#kyberturvallisuus

Kyberrikollisuuden kustannuksista ja seurannasta

by
Kommentit pois päältä artikkelissa Kyberrikollisuuden kustannuksista ja seurannasta

Kyberrikollisuus on voimakkaasti kasvava rikollisuuden muoto, mitä ilmentää esimerkiksi se, että kyberrikollisuuden torjunta on noussut viime vuosina useiden valtioiden turvallisuusstrategioiden keskeiseksi painopistealueeksi. Liikenne- ja viestintäministeriö on valmistellut ehdotusta valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta vuosille 2021–2030. Eu­roopan komissio puolestaan julkaisi EU-tasoisen ky­berturvallisuusstrategian joulukuussa 2020. Tarkastelemme tässä blogissa Mikko Luomalan kanssa kyberrikollisuuden kustannuksia ja seurannan kehittämistä.

Perinteinen rikollisuus siirtyy verkkovälitteiseksi 

Perinteinen rikollisuus on siirtynyt voimakkaasti verkkovälitteiseksi, jota koronavirusepidemia on vielä vauhdittanut osaltaan. Tunnetuimpana viimeaikaisena esimerkkinä on Tor-verkossa tapahtuva huumausaineiden kauppa, josta on julkaistu mielenkiintoinen kotimainen tutkimus.

Kyberrikosten yhteydessä korostetaan usein rikoskäyttäytymisen kansainvälistä skaalautuvuutta ja yhdenkin tekijän potentiaalisten uhrien suurta määrää. Tästä ikävänä esimerkkinä on Vastaamon tietomurto, jonka myötä Tilastokeskuksen tilastojen mukaan sekä kiristysrikosten (n. 19 000 ilmoitusta lisää) että yksityiselämää koskevan tiedon levittämistä koskevien rikosten (n. 21 000 ilmoitusta lisää) määrät kasvoivat merkittävästi vuonna 2020 verrattuna edellisvuoteen.

Toisaalta rikollisuuden siirtyminen verkkovälitteiseksi ja siitä jäävät digitaaliset jalanjäljet voivat avata merkittäviä mahdollisuuksia myös rikostorjunnalle, kuten FBI:n Anom-operaatio osoittaa. Anom-nimisellä sovelluksella oli yli 11 000 käyttäjää ympäri maailman, jonka myötä poliisit iskivät yhtäaikaisesti rikollisjärjestöjä vastaan. Keskusrikospoliisi kertoi kesäkuussa ottaneensa kiinni lähes sata ihmistä Suomessa. Helsingin käräjäoikeus antoi heinäkuun puolessa välissä tuomion Anom-viesteihin liittyvässä jutussa, jossa marihuanaa oli järjestelty Espanjasta Suomeen lähemmäs 180 kilon edestä.

Kyberhyökkäysten kustannuksista ja kokonaiskuvasta

Maailmanlaa­juisesti kyberhyökkäysten kustannuksista on esitetty erilaisia arvioita. Niiden on arvioitu olevan jopa 600 miljardia dollaria vuosittain. Koronavirusepidemian myötä vuonna 2020 on ilmoitettujen kyberhyökkäysten määrän arvioitu kasvaneen ennennäkemättömällä 50 prosentin kasvulla.

Kansainvälinen rikospoliisijärjestö Interpol puolestaan ilmoitti haittaohjelmien ja tietojenkalastelun kasvaneen 569 prosentilla pelkästään helmikuusta maaliskuuhun vuonna 2020. Keskimääräinen kiristyshaittaohjelman kiristysmaksu oli 180 000 dollaria.

Kyberturvallisuuteen liittyvä taloudellinen keskustelu on painottunut toteutuneisiin kyberturvallisuusloukkauksiin. Tämän osalta täytyy korostaa, että useasti kyberhyökkäyksistä ilmoitetaan pidättäytyvästi, koska esimerkiksi maineriskit ovat suuria.

Myös viranomaisten tietoon tulleen kyberrikollisuuden mittakaava on vielä vaikeaa hahmottaa, muun muassa siksi, ettei tyypillisistä rikosnimikekohtaisista rikosilmoitus- tai tuomiotilastoista ole helppoa päätellä, mitkä rikosnimikkeet olisi laskettava kyberrikoksiksi. Vielä haastavampaa on arvioida kokonaisrikollisuuden määrää ja ilmiön kaikkia ulottuvuuksia, sillä merkittävää osa kyberrikoksista ei havaita tai ilmoiteta poliisille.

Mittausmenetelmien ja tutkimuksen kehittämisestä

Taloustieteilijät (Jamilov, Rey & Tahoun 2021) ovat kehittäneet uutta mittausmenetelmää kyberriskeille, joka ei perustu omaan ilmoittamiseen. He ovat käyttäneet koneoppimista ja tietokonelingvistiikkaa julkisesti noteerattujen yhtiöiden neljännesvuositulostiedotteisiin.

Heillä on kopiot yli 12 000 yhtiön puheluista (earnings calls) 85 valtiosta, jossa yhtiöt kertovat raportointikauden tuloksista ja analyytikot esittävät kysymyksiä. He ovat analysoineet puheluita ja käyttäneet algoritmia havaitsemaan kyberriskeihin liittyviä eri termejä ja mahdollisia altistuksia.

Alla olevassa kuvassa on esitetty aineiston pohjalta heidän laatimansa maailmanlaajuinen kyberriskialtistusindeksi, jossa näkyy keskiarvot kyberriskeille altistumiselle ja niiden esiintyvyys puheluissa. Kyberriskit ovat nelinkertaistuneet vuodesta 2002 alkaen ja yli kolminkertaistuneet vuodesta 2013 asti. Kuvaan on myös merkitty merkittäviä hakkerointeja ja kiristyshaittaohjelmia eri vuosilta.

Alla olevassa kuvassa puolestaan esitetään kyberriskialtistustapauksien vaihteluväli valtioittain vuonna 2020. Vaikka suurin osa kyberuhista kohdistuu yhdysvaltalaisiin yhtiöihin, niin on eurooppalaisten ja aasialaisten yhtiöiden osuus yli kaksinkertaistunut viimeisten viiden vuoden aikana. Suomessa vaihteluväli oli välillä 50-100. 

Kyberturvallisuuden kehittämistoimia on tehty kansallisesti ja EU-tasolla. Näissä korostuu vahvasti julkisen sektorin rooli ja erilaiset sääntelyratkaisut. Kyberturvallisuuden kannalta olennaista on kuitenkin elinkeinoelämän rooli ja riskienhallinta, jonka takia pitäisi eri sääntelyratkaisuiden kannustinvaikutuksiin ja tehokkuuteen kiinnittää enemmän huomiota.

Tämän takia olisi tärkeää, että aihetta tutkittaisiin monipuolisesti, kun kyberrikollisuus kasvaa voimakkaasti. Kyberrikollisuuden laajuus voi olla paljon suurempi kuin tiedetään, ja taloudellisten vahinkojen arviointi on tästä syystä haastavaa. Tämän takia olisi tärkeää kehittää mittaamista ja seurantaa.

Ylipäätään kyberrikollisuutta koskeva kriminologinen ja rikosoikeudellinen kotimainen tutkimus on ollut hyvin vähäistä. Taloustieteellinen näkökulma on myös tärkeää, koska kyberturvallisuuden ja -rikollisuuden kustannukset ovat merkityksellisiä koko yhteiskunnan näkökulmasta.

Kyberturvallisuuden ja -rikollisuuden tutkimuksesta sekä kotimaisesta sääntelystä

by
Kommentit pois päältä artikkelissa Kyberturvallisuuden ja -rikollisuuden tutkimuksesta sekä kotimaisesta sääntelystä

Tieto- ja kyberturvallisuuden merkitys on kasvanut merkittävästi viime vuosien aikana palveluiden digitalisoitumisen ja tuotantotapojen sekä niiden ulkoistamisen myötä. Samoin käyttötavat ovat muuttuneet merkittävästi, kun etätyöskentely on lisääntynyt ja päätelaitteita on enemmän käytössä. Digitaaliset palvelut tarvitsevat tieto- ja kyberturvallisen yhteiskunnallisen toimintaympäristön. Nykyään puhutaankin digitaalisesta turvallisuudesta, joka pitää sisällään sekä tietoturvan että yhteiskunnan kyberturvallisuuden.

Kyberturvallisuus on noussut kansainvälisen ja kansallisen keskustelun aiheeksi, koska kyberrikosten osuus kaikista rikoksista on varsin merkittävä. Esimerkiksi British Crime Survey’n (2017) tulokset osoittavat internetissä tapahtuneen petoksen olevan tällä hetkellä yleisin rikos, jonka uhriksi kyselyn vastaajat ilmoittivat joutuneensa. Määrälliset tiedot sekä poliisin rekistereistä että kokonaisrikollisuuden piiristä osoittavat, että kyberrikollisuuden monet muodot ovat tulleet hyvin yleisiksi.

Kyberrikosten trendeistä

Levi (2017) on tutkinut kyberrikosten trendejä länsimaissa ja niiden vaikutusta kriminaalipolitiikkaan. Tutkimustulokset osoittavat verkkorikollisuuden huomattavaa kasvua. Toistaiseksi ei ole kuitenkaan selvää, onko se vain siirtymä kotitalouksien ja autojen omaisuusrikollisuuden laskulle, tai kuinka paljon päällekkäisyyttä on rikoksentekijöiden ja aiempien ei verkkorikoksentekijöiden välillä.

Lisäksi on syntynyt uudentyyppisiä rikoksia, kun teknologia muuttaa rikollisuuden tilaisuusrakennetta (opportunity structure). Sähköinen häirintä ja kiusaaminen (cyberbullying) ovat myös yleistyneet voimakkaasti. Esimerkiksi vuonna 2015 tehdyn tutkimuksen (Näsi ym.) mukaan 15-20 prosenttia Suomen, Ison-Britannian, Saksan ja Yhdysvaltojen nuorista aikuisista oli joutunut verkkokiusaamisen uhriksi.

Kryptomarkkinat ja bottiverkot

Kyberrikoksentorjunnan näkökulmasta haasteita asettaa viime vuosina voimakkaasti yleistyneet laittomat verkkomarkkinat, joista voi ostaa ja myydä erilaisia tavaroita ja palveluita, kuten huumeita, hakkerointipalveluita ja varastettua taloudellista tai arkaluonteista tietoa. Nämä anonyymit markkinapaikat eli kryptomarkkinat (cryptomarkets) ovat kiinnittäneet lainvalvonnan ja lainsäätäjän huomion.

Décary-Hétu ja Giommoni (2017) tutkivat laajojen poliisioperaatioiden vaikutusta kryptomarkkinoihin. Tutkimustulokset osoittivat, että rikoksentekijät sopeutuivat poliisioperaatioihin ja vaikutukset olivat rajallisia. Operaatioilla ei esimerkiksi havaittu olleen vaikutusta myyntihintoihin.

Kryptomarkkinoiden lisäksi bottiverkot (botnet) ovat kyber- ja verkkorikollisuuden yleisimpiä muotoja tällä hetkellä (Dupontin 2017). Bottiverkot tarjoavat infrastruktuurin, joka mahdollistaa pankkipetokset, jaetut palvelunestohyökkäykset (distributed denial of service attacks DDoS) ja klikkauspetokset (click fraud).

Kyberpetokset ja kyberrikostentekijät

Kansainvälisiin kyberrikoksiin liittyen erityisesti kyberpetokset ovat puhuttaneet viime vuosina. Kyberpetoksen avainominaisuus on, että sitä voi tehdä maailmanlaajuisesti. Tämä ei tarkoita, että kaikki kyberpetokset olisivat kansainvälisiä, toisiin sisältyy normaalia kanssakäymistä jossain vaiheessa rikosta ja verkkohuutokaupan myyntipetoksissa näyttäisi olevan yleistä, että tekijät ja uhrit ovat samasta valtiosta (Levi, Doig, Gundur, Wall & Williams 2017).

Kyberrikostentekijöistä tiedetään toistaiseksi vähän, mutta yksi toimintaa kuvaava piirre on sen verkostoituminen. Leukfeldt, Kleemans ja Stol (2017) tutkivat näitä verkostoja (cybercriminal networks) Saksassa, Isossa-Britanniassa ja Yhdysvalloissa. Tutkimus osoitti, että verkostot saavat yleensä alkunsa sosiaalisten kontaktien avulla tai foorumien yhteiskäytöllä. Foorumeilla on elintärkeä rooli suurimmassa osassa verkostoja tarjoamalla paikan, jossa rikolliset voivat tavata, rekrytoida ja käydä kauppaa rikollisista palveluista. Suurin osa verkostoista ovat pääasiassa kansainvälisiä ja kohdistettu finanssi-instituutioiden asiakkaisiin, mutta useimmat verkostot eivät ole kuitenkaan rajoittuneet yhdentyyppiseen rikokseen.

Kyberturvallisuuden tutkimuksen nykytilasta

Kyberturvallisuuteen liittyvä tutkimus on lähtökohtaisesti moni- ja poikkitieteellistä, koska kyseessä on hyvin laaja-alainen ilmiö. Kansainvälisesti tutkimus on lisääntynyt viime vuosina. Tutkimus on kuitenkin tekniikkaan ja insinööritieteisiin painottunutta niin kansainvälisesti (Long & White 2010) kuin Suomessa (Lehto & Kähkönen 2015).

Kyberturvallisuutta tarkastelevassa tutkimuksessa kriminologinen ja yhteiskuntatieteellinen näkökulma on ollut harvinainen. Kriminologisesti suurin osa siitä huomiosta, joka on suunnattu rikoksen toteuttamiseen ja valvonnan tehokkuuteen, on toteutettu ei digitaalisen rikollisuuden kontekstissa (Levi 2017). Oikeustieteen puolella aihetta on myös tutkittu hyvin vähän, vaikka siihen liittyvä sääntely on lisääntynyt voimakkaasti viime vuosien aikana.

Kotimaisesta sääntelystä

Kansainvälisissä, eri valtioiden kyberturvallisuuden tasoa mittaavissa indekseissä sääntelyn ajanmukaisuus on yksi arvioitava ulottuvuus. Näissä arvioissa Suomi ei saa kovin korkeita arvioita osakseen.

Sääntelyn kehittäminen on yksi tärkeä kokonaisuus kyberturvallisuuden kehittämisessä ja vahventamisessa. Monikansallisille yhtiöille ja viranomaisille koituu lisähaasteita siitä, että valtioissa on erilaiset säännökset yksityisyyden suojasta, tiedustelusta, pakkokeinoista ja kriminalisoinneista.

Suomen sääntelyä ei ole kyetty ajanmukaistamaan kyberturvallisuuden vaatimuksia vastaavaksi, joskin tiedustelulainsäädännön osalta lakihanke on parhaillaan käynnissä. Hallitus antoi tammikuussa eduskunnan käsiteltäväksi neljä lakiesitystä, jotka yhdessä muodostavat tiedustelulainsäädännön kokonaisuuden. Oikeusministeriö on valmistellut perustuslain muutosesityksen ja tiedustelutoiminnan valvontaa koskevaa lainsäädäntöä. Tiedustelutoiminnan valvonnasta vastaisi jatkossa uusi tiedusteluvaltuutettu. Sisäministeriössä on puolestaan valmisteltu siviilitiedustelua ja puolustusministeriössä sotilastiedustelua koskeva lainsäädäntö.

EU:n yleinen tietosuoja-asetus tulee luomaan yhteiset tietosuojaa koskevat raamit EU:n alueen toimijoille. Asetus jättää jäsenvaltioiden lainsäätäjille kansallista, asetuksen säännöksiä täsmentävää ja täydentävää liikkumavaraa. Kansallista tietosuojalakia on jatkovalmisteltu puolen vuoden ajan oikeusministeriössä virkatyönä ilman avointa jatkovalmistelua. Lainsäädännön arviointineuvosto antoi varsin kriittisen lausuntonsa tietosuojalain luonnoksesta helmikuussa.

Useissa ministeriöissä on tehty myös valmistelua kansallisen erityislainsäädännön sovittamiseksi tietosuoja-asetuksen kanssa. Osa näistä lakiehdotusluonnoksista on ollut jo lausuntokierroksella. Monissa erityislaeissa muutokset ovat varsin pieniä ja niissä pyritään tekemään viittauksia sekä tietosuoja-asetukseen että tulevaan kansalliseen tietosuojalakiin. Ministeriöissä tehty työ odottelee, että kansallinen tietosuojalaki on käsitelty ensiksi eduskunnassa. Tämä tulee hyvin todennäköisesti tarkoittamaan sitä, että 25.5.2018 Suomessa ei ole täysin sovitettua lainsäädäntöä tietosuoja-asetuksen kanssa.