrikosten (n. 19 000 ilmoitusta lisää) että yksityiselämää koskevan tiedon levittämistä koskevien rikosten (n. 21 000 ilmoitusta lisää) määrät kasvoivat merkittävästi vuonna 2020 verrattuna edellisvuoteen.

Toisaalta rikollisuuden siirtyminen verkkovälitteiseksi ja siitä jäävät digitaaliset jalanjäljet voivat avata merkittäviä mahdollisuuksia myös rikostorjunnalle, kuten FBI:n Anom-operaatio osoittaa. Anom-nimisellä sovelluksella oli yli 11 000 käyttäjää ympäri maailman, jonka myötä poliisit iskivät yhtäaikaisesti rikollisjärjestöjä vastaan. Keskusrikospoliisi kertoi kesäkuussa ottaneensa kiinni lähes sata ihmistä Suomessa. Helsingin käräjäoikeus antoi heinäkuun puolessa välissä tuomion Anom-viesteihin liittyvässä jutussa, jossa marihuanaa oli järjestelty Espanjasta Suomeen lähemmäs 180 kilon edestä.

Kyberhyökkäysten kustannuksista ja kokonaiskuvasta

Maailmanlaa­juisesti kyberhyökkäysten kustannuksista on esitetty erilaisia arvioita. Niiden on arvioitu olevan jopa 600 miljardia dollaria vuosittain. Koronavirusepidemian myötä vuonna 2020 on ilmoitettujen kyberhyökkäysten määrän arvioitu kasvaneen ennennäkemättömällä 50 prosentin kasvulla.

Kansainvälinen rikospoliisijärjestö Interpol puolestaan ilmoitti haittaohjelmien ja tietojenkalastelun kasvaneen 569 prosentilla pelkästään helmikuusta maaliskuuhun vuonna 2020. Keskimääräinen kiristyshaittaohjelman kiristysmaksu oli 180 000 dollaria.

Kyberturvallisuuteen liittyvä taloudellinen keskustelu on painottunut toteutuneisiin kyberturvallisuusloukkauksiin. Tämän osalta täytyy korostaa, että useasti kyberhyökkäyksistä ilmoitetaan pidättäytyvästi, koska esimerkiksi maineriskit ovat suuria.

Myös viranomaisten tietoon tulleen kyberrikollisuuden mittakaava on vielä vaikeaa hahmottaa, muun muassa siksi, ettei tyypillisistä rikosnimikekohtaisista rikosilmoitus- tai tuomiotilastoista ole helppoa päätellä, mitkä rikosnimikkeet olisi laskettava kyberrikoksiksi. Vielä haastavampaa on arvioida kokonaisrikollisuuden määrää ja ilmiön kaikkia ulottuvuuksia, sillä merkittävää osa kyberrikoksista ei havaita tai ilmoiteta poliisille.

Mittausmenetelmien ja tutkimuksen kehittämisestä

Taloustieteilijät (Jamilov, Rey & Tahoun 2021) ovat kehittäneet uutta mittausmenetelmää kyberriskeille, joka ei perustu omaan ilmoittamiseen. He ovat käyttäneet koneoppimista ja tietokonelingvistiikkaa julkisesti noteerattujen yhtiöiden neljännesvuositulostiedotteisiin.

Heillä on kopiot yli 12 000 yhtiön puheluista (earnings calls) 85 valtiosta, jossa yhtiöt kertovat raportointikauden tuloksista ja analyytikot esittävät kysymyksiä. He ovat analysoineet puheluita ja käyttäneet algoritmia havaitsemaan kyberriskeihin liittyviä eri termejä ja mahdollisia altistuksia.

Alla olevassa kuvassa on esitetty aineiston pohjalta heidän laatimansa maailmanlaajuinen kyberriskialtistusindeksi, jossa näkyy keskiarvot kyberriskeille altistumiselle ja niiden esiintyvyys puheluissa. Kyberriskit ovat nelinkertaistuneet vuodesta 2002 alkaen ja yli kolminkertaistuneet vuodesta 2013 asti. Kuvaan on myös merkitty merkittäviä hakkerointeja ja kiristyshaittaohjelmia eri vuosilta.

Alla olevassa kuvassa puolestaan esitetään kyberriskialtistustapauksien vaihteluväli valtioittain vuonna 2020. Vaikka suurin osa kyberuhista kohdistuu yhdysvaltalaisiin yhtiöihin, niin on eurooppalaisten ja aasialaisten yhtiöiden osuus yli kaksinkertaistunut viimeisten viiden vuoden aikana. Suomessa vaihteluväli oli välillä 50-100. 

Kyberturvallisuuden kehittämistoimia on tehty kansallisesti ja EU-tasolla. Näissä korostuu vahvasti julkisen sektorin rooli ja erilaiset sääntelyratkaisut. Kyberturvallisuuden kannalta olennaista on kuitenkin elinkeinoelämän rooli ja riskienhallinta, jonka takia pitäisi eri sääntelyratkaisuiden kannustinvaikutuksiin ja tehokkuuteen kiinnittää enemmän huomiota.

Tämän takia olisi tärkeää, että aihetta tutkittaisiin monipuolisesti, kun kyberrikollisuus kasvaa voimakkaasti. Kyberrikollisuuden laajuus voi olla paljon suurempi kuin tiedetään, ja taloudellisten vahinkojen arviointi on tästä syystä haastavaa. Tämän takia olisi tärkeää kehittää mittaamista ja seurantaa.

Ylipäätään kyberrikollisuutta koskeva kriminologinen ja rikosoikeudellinen kotimainen tutkimus on ollut hyvin vähäistä. Taloustieteellinen näkökulma on myös tärkeää, koska kyberturvallisuuden ja -rikollisuuden kustannukset ovat merkityksellisiä koko yhteiskunnan näkökulmasta.

Kyberturvallisuuden ja -rikollisuuden tutkimuksesta sekä kotimaisesta sääntelystä

by
Kommentit pois päältä artikkelissa Kyberturvallisuuden ja -rikollisuuden tutkimuksesta sekä kotimaisesta sääntelystä

Tieto- ja kyberturvallisuuden merkitys on kasvanut merkittävästi viime vuosien aikana palveluiden digitalisoitumisen ja tuotantotapojen sekä niiden ulkoistamisen myötä. Samoin käyttötavat ovat muuttuneet merkittävästi, kun etätyöskentely on lisääntynyt ja päätelaitteita on enemmän käytössä. Digitaaliset palvelut tarvitsevat tieto- ja kyberturvallisen yhteiskunnallisen toimintaympäristön. Nykyään puhutaankin digitaalisesta turvallisuudesta, joka pitää sisällään sekä tietoturvan että yhteiskunnan kyberturvallisuuden.

Kyberturvallisuus on noussut kansainvälisen ja kansallisen keskustelun aiheeksi, koska kyberrikosten osuus kaikista rikoksista on varsin merkittävä. Esimerkiksi British Crime Survey’n (2017) tulokset osoittavat internetissä tapahtuneen petoksen olevan tällä hetkellä yleisin rikos, jonka uhriksi kyselyn vastaajat ilmoittivat joutuneensa. Määrälliset tiedot sekä poliisin rekistereistä että kokonaisrikollisuuden piiristä osoittavat, että kyberrikollisuuden monet muodot ovat tulleet hyvin yleisiksi.

Kyberrikosten trendeistä

Levi (2017) on tutkinut kyberrikosten trendejä länsimaissa ja niiden vaikutusta kriminaalipolitiikkaan. Tutkimustulokset osoittavat verkkorikollisuuden huomattavaa kasvua. Toistaiseksi ei ole kuitenkaan selvää, onko se vain siirtymä kotitalouksien ja autojen omaisuusrikollisuuden laskulle, tai kuinka paljon päällekkäisyyttä on rikoksentekijöiden ja aiempien ei verkkorikoksentekijöiden välillä.

Lisäksi on syntynyt uudentyyppisiä rikoksia, kun teknologia muuttaa rikollisuuden tilaisuusrakennetta (opportunity structure). Sähköinen häirintä ja kiusaaminen (cyberbullying) ovat myös yleistyneet voimakkaasti. Esimerkiksi vuonna 2015 tehdyn tutkimuksen (Näsi ym.) mukaan 15-20 prosenttia Suomen, Ison-Britannian, Saksan ja Yhdysvaltojen nuorista aikuisista oli joutunut verkkokiusaamisen uhriksi.

Kryptomarkkinat ja bottiverkot

Kyberrikoksentorjunnan näkökulmasta haasteita asettaa viime vuosina voimakkaasti yleistyneet laittomat verkkomarkkinat, joista voi ostaa ja myydä erilaisia tavaroita ja palveluita, kuten huumeita, hakkerointipalveluita ja varastettua taloudellista tai arkaluonteista tietoa. Nämä anonyymit markkinapaikat eli kryptomarkkinat (cryptomarkets) ovat kiinnittäneet lainvalvonnan ja lainsäätäjän huomion.

Décary-Hétu ja Giommoni (2017) tutkivat laajojen poliisioperaatioiden vaikutusta kryptomarkkinoihin. Tutkimustulokset osoittivat, että rikoksentekijät sopeutuivat poliisioperaatioihin ja vaikutukset olivat rajallisia. Operaatioilla ei esimerkiksi havaittu olleen vaikutusta myyntihintoihin.

Kryptomarkkinoiden lisäksi bottiverkot (botnet) ovat kyber- ja verkkorikollisuuden yleisimpiä muotoja tällä hetkellä (Dupontin 2017). Bottiverkot tarjoavat infrastruktuurin, joka mahdollistaa pankkipetokset, jaetut palvelunestohyökkäykset (distributed denial of service attacks DDoS) ja klikkauspetokset (click fraud).

Kyberpetokset ja kyberrikostentekijät

Kansainvälisiin kyberrikoksiin liittyen erityisesti kyberpetokset ovat puhuttaneet viime vuosina. Kyberpetoksen avainominaisuus on, että sitä voi tehdä maailmanlaajuisesti. Tämä ei tarkoita, että kaikki kyberpetokset olisivat kansainvälisiä, toisiin sisältyy normaalia kanssakäymistä jossain vaiheessa rikosta ja verkkohuutokaupan myyntipetoksissa näyttäisi olevan yleistä, että tekijät ja uhrit ovat samasta valtiosta (Levi, Doig, Gundur, Wall & Williams 2017).

Kyberrikostentekijöistä tiedetään toistaiseksi vähän, mutta yksi toimintaa kuvaava piirre on sen verkostoituminen. Leukfeldt, Kleemans ja Stol (2017) tutkivat näitä verkostoja (cybercriminal networks) Saksassa, Isossa-Britanniassa ja Yhdysvalloissa. Tutkimus osoitti, että verkostot saavat yleensä alkunsa sosiaalisten kontaktien avulla tai foorumien yhteiskäytöllä. Foorumeilla on elintärkeä rooli suurimmassa osassa verkostoja tarjoamalla paikan, jossa rikolliset voivat tavata, rekrytoida ja käydä kauppaa rikollisista palveluista. Suurin osa verkostoista ovat pääasiassa kansainvälisiä ja kohdistettu finanssi-instituutioiden asiakkaisiin, mutta useimmat verkostot eivät ole kuitenkaan rajoittuneet yhdentyyppiseen rikokseen.

Kyberturvallisuuden tutkimuksen nykytilasta

Kyberturvallisuuteen liittyvä tutkimus on lähtökohtaisesti moni- ja poikkitieteellistä, koska kyseessä on hyvin laaja-alainen ilmiö. Kansainvälisesti tutkimus on lisääntynyt viime vuosina. Tutkimus on kuitenkin tekniikkaan ja insinööritieteisiin painottunutta niin kansainvälisesti (Long & White 2010) kuin Suomessa (Lehto & Kähkönen 2015).

Kyberturvallisuutta tarkastelevassa tutkimuksessa kriminologinen ja yhteiskuntatieteellinen näkökulma on ollut harvinainen. Kriminologisesti suurin osa siitä huomiosta, joka on suunnattu rikoksen toteuttamiseen ja valvonnan tehokkuuteen, on toteutettu ei digitaalisen rikollisuuden kontekstissa (Levi 2017). Oikeustieteen puolella aihetta on myös tutkittu hyvin vähän, vaikka siihen liittyvä sääntely on lisääntynyt voimakkaasti viime vuosien aikana.

Kotimaisesta sääntelystä

Kansainvälisissä, eri valtioiden kyberturvallisuuden tasoa mittaavissa indekseissä sääntelyn ajanmukaisuus on yksi arvioitava ulottuvuus. Näissä arvioissa Suomi ei saa kovin korkeita arvioita osakseen.

Sääntelyn kehittäminen on yksi tärkeä kokonaisuus kyberturvallisuuden kehittämisessä ja vahventamisessa. Monikansallisille yhtiöille ja viranomaisille koituu lisähaasteita siitä, että valtioissa on erilaiset säännökset yksityisyyden suojasta, tiedustelusta, pakkokeinoista ja kriminalisoinneista.

Suomen sääntelyä ei ole kyetty ajanmukaistamaan kyberturvallisuuden vaatimuksia vastaavaksi, joskin tiedustelulainsäädännön osalta lakihanke on parhaillaan käynnissä. Hallitus antoi tammikuussa eduskunnan käsiteltäväksi neljä lakiesitystä, jotka yhdessä muodostavat tiedustelulainsäädännön kokonaisuuden. Oikeusministeriö on valmistellut perustuslain muutosesityksen ja tiedustelutoiminnan valvontaa koskevaa lainsäädäntöä. Tiedustelutoiminnan valvonnasta vastaisi jatkossa uusi tiedusteluvaltuutettu. Sisäministeriössä on puolestaan valmisteltu siviilitiedustelua ja puolustusministeriössä sotilastiedustelua koskeva lainsäädäntö.

EU:n yleinen tietosuoja-asetus tulee luomaan yhteiset tietosuojaa koskevat raamit EU:n alueen toimijoille. Asetus jättää jäsenvaltioiden lainsäätäjille kansallista, asetuksen säännöksiä täsmentävää ja täydentävää liikkumavaraa. Kansallista tietosuojalakia on jatkovalmisteltu puolen vuoden ajan oikeusministeriössä virkatyönä ilman avointa jatkovalmistelua. Lainsäädännön arviointineuvosto antoi varsin kriittisen lausuntonsa tietosuojalain luonnoksesta helmikuussa.

Useissa ministeriöissä on tehty myös valmistelua kansallisen erityislainsäädännön sovittamiseksi tietosuoja-asetuksen kanssa. Osa näistä lakiehdotusluonnoksista on ollut jo lausuntokierroksella. Monissa erityislaeissa muutokset ovat varsin pieniä ja niissä pyritään tekemään viittauksia sekä tietosuoja-asetukseen että tulevaan kansalliseen tietosuojalakiin. Ministeriöissä tehty työ odottelee, että kansallinen tietosuojalaki on käsitelty ensiksi eduskunnassa. Tämä tulee hyvin todennäköisesti tarkoittamaan sitä, että 25.5.2018 Suomessa ei ole täysin sovitettua lainsäädäntöä tietosuoja-asetuksen kanssa.