- COMP.SEC.100
- 4. Laki ja säädökset
- 4.5 Tietorikokset
Tietorikokset¶
Rikollisuutta liittyy tietotekniikkaan ja tietoverkkoihin kolmella tavalla
- Kyberympäristö on vain jonkin perinteisen rikollisuuden, esim. talouspetoksen, väylä tai apuväline.
- Lainvastaista sisältöä jaellaan verkon kautta, esim. pornografiaa tai vihapuhetta.
- Rikos kohdistuu tietoon ja sen tekniikkaan, eli tietojärjestelmiin ja tietoverkkoon.
Viimeistä kohtaa lukuun ottamatta on hankalaa esittää yleistä kansainvälistä näkökulmaa. Viestinnän sisältö on erityisen ongelmallista, koska eri yhteiskunnissa on erilainen näkemys siitä, mikä on rikosoikeudellista käsittelyä vaativassa määrin laitonta. Laittoman sisällön määrittely on kuitenkin lapsipornon osalta mukana Euroopan neuvoston tietoverkkorikollisuutta koskevassa ns. Budapestin yleissopimuksessa. Samoin mukana on artikla immateriaalioikeuksien loukkauksista.
Budapestin yleissopimus on vuodelta 2001, ja joulukuuhun 2021 mennessä sen oli ratifioinut 66 valtiota. Niiden joukossa on USA mutta ei Kiina. Sopimus on auttanut merkittävästi yhdenmukaistamaan sekä tietorikollisuutta koskevia lakeja että valtioiden välisen kansainvälisen avun sääntöjä.
Toisaalla tässä materiaalissa on jaottelu tietoverkon mahdollistamaan ja tehostamaan rikollisuuteen. Se jakaa kaikki alussa mainitut kohdat 1, 2 ja 3, ja esille tulee monenlaisten rikosten luonnehdintaa. Tässä luvussa käsittely pohjautuu vain lakiin, suomalaisesta näkökulmasta, ja kohteena ovat vain kohdat 2 ja 3. Aloitetaan kohdasta 3.
Tietojärjestelmiä vastaan tehdyt rikokset¶
Tärkeä lainsäädännöllinen näkökulma tietoturvaan on tiivistettynä väitöskirjan otsikossa: Tietojenkäsittelyrauhan rikosoikeudellinen suoja. Tekijä on Antti Pihlajamäki (HY 1.10.2004) ja alaotsikko täsmentää: “Datarikoksia koskeva sääntely Suomen rikoslaissa” ja kuvaa samalla tämän alaluvun aiheen.
Rauha esiintyy tietoturvaan liittyen suoraan rikoslaissakin: Kotirauhapykälän rinnalle (24L 1§) tuli vuoden 2013 lopussa pykälä 1a Viestintärauhan rikkominen, joka kriminalisoi tarkoituksella häiritsevät viestit ja soitot.
Rikoslain (39/1889) uudistus vuonna 1995 toi siihen luvun “38 Tieto- ja viestintärikoksista”, joka nykyään määrittelee seuraavan luettelon mukaiset rikokset. Vuoden 1995 jälkeisiä lisäyksiä on useita. (Termin tavallinen virallisempi ilmaus on perusmuotoinen):
- Salassapitorikos ja -rikkomus (§ 1–2)
- Viestintäsalaisuuden loukkaus (§ 3–4, tavallinen ja törkeä) *
- Tietoliikenteen häirintä (§ 5–7, tavallinen, törkeä ja lievä)*
- Tietojärjestelmän häirintä (§7a–b, tavallinen ja törkeä, vuodelta 2007) *
- Tietomurto (§ 8 ja 8a, tavallinen ja 2007: törkeä) *
- Suojauksen purkujärjestelmärikos (§ 8b, vuodelta 2001)
- Tietosuojarikos (§ 9, päivittyi v. 2018)
- Identiteettivarkaus (§ 9b, 9.4.2015 alkaen)
Sekä viestintäsalaisuuden loukkauksen, tietomurron että tietojärjestelmän ja -liikenteen häirinnän tapauksessa tekojen yrityskin on säädetty rangaistavaksi (merkitty yllä *:lla). Näissä tapauksissahan varsinainen vaikutus voi jäädä yrityksestä huolimatta toteutumatta, mutta jälkiä silti usein jää. Toisin on salassapidon rikkomisessa, jossa epäonnistunutta yritystä olisi aika vaikea näyttää toteen. Rangaistaviksi säädettyjen yritysten tapauksissa kohteelle voi myös aiheutua vahinkoa, kun esim. turvajärjestelmiä joudutaan uusimaan. Tietomurron yrityksenä voidaan pitää esim. porttiskannausta. Sen sijaan vuonna 2011 tehdyn lisäyksen mukaan (Luku 28 §7) luvattomana käyttönä ei enää pidetä suojaamattoman langattoman tietoverkkoyhteyden kautta muodostetun internet-yhteyden käyttämistä.
Vuoden 2001 lisäys Suojauksen purkujärjestelmärikos täydentää luvun 38 tietomurtopykälää 8 (olemalla 8b §) määrittelemällä, missä tilanteessa suojauksen purkujärjestelmän käsittely on rikos (käsittely vain kielletään toisessa laissa, ks. sen § 269). Aihe täydentää myös vuoden 2005 tekijänoikeuslain kieltoa suojausjärjestelmien ohittamiselle (§ 50a) – yksinkertaistaen TekOikL koskee tallenteiden ja RL lähetyksien suojauksia. Pykälä Tietosuojarikos viittaa luonnollisesti Tietosuoja-asetukseen ja lakiin (Lain edeltäjässä Henkilötietolaissa oli henkilörekisteririkkomus, mutta se jäi pois kun asetus toi sakkoseuraamuksia.)
Aiemminkin (siis –1995) rikoslakia on voitu soveltaa tietorikkomuksiin: mm. “varkausluvun” 36 luvatonta käyttöä koskevia pykäliä 7–9, ja “petosluvun” 36 pykäliä 1–3. Luvatonta käyttöä oli ja on tietojärjestelmään tunkeutuminen (eli nykyään erikseen säädetty tietomurto, joka voi toteutua ilman tunkeutumistakin) ja petosta on mm. tunkeutumisen kautta aikaan saatu tulosten vääristyminen (petosluvun §1:n täsmennys vuodelta 2003). Tunnetusti väärän todistuksen antaminen (lausuminen) kielletään laissa sangen vanhastaan. Tuoreempi rikosnimike on väärän henkilötiedon antaminen. Se ei kuulu petoksiin vaan lukuun 16 rikoksista viranomaisia vastaan (§5).
Rikoslain luku 30 säätää rangaistuksen yritysvakoilusta (§4), yrityssalaisuuden rikkomisesta (§5) ja yrityssalaisuuden väärinkäytöstä (§6). Yrityssalaisuutta “lievemmin salaista” tietoa on liikesalaisuus. Se on liiketoiminnalle arvokasta tietoa juuri siksi, ettei se ole yleisesti tiedossa. Jos sen omistaja sitä kohtuullisen hyvin varjelee, se saa suojaa myös liikesalaisuuslain nojalla (595/2018). Siinä säädetään myös teknisistä ohjeista. Liikesalaisuus voi olla paljon tulkinnanvaraisempi asia kuin rikoslain käsittelemä yrityssalaisuus, ja siksi sen kaltaisten tietojen suhteen kannattaa toimia harkiten.
Yrityssalaisuuksia kovempi juttu ovat turvallisuussalaisuudet. Niistä säädetään rikoslain luvussa 12, joka koskee maanpetosrikoksia. Minimirangaistus paljastamisesta on neljän kuukauden vankeus, ja toisin kuin edellä mainituissa muissa paljastusrikoksissa turvallisuussalaisuuksia pitää – vähintään sakon uhalla – varoa paljastamasta edes tuottamuksellisesti, toisin sanoen olemalla törkeän huolimaton. Luonnollisesti paljastamisen yrityskin on rangaistava. Lainsäätäjän työn hienojakoisuus ilmenee siitä, että rikoslaki sisältää vielä yhdenlaisen salaisuusrikoksen: virkasalaisuuden paljastamisen (Luku 40 § 5) ja siinä ei ole säädetty yritystä rangaistavaksi mutta on otettu huomioon tuottamuksellisuus. Lakia luettaessa on kuitenkin otettava huomioon kokonaisuus, sillä samalle teolle voi löytyä rikoksen tunnusmerkkejä useista kohdista ja monessa pykälässä viitataan tähän tapaan: “jollei teosta muualla laissa säädetä ankarampaa rangaistusta”.
Palvelunestohyökkäys voidaan tuomita tuhotyönä rikoslain luvun 34 pykälän 1 mukaan. Luvussa 34 on myös tärkeä ja hyvinkin tietoturva-spesifinen lisäys vuodelta 2007: Vaaran aiheuttaminen tietojenkäsittelylle haittaohjelmilla tai -laitteilla tai toisten salasanoilla. Pykälä 9a kriminalisoi näiden valmistuksen, levityksen, käyttöön hankinnan, ja 9b puolestaan (paha-aikeisen) hallussapidon, jonka rikosnimikkeenä on tietoverkkorikosvälineen hallussapito. Pykälässä 9a on lisäksi kielletty haittaohjelmien valmistusohjeiden levittäminen. Vuoden 2007 ja sittemmin vuoden 2015 lainmuutoksilla parannettiin EU-yhdenmukaisuutta. Vuonna 2015 lisättiin mm. tuo käyttöön hankinta, mutta silloin tuli myös uusi käsite lukuun 35 pykäliksi 3abc: datavahingonteko (b=törkeä, c=lievä). Oikeudeton tiedon salaaminenkin kuuluu tähän eli kiristyshaittaohjelman tekijät joutuvat vastuuseen.
Rikoslaissa säädetään myös siitä, millainen tieto on laitonta. Tätä aihetta käsitellään jäljempänä.
Useimmat tietorikokset ovat tyypiltään asianomistajarikoksia, eli poliisi ei ala tutkia niitä, ellei asianomistaja ilmoita niistä ja vaadi tekijälle rangaistusta. Tietoteknistä poliisitutkintaa kutsutaan toisinaan nimellä forensiikka. Vakavien rikosten, myös tietorikosten, tapauksessa voidaan käyttää televalvontaa (ym.) tutkinnassa (pakkokeinolain luku 10) tai jo estämisessä tai paljastamisessa (poliisilain luku 5).
Poliisilakiin lisättiin vuonna 2019 luku 5a Siviilitiedustelu, joka säätää suojelupoliisin tiedonhankinnasta kansallisen turvallisuuden tarpeisiin. Samaan aikaan tuli voimaan sotilastiedustelulaki. Nämä kaksi tiedustelunäkökulmaa eivät aiheuta vastuita kansalaisille tai tietoturva-ammattilaisille, mutta ainakin jälkimmäisillä voi olla mielipiteitä tekniikoista ja niiden ulottamisesta kun lakeja kehitetään.
Laiton tai muuten ei-toivottu tieto¶
Yhteiskuntien ja yhteisöjen keskeisiä tehtäviä on suojella jäseniään monenlaisilta haitoilta. Sellaisia voivat olla
- fyysinen väkivalta (ulkoiset ja sisäiset sodat, rikokset…),
- terveydelliset uhkat (kulkutaudit, myrkylliset elintarvikkeet, ympäristö…)
- taloudelliset uhkat (rahan arvo, halpatuonti, työvoima; tuloerot…)
- henkiset uhat: työrauhalle, työkyvylle, mielenterveydelle, moraalille, kansalaistyytyväisyydelle, puolueuskollisuudelle, vallanpitäjien suosiolle, tutkimusrahoitukselle…
Henkiset uhkat voivat olla äärimmäisen monitahoisia ja niillä voi olla vaikutuksia myös taloudellisiin seikkoihin ja sitä kautta väkivaltaan asti. Henkisissä uhkissa on paljolti kysymys tiedosta, eikä pelkästään siinä merkityksessä että “tieto lisää tuskaa”. Uhkan konkreettinen sisältö vaihtelee eri yhteiskuntien ja yhteisöjen (esim. uskonnollisten) välillä, ja tietenkin kohderyhmittäin (esim. eri ikäiset lapset).
Yhteisö voi suojata jäseniään haitallisilta tiedoilta asettamalla rajoituksia tiedon levitykselle sekä käytölle eli (karkeistaen) myynnille sekä ostolle ja hallussapidolle. Osa rajoituksista on laeissa, suurin osa pelkästään kulttuurissa – kansakuntien tasolta yhteiskuntaluokkien ja uskonnollisten ym. yhteisöjen kautta yrityksiin, sukuihin ja perheisiin asti. Rajoitusten lisäksi monet yhteisöt käyttävät päinvastaista menetelmää eli tarjoavat “parempaa tietoa”. Tilanteesta ja laajuudesta riippuen tämä voi olla aivopesua, propagandaa, koulutusta, mainostusta, saarnaamista, lobbausta, brändin luontia, tai väkevämpää informaatiovaikuttamista. Viimeksi mainittu ei ole uusi ilmiö. Niistä saa tiiviin katsauksen aiemmalla kurssilla tehdyistä kirjareferaateista Infosota ja The Darkening Web. Informaatiovaikuttamista käsitellään tällä kurssilla lyhyesti valtiollisten toimijoiden yhteydessä. Jäljempänä käsitellään vain tiedon rajoituksia.
Lakiin perustuvaa sääntely toimii tehokkaimmin, kun se koskee tiedon levitystä, koska se on jossain määrin keskitettyä. Yksityisten tietokoneen käyttäjien väliset vertaisverkot muodostavat tälle kuitenkin vakavan haasteen. Tätäkin paljon vaikeampaa on rajoittaa tietovälineiden tai tietopalveluiden käyttöä. Tässä siirrytään eettisen sääntelyn alueelle, jossa voidaan soveltaa vapaaehtoisuuteen tai yhteisön sisäiseen sääntelyyn perustuva sisällön suodatusta.
Jotkin tiedot ovat niin haitallisia, että niiden levittäminen kielletään rikoslaissa. Perinteinen esimerkki on pornografia, jossa normisto on aikojen kuluessa kuitenkin lieventynyt. Lakitermi on sukupuolisiveellisyyttä loukkaava kuva (ym.). Sellaisen tai raakaa väkivaltaa esittävän kuvatiedon levittäjä voi saada kaksi vuotta vankeutta, ellei esitys ole tiedonvälitystä tai taidetta. Pornoa ja väkivaltaa käsitellään rikoslain luvussa 17 Rikoksista yleistä järjestystä vastaan. Tiedonvälitys tai taide eivät ole vaikuttavia asianhaaroja luvussa 11 Sotarikoksista ja rikoksista ihmisyyttä vastaan. Sen mukaan tieto, mielipide tai muu viesti, joka sisältää kiihottamista kansanryhmää vastaan on hävitettävä tai pidettävä vain omassa hallussa. Luvun 17 pykälän 19 mukaan sukupuolisiveellisyyttä loukkaavan lasta esittävän kuvan hallussapitokin on kielletty.
Kuvaohjelmien luokittelun ja tarjonnan valvomisesta vastaa Suomessa Kansallinen audiovisuaalinen instituutti (KAVI). Lapsille haitallisten kuvaohjelmien tarjoamista rajoitetaan ikärajoilla. Taustalla on Kuvaohjelmalaki (710/2011). Myös peleissä on vastaavat merkinnät ikärajoista ja sisällön luonteesta: PEGI eli Pan European Game Information.
Yhdenlaista tiedolta suojautumista on myös roskapostin suodatus. Tavoitteiltaan samankaltaista on sisällön suodatukseen kuuluva mainosten karsinta. Näihin liittyvä mutta paljon yleisempi asia on kansalaisen perustaitoihin kuuluva kyky välttää huijatuksi tuleminen. Periaatteessa sen voisi ajatella tapahtuvan suojautumalla huijaavalta tiedolta. Tietoverkon kautta sitä on ollut tarjolla aina vain enemmän ja suojautuminen on epäonnistunut Suomessakin niin monelta, että Kilpailu- ja kuluttajavirastolla on monipuolinen “huijaussivusto” (2008-). Tietoja kalastelevasta huijausviestinnästä käytetään nimeä phishing. Se voi samalla olla myös spam-viesti. Roskapostista ja tietojenkalastelusta lisää kurssimateriaalissa toisaalla.
Toisenlainen tietouhka on nettikiusaaminen. Siitä on hyvä tiivistys Sosiaalisen median selviytymisoppaasta laadituissa referaateissa. Nettikiusaamisen ja kiusaajien automaattista tunnistamista on tarkasteltu väitöskirjassa “Experts and machines united against cyberbullying” (2014). Erilaisia nettikiusaamisen ja -häirinnän muotoja käsitellään kurssimateriaalissa toisaalla.
Laki sähköisen viestinnän palveluista (917/2014) sisältää pykälät 182–184, jotka koskevat palvelun tarjoajan vastuuta rikoslain vastaisesta sisällöstä (ja viittaavat myös tekijänoikeuksiin). Pelkkä tekninen välittäjä ei ole vastuussa sisällöstä, mutta esim. keskustelupalstan ylläpitäjä voi joutua oikeuteen vaikkapa kiihottamisesta kansanryhmää vastaan (§184). Jälkimmäinen siis johtuu suoraan rikoslaista (RL 11 luku 10 §. “Joka asettaa yleisön saataville tai … levittää tai pitää … saatavilla tiedon …”, 2011), kun taas viestintäpalvelujen laki säätää vastuun rajoituksista ja niiden ehdoista. Teknisen välittäjän (§182) ja tallennuksen tarjoajan (§184) välimuotona on tekninen välitallentaja (§183). Silläkin on vastuuvapauden edellytyksenä laittoman aineiston poistaminen viipymättä tietyissä tilanteissa, mutta luonnollisesti tallennuksen tarjoajan, esim. blogipalvelun, vastuu on suurin: palvelun tarjoaja ei joudu vastuuseen, kunhan hän viipymättä poistaa (saatavilta) tallentamansa tiedon, josta hän on saanut tietää, että se on ilmeisesti rikoslain vastaista. (Vastaavat säännökset ovat olleet voimassa vuodesta 2002 alkaen ja vuonna 2011 muokattuina Laissa tietoyhteiskunnan palvelujen tarjoamisesta.)