Tietomurto

Oikeustapauskommentti, julkaistu Defensor Legis -lehdessä 4/2003

KKO:2003:36
Tietomurto
Vahingonkorvaus - Korvauksen sovittelu

Diaarinumero R 2001/678
Esittelypäivä 8.11.2002
Taltionumero 811
Antopäivä 8.4.2003

Kysymys tietomurron yrityksen tunnusmerkistön täyttymisestä.
Kysymys myös vahingonkorvauksen sovittelemisesta.

RL 38 luku 8 §
VahL 2 luku 1 § 2 mom
VahL 2 luku 2 §

Syyte Turun käräjäoikeudessa

Virallinen syyttäjä vaati A:lle rangaistusta tietomurron yrityksestä seuraavasti:

A oli 23.11.1998 Helsingissä yrittänyt murtaa turvajärjestelyn tunkeutuakseen oikeudettomasti Osuuspankkikeskus-OPK osuuskunnan tietojärjestelmään. A oli suorittanut niin sanotun porttiskannauksen eli erityistä tietokoneohjelmaa käyttämällä skannannut läpi osuuskunnan internetiin yhteydessä olevan verkon kaikki osoitteet tarkoituksin löytää avoimia välityspalvelimia. Skannaus ei ollut läpäissyt osuuskunnan tietojärjestelmän palomuuria. Mikäli A olisi löytänyt avoimen välityspalvelun, hän olisi sitä kautta kyennyt saamaan jatkoyhteyden internetiin niin, että yhteys olisi näyttänyt tulleen tästä välityspalvelimesta.

Korvausvaatimukset

Osuuskunta, joka yhtyi syyttäjän syytteeseen, vaati, että A velvoitetaan suorittamaan vahingonkorvaukseksi osuuskunnalle rikoksen selvittämiseen käytetyn henkilökunnan säännönmukaisina palkkakustannuksina sekä ulkopuolisista asiantuntijaselvityksistä aiheutuneina kustannuksina selvitystyöhön käytetyltä ajalta yhteensä 40 000 markkaa. Osuuskunnan kanssa samaan konserniin kuuluva yhtiö, jonka vastuulla osuuskunnan tietojärjestelmien toiminta oli ollut, on vaatinut A:n velvoittamista suorittamaan sille vastaavasti vahingonkorvauksia yhteensä 110 000 markkaa.

Tietosuojavaltuutetulle on varattu tilaisuus tulla kuulluksi.

Vastaus

A kiisti syytteen sekä vahingonkorvausvaatimukset paitsi perusteiltaan myös määriltään.

Käräjäoikeuden tuomio 29.2.2000

Käräjäoikeus totesi seuraavien seikkojen tukevan syytettä. Jutussa todistajana kuultu rikoskomisario oli kertonut, että syytteessä tarkoitettu porttiskannaus oli tehty A:n koneen osoitteesta ja että A:n laitteista oli löytynyt porttiskannauksen toteuttamiseen soveltunut ohjelma. Asiaa tutkittaessa ei ollut tullut viitteitä siitä, että koneen IP-osoite olisi väärennetty tai että joku muu olisi käyttänyt A:n koneessa ollutta välityspalvelinohjelmaa. A:n kone oli sisältänyt lisäksi huomattavia määriä listoja, joissa oli ollut porttiskannauksella kerättyä tietoa tai porttiskannaukseen käytettävää tietoa. A:n koneelta ei ollut löydetty jälkiä luvattomista käyttäjistä. Tästä huolimatta käräjäoikeus, kun asiassa ei ollut selvitetty puhelinnumeroa, mistä yhteydenotot olivat tulleet, piti kuitenkin mahdollisena, että joku muu kuin A oli syytekohdassa kerrotuin tavoin ottanut yhteyden osuuskunnan tietojärjestelmään saaden näyttämään siltä, että yhteys oli tullut A:n koneelta. Sen vuoksi käräjäoikeus hylkäsi syytteen tietomurron yrityksestä ja siihen perustuvat korvausvaatimukset.

Käräjäoikeus tuomitsi A:n muusta hänen syykseen luetusta rikoksesta (tietoliikenteen häirintä) sakkorangaistukseen.

Asian ovat ratkaisseet käräjätuomari Arja Maunula sekä lautamiehet Tea Nieminen, Rauli Snällström ja Ismo Virtanen.

Turun hovioikeuden tuomio 4.6.2001

Virallinen syyttäjä, osuuskunta ja yhtiö valittivat hovioikeuteen.

Hovioikeus katsoi selvitetyksi, että A oli syyllistynyt siihen tietomurron yritykseen, josta hänelle oli vaadittu rangaistusta. Perusteluinaan hovioikeus lausui seuraavan:

Teko

Syytteessä oli kuvattu teko, jossa tekijä oli pyrkinyt selvittämään mahdollisuutta tunkeutua suojattuun tietojärjestelmään, ja edelleen oli kuvattu se, että tekijä olisi tunkeutunut tietojärjestelmään, jos mahdollisuus olisi löytynyt. Tässä tapauksessa teko oli jäänyt siihen, ettei tuollaista mahdollisuutta ollut löytynyt. Syytteessä mainittu porttiskannaus ja siihen liittyvä tekijän tarkoitus tunkeutua suojattuun järjestelmään tilaisuuden löytyessä oli tietomurron yritys.

Oli riidatonta, että kysymyksessä oleva yhteys oli tullut A:n koneen IP -osoitteella. A on kertonut, että hän oli mielenkiinnon vuoksi tehnyt aikaisemmin porttiskannauksia. A ei kuitenkaan ollut tiennyt, että hän olisi nyt skannannut osuuskunnan verkon. Joku muu oli saattanut väärentää IP-osoitteen ja tehdä porttiskannauksen siten, että oli näyttänyt siltä, että yhteys olisi tullut A:n koneelta.

Vaikka tutkinnassa oli jätetty selvittämättä, mistä puhelinnumerosta yhteys oli tullut, oli jutussa kuullun kahden todistajan kertomuksista pääteltävissä, että oli epätodennäköistä, että yhteys olisi tullut muualta kuin A:n koneelta. A:lla, joka oli kertonut joskus tehneensä kyseisen kaltaisia porttiskannauksia, oli ollut koneellaan sellainen ohjelmisto, jolla kyseinen teko oli voitu tehdä.

Hovioikeus katsoi näytetyksi, että A oli tehnyt syytteessä tarkoitetun skannauksen. Ei ollut uskottavaa, että A olisi tehnyt skannauksen muussa tarkoituksessa kuin että hän olisi myös tunkeutunut tietojärjestelmään, jos sellainen mahdollisuus olisi löytynyt. A:n teko täytti siten tietomurron yrityksen tunnusmerkistön.

Korvaus

A:n tekemän rikoksen luonteen perusteella oli selvää, että osuuskunnan ja yhtiön oli ollut ryhdyttävä selvittämään tapahtunutta. Selvityskustannukset olivat A:n rikoksellaan aiheuttamia vahinkoja. Kun vahingon määrä ei ollut tarkasti selvitettävissä, mutta oli selvää, että vahinkoa oli aiheutunut, vahingon määrä oli arvioitava.

Hovioikeus arvioi, että A oli aiheuttanut osuuskunnalle 20 000 ja yhtiölle 55 000 markan määräisen vahingon.

A:ta voitiin pitää atk-alan asiantuntijana. A:n oli toiminnassaan täytynyt ottaa huomioon, että hän voi menettelyllään aiheuttaa suurtakin vahinkoa, vaikkei hän olisikaan ollut tietoinen siitä, kenen verkon hän skannasi. Näin ollen ei ollut aihetta sovitella korvauksia.

Tämän vuoksi hovioikeus tuomitsi A:n, joka oli syntynyt vuonna 1981, rikoslain 38 luvun 8 §:n 1 ja 3 momentin ja 3 luvun 2 §:n nojalla nuorena henkilönä tietomurron yrityksestä ja hänen syykseen luetuista muista rikoksista (tietoliikenteen häirintä ja tietomurron yritys) yhteiseen sakkorangaistukseen ja velvoitti A:n suorittamaan vahingonkorvaukseksi osuuskunnalle 20 000 ja yhtiölle 55 000 markkaa korkoineen.

Asian ovat ratkaisseet hovioikeuden jäsenet Päivi Hirsikangas, Peter Sandholm (eri mieltä) ja Teppo Hurme.

Eri mieltä ollut hovioikeudenneuvos Sandholm lausui A:n maksettaviksi tuomittujen vahingonkorvausten osalta seuraavaa: A oli porttiskannaukseksi kutsutulla menettelyllä yrittänyt löytää aukkoja osuuskuntaryhmän tietoturvajärjestelmän niin sanotussa palomuurissa ja tällä hänen syykseen tietomurron yrityksenä luetulla menettelyllä aiheuttanut osuuskunnalle hovioikeuden 20 000 markaksi arvioiman ja järjestelmää ylläpitäneelle yhtiölle 55 000 markaksi arvioidun vahingon. A:n sinänsä kiistattomasta atk-alan asiantuntemuksesta huolimatta ei ollut näytetty, että A:n, palomuurin tarkoitus huomioon ottaen, oli täytynyt ottaa huomioon että hänen menettelystään aiheutuisi näille yhteisöille selvitystyön muodossa suuria vahinkoja. Ei siten ollut estettä sovitella korvauksia vahingonkorvauslain 3 luvun 2 §:n nojalla. Teon laatuun, A:n ikään ja varallisuusoloihin sekä vahingon kärsineiden asemaan katsoen Sandholm harkitsi kohtuulliseksi korvauksen määräksi osuuskunnalle 10 000 ja yhtiölle 25 000 markkaa. Muilta osin Sandholm oli samaa mieltä kuin enemmistö.

MUUTOKSENHAKU KORKEIMMASSA OIKEUDESSA

A:lle myönnettiin valituslupa. Valituksessaan A vaati, että häntä vastaan ajettu syyte ja vahingonkorvausvaatimus hylätään. Lisäksi A vaati, että tuomittua vahingonkorvausta joka tapauksessa sovitellaan.

Virallinen syyttäjä vastasi valitukseen.

Osuuskunta antoi siltä pyydetyn vastauksen.

KORKEIMMAN OIKEUDEN RATKAISU

Perustelut

Tietomurron yritys

Hovioikeuden toteamin perustein on selvitetty, että A on tietokoneohjelman (niin sanottu skannausohjelma) avulla skannannut läpi osuuskunnan internetiin yhteydessä olevan verkon kaikki osoitteet tarkoituksin löytää avoimia välityspalvelimia, mutta skannaus ei ole läpäissyt osuuskunnan tietojärjestelmän niin sanottua palomuuria.

Rikoslain 38 luvun 8 §:n 1 momentin mukaan se, joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja, taikka sellaisen järjestelmän erikseen suojattuun osaan, on tuomittava rangaistukseen tietomurrosta. Saman pykälän 3 momentin mukaan myös yritys on rangaistava.

A on katsonut, ettei hän ole voinut syyllistyä tietomurron yritykseen, koska skannauksella ei yritetä tunkeutua järjestelmään väkisin vaan pelkästään todeta avoimet palvelut. Järjestelmään pääseminen tällä tavoin ei myöskään edellytä turvajärjestelyjen murtamista, koska se ei edellytä minkään salaisen tunnuksen tai tiedon käyttämistä.

Kuten edellä mainittua lainkohtaa koskevassa hallituksen esityksessä (HE 94/1993 vp.) todetaan, tietojärjestelmään tunkeutumiselle ei edellytetä mitään erityistä tarkoitusta. Säännös soveltuu siten myös urheilumielessä tapahtuvaan tunkeutumiseen. Tietomurron yrityksen rangaistavuus taas on tarkoitettu helpottamaan puuttumista tietojärjestelmien luotettavuuden ja turvallisuuden kannalta huolestuttavaan käyttäjätunnusten tai muiden turvajärjestelyjen järjestelmälliseen selvittämiseen. Rangaistavaksi on saatettu jo se, että tekijä yrittää selvittää tietojärjestelmää turvaavan käyttäjätunnuksen tai murtaa muun turvajärjestelyn, jos teko tehdään tarkoituksella tunkeutua oikeudettomasti tietojärjestelmään. Ilmaisua murtaa on käytetty säännöksessä kielikuvana ilmaisemaan sitä, että turvajärjestelyn läpäisyn täytyy olla luvatonta.

Porttiskannaus on toimenpide, jonka avulla pyritään selvittämään tietojärjestelmän eri tietoliikenneporteissa toimivia ohjelmia ja käyttöjärjestelmiä sekä niiden haavoittuvuutta. Tavanomaisesti porttiskannaus suoritetaan käyttäen hyväksi tätä varten laadittua ohjelmaa, joka voi - käytetystä ohjelmasta riippuen - esimerkiksi palauttaa raportin skannauksen kohteena olevasta koneesta, sen tietoliikenneporteista, ohjelmistoista ja niiden tiedetyistä tietoturva-aukoista. Porttiskannausohjelmaa voidaan käyttää luvallisessa tarkoituksessa esimerkiksi tietojärjestelmän turvallisuusjärjestelyjen selvittämiseen.

Porttiskannausohjelmalla on näin ollen mahdollista järjestelmällisesti selvittää tietojärjestelmän mahdollisia aukkoja ja sen heikkoja kohtia. Toimenpiteen avulla kyetään saamaan tietoja, jotka mahdollistavat myös luvattoman pääsyn kohteena olevaan järjestelmään. Ohjelmaa käyttämällä hankitun tiedon avulla voidaan siten laissa tarkoitetuin tavoin murtaa tietojärjestelmän turvajärjestely. Kuten lain esitöissä todetaan jo se, että yrittää hankkia tällaisen luvattoman pääsyn järjestelmään mahdollistavan tiedon, on rangaistavaa, jos se tehdään tarkoituksella oikeudettomasti tunkeutua tietojärjestelmään.

A on kiistänyt, että hänen tarkoituksensa olisi ollut tunkeutua osuuskunnan tietojärjestelmään. A:n mukaan hänen tarkoituksenaan on ollut internetissä liikkuessaan tällä tavoin etsiä joko avointa välityspalvelinta tai muuta kiinnostavaa. Korkein oikeus toteaa, ettei luvallisesti avoimien palvelinten tai palvelujen etsintään internetissä tarvita tällaista ohjelmaa. Skannausohjelman ominaisuuksien vuoksi ei ole muutoinkaan uskottavaa, että A olisi käyttänyt ohjelmaa ensisijaisesti tässä tarkoituksessa. Kun kyseessä olevan tietojärjestelmän skannaaminen on ollut järjestelmällistä eikä ole uskottavaa, että tällaisen skannauksen kautta saatavalla tiedolla olisi ollut A:lle käyttöä muussa tarkoituksessa kuin luvattomasti tietojärjestelmään pyrittäessä, Korkein oikeus katsoo, että A on suorittanut skannauksen tarkoituksin sen kautta saatavan tiedon avulla oikeudettomasti tunkeutua tietojärjestelmään. Näin ollen A on syyllistynyt hovioikeuden hänen syykseen lukemaan osuuskunnan tietojärjestelmään kohdistuneeseen tietomurron yritykseen.

Asiassa on Heimon antamalla logitiedolla selvitetty, että A on lisäksi syyllistynyt siihen Heimoon kohdistuneeseen tietomurron yritykseen, mistä hänelle on vaadittu rangaistusta.

Vahingonkorvausten sovittelu

A, joka on teon hetkellä ollut 17-vuotias, on vaatinut korvauksia soviteltavaksi ottaen huomioon teon laatu sekä hänen ikänsä ja varallisuusolonsa ja vahingon kärsineiden varallisuusasema.

Vahingonkorvauslain 2 luvun 1 §:n 2 momentin mukaan vahingonkorvausta voidaan sovitella, jos korvausvelvollisuus harkitaan kohtuuttoman raskaaksi ottaen huomioon vahingonaiheuttajan ja vahingonkärsineen varallisuusolot ja muut olosuhteet. Jos vahinko on aiheutettu tahallisesti, on kuitenkin täysi korvaus tuomittava, jollei erityisistä syistä harkita kohtuulliseksi alentaa korvausta. Jos vahingon on aiheuttanut kahdeksaatoista vuotta nuorempi, on hän saman luvun 2 §:n mukaan velvollinen korvaamaan siitä määrän, joka hänen ikäänsä ja kehitystasoonsa, teon laatuun, vahingon aiheuttajan ja vahingon kärsineen varallisuusoloihin sekä muihin olosuhteisiin katsoen harkitaan kohtuulliseksi.

A:n vetoamista seikoista hänen ikänsä ja varallisuusolonsa puoltavat korvausten sovittelemista. Harkintaperusteita ovat kuitenkin myös A:n kehitystaso, teon laatu ja muut tekoon liittyvät olosuhteet.

A on nuoresta iästään huolimatta kokenut tietokonealan harrastaja ja hän on tahallaan yrittänyt tunkeutua toisen tietojärjestelmään. Sillä, että hän ei ole tiennyt kohteena olevan juuri osuuskunnan tietojärjestelmä, ei ole tässä suhteessa merkitystä. A:n on täytynyt kokemuksensa ja tietojensa perusteella ymmärtää, että jo pelkkä tunkeutuminen tietojärjestelmään aiheuttaa vahinkoa, vaikka tietojärjestelmän tietoja ei tunkeutumisen yhteydessä kopioida, muuteta tai hävitä. Sanottu koskee myös tietojärjestelmään tunkeutumisen yritystä. Vahinko ilmenee tietoturvallisuuskustannusten nousuna, joista keskeisimpiä ovat turvajärjestelyjen uudistaminen, tietoturvallisuusjärjestelmän lisääntynyt valvontatarve ja sen selvittäminen, onko ilmi tullut tietojärjestelmään tunkeutuminen ollut harmitonta vai onko tietojärjestelmää vahingoitettu, muutettu tai kopioitu.

Tässä tapauksessa osuuskunnalle tietojärjestelmän omistajana ja yhtiölle tietojärjestelmän hoitajana rikoksen selvittämiseen käytetyn henkilökunnan palkoista ja ulkopuolisten asiantuntijoiden käyttämisestä aiheutuneet kustannukset ovat tyypillisesti ja ennalta-arvattavasti tietojärjestelmään tunkeutumisesta tai sen yrittämisestä aiheutuvaa vahinkoa, jonka A on velvollinen korvaamaan.

Ottaen huomioon tietoturvallisuuden tärkeyden, teon tahallisuuden ja laadun sekä sen, että A:n teon tehdessään on kyennyt ymmärtämään siitä aiheutuvan vahingonvaaran, Korkein oikeus katsoo, ettei vahingonkorvauksia ole perusteltua tässä tapauksessa sovitella. Sen vuoksi ja kun jutussa ei ole muutoinkaan esitetty sellaisia erityisiä seikkoja, jotka lain mukaan voisivat olla aiheena korvausten kohtuullistamiselle, A on velvollinen korvaamaan aiheuttamansa vahingon kokonaisuudessaan.

Tuomiolauselma

Hovioikeuden tuomion lopputulosta ei muuteta.

Asian ovat ratkaisseet oikeusneuvokset Anja Tulenheimo-Takki, Riitta Suhonen, Markku Arponen, Gustav Bygglin ja Pasi Aarnio. Esittelijä Sari Ruokojärvi.

 

---

Korkein oikeus vahvisti huhtikuussa hovioikeuden päätöksen, joka puhuttaa tietokoneväkeä vielä pitkään. Tekohetkellä marraskuussa 1998 17-vuotias nuori tuomittiin sakkorangaistukseen ja 75 000 markan vahingonkorvaukseen siitä, että hän oli suorittanut porttiskannauksen Osuuspankin verkkoon.

Noin 12 500 euron korvaukset ovat kova pala kenelle tahansa parikymppiselle -- etenkin kun varsinainen rikos ei tunnu järin suurelta. Viimeistään korkeimman oikeuden päätös herättää tietokoneväen huomaamaan, miten tiukasti laki suhtautuu tietoverkossa tapahtuviin rikoksiin silloinkin, kun ne jäävät yrityksen tai pelkän uteliaan testaamisen asteelle.

Päätös herättää myös kysymyksen syytetyn oikeusturvasta. Miten porttiskannauksen kaltainen temppu voidaan kuvata niin, että tekniikan suhteen ummikko tuomarikin sen ymmärtää?

Ja kun on kyse korvauksista, uskooko oikeus sokeasti pankin esittämiä vaatimuksia ilman, että niitä täytyy riittävästi perustella?

Porttiskannauksen anatomia

Porttiskannaus on toimenpide, jolla selvitetään verkkoon näkyvän kohdejärjestelmän toimintaa. Skannaamalla kartoitetaan, mihin kyselyihin järjestelmä vastaa. Tästä voidaan päätellä, mitä palveluita ja ohjelmia kohteessa pyörii.

Tavallinen nettikäyttäjä ei tee tiedolla mitään. Porttiskannausta käytetäänkin yleensä tulevan tietomurron valmisteluun. Yleensä porttiskannaus kilpistyy palomuuriin, jonka tehtävänä on torjua niin skannaukset kuin varsinaiset murtoyrityksetkin. Näin kävi myös oikeuden käsittelemässä tapauksessa. Käräjäoikeuden päätöksessä sanotaan suoraan, että "skannaus ei ollut läpäissyt osuuskunnan tietojärjestelmän palomuuria".

Tästä huolimatta pankki esitti yhteensä 110 000 markan korvausvaatimukset, joita se perusteli tapauksen aiheuttamilla selvityskustannuksilla. Hovioikeudessa korvausta pienennettiin 75 000 markkaan. Korkein oikeus katsoi, että tapaus aiheutti pankille kuluja "tietoturvallisuuskustannusten nousuna" ja "järjestelmän lisääntyneenä valvontatarpeena" eikä suostunut korvausten kohtuullistamiseen.

Perustelu on käsittämätön, sillä pankin kaltaisen organisaation on joka tapauksessa huolehdittava tietoturvastaan. Päätöksen soveltaminen reaalimaailmaan merkitsisi sitä, että pankki voisi vaatia korvauksia henkilöiltä, jotka tarttuvat pankin oveen iltaisin tai viikonloppuisin. Ovien lukituksesta ja vartiointiliikkeen kierroksesta koituvat kustannukset voitaisiin sälyttää niiden henkilöiden niskaan, jotka kokeilevat ovea normaalin aukioloajan ulkopuolella -- ikään kuin pankin ei muutoin pitäisi asentaa oviin lukkoja ja lukita niitä.

Jos ohikulkija rikkoo ikkunan ja tunkeutuu sisään, aiheuttaen hälytyksenvartiointiliikkeessä, kustannusten periminen tekijältä on aivan oikein. Nyt syytetty pantiin maksamaan tapauksesta pankille koituneet selvittelykustannukset, vaikka selvityksen lopputulos oli se, ettei mitään vahinkoa ollut tapahtunut.

Mikäli pankin tietoturvajärjestelyt ovat niin heikkoja, että pelkkä porttiskannaus aiheuttaa kymmenen tuhannen euron selvityskulut, turvajärjestelyjä on syytäkin parantaa. Niin skannauksia kuin tietomurron yrityksiäkin tapahtuu kymmeniä, ellei satoja vuorokaudessa.

Tietomurto yllättää tekijänsä

Yrityskin käyttää tietojärjestelmää luvatta on rangaistavaa riippumatta siitä, miten yritys tehdään tai mikä sen tarkoitus on. Uteliaisuus riittää perusteluksi siinä missä vakaa aikomus varastaa tai tuhota tietoja.

Eikä murron tarvitse tapahtua hienolla hakkeritekniikalla. Rikoksen tunnusmerkistö täyttyy jo käytettäessä toisen henkilön käyttäjätunnusta ja salasanaa ilman lupaa. Jopa pelkkä salasanan arvailu voidaan tulkita murron yritykseksi.

Laki on yllättävän ankara, kun sitä vertaa reaalimaailmaan. Vaikka esimerkiksi autovarasta voitaisiin rankaista pelkästä autonovien kokeilusta, käytännössä niin ei tapahdu.

Tietomurtajan on vaikea mieltää, että kotona tietokonetta naputtelemalla voi saada aikaan paljon pahempaa jälkeä. Pari vuotta sitten jyväskyläläinen TCB-hakkeri tuomittiin Vaasan hovioikeudessa ehdollisen viiden kuukauden vankeuden ohella maksamaan vahingonkorvauksia ja oikeudenkäyntikuluja 450 000 markan edestä.

Lukuisten tietomurtojen selvittely ja järjestelmien puhdistaminen aiheutti uhreille suuret kustannukset, vaikkei TCB tarkoituksella tuhonnutkaan mitään. Ja rangaistus vahingonkorvauksineen voi tulla, vaikkei murto edes onnistuisi.

Valmistelun ja yrityksen rajankäynti

Porttiskannauksen katsominen rikokseksi liittyy rikoksen valmistelun ja yrityksen rajanvetoon. Valmistelu ei tietomurron osalta ole rangaistavaa, kuten se ei yleensäkään ole. Valmistelutoimeksi on perinteisten rikosten osalta katsottu esim. välineiden hankinta, rikospaikan tarkkailu ja tiedustelu, sekä matkustaminen rikoksentekotarkoituksessa rikospaikalle. Yritykseksi rikos muuttuu kun syntyy konkreetti vaara rikoksen täyttymisestä.

Professori Ari-Matti Nuutila kuvaa rangaistavan yrityksen viimeistä edelliseksi osateoksi tapahtumaketjussa, joka on välittömästi johtamassa rikokseen (Rikoslain yleinen osa s. 328).

Skannaukseen sopiva rinnastus perinteisten rikoksen osalta on autojen tutkiminen siinä tarkoituksessa, että löytyy auto, jonka ovet ovat jääneet lukitsematta. Tällöinkin etsitään rikokselle kohdetta, jonka turvajärjestelmät ovat puutteelliset. Jos luvatonta käyttöä tai käyttövarkautta suunnitteleva kulkee kadulla ja panee merkille autot, joiden oven lukitusnuppi on ylhäällä, ja palaa sitten illan hämärryttyä paikalle, on kyse vain rankaisemattomasta valmistelutoimesta. Jos auton ovia aukaistaan ja istutaan sisään, on teko edennyt yritysasteelle.

Jos autovarkaalla sattuisi olemaan tarkkailunsa perusteella kolme potentiaalista lukitsematonta tai muuten helposti murrettavaa autoa tiedossaan, ja hän päättää ottaa niistä yhden käyttöönsä, on kyse vain yhdestä rikoksesta, eikä kahdesta yrityksestä ja yhdestä täytetystä.

Jos skannauksen tarkoituksena on löytää potentiaalinen murtokohde, joka myös murretaan omaan käyttöön, voitaisiin muihin tietokoneisiin kohdistuvat toimet katsoa osaksi tämän täyttyneen rikoksen valmistelua tai sitä edeltänyttä yritystä täyttää rikos. Jos siis tekijä haluaa murtaa yhden tietokoneen, ja tässä tarkoituksessa ensin skannaa 100 konetta, joista 5 osoittautuu potentiaaliseksi ja niistä ensimmäisen kohdalla murtautuminen onnistuu, olisi kyse vain yhdestä tietomurrosta -- aiemmat toimet olivat sen valmistelua, tai enintään yrityksiä tehdä rikos, ja ovat rikosoikeudellisesti erikseen rankaisemattomia. Jos tekijä seuraavana päivänä murtaa toisen potentiaaliseksi osoittautuneen koneen, on kyse jälleen täytetystä tietomurrosta.

Tietomurron tunnusmerkistö kuuluu seuraavasti:

8 §. (V:1.9.1995 M, A:21.4.1995, SK:578/1995) Tietomurto. Joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja, taikka sellaisen järjestelmän erikseen suojattuun osaan, on tuomittava tietomurrosta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.

Tietomurrosta tuomitaan myös se, joka tietojärjestelmään tai sen osaan tunkeutumatta teknisen erikoislaitteen avulla oikeudettomasti ottaa selon 1 momentissa tarkoitetussa tietojärjestelmässä olevasta tiedosta.

Yritys on rangaistava.

Tätä pykälää sovelletaan ainoastaan tekoon, josta ei ole muualla laissa säädetty ankarampaa tai yhtä ankaraa rangaistusta.

Skannaajan käyttämällä menetelmällä

  • ei lainkaan hyödynnetä tekijälle kuulumatonta tunnusta.
  • menetelmä ei myöskään mitenkään murra turvajärjestelmää.
  • skannatessa vain saadaan tietää millainen turvajärjestelmä on olemassa.
  • tällöin ei myöskään tunkeuduta tai edes yritetä tunkeutua mihinkään.

Kun skannaamalla on saatu tietää tietoturvaltaan heikot kohteet, niihin voidaan kohdistaa murtoyrityksiä. Jos murtautumisessa ei kuitenkaan onnistuta, tapahtuu rikos nimeltä tietomurron yritys.

Korkein oikeus totesi, että skannausohjelmaa käyttämällä hankitun tiedon avulla voidaan laissa tarkoitetuin tavoin murtaa tietojärjestelmän turvajärjestely. Tämä ei välttämättä pidä paikkansa. Saatu tieto on vain vihjetietoa, joka voi pitää paikkansa tai sitten ei. Skannatessa ei myöskään saada käyttöön suojattua tietoa järjestelmän sisältä, vaan ikään kuin tietosäilön ulkopuolelle näkyvät tiedot siitä miten turvajärjestelyt ilmeisesti on toteutettu. Ulospäin voidaan asettaa näkymään myös vääriä tietoja, jolloin kyse saattaa olla osasta turvajärjestelmää. Skannatessa ei saada riittäviä tietoja tietomurron toteuttamiseksi, varsinainen murto täytyy suorittaa vielä erikseen.

Korkein oikeus totesi, että toimenpiteen avulla kyetään saamaan tietoja, jotka mahdollistavat luvattoman pääsyn kohteena olevaan järjestelmään. Ohjelmaa käyttämällä hankitun tiedon avulla voidaan siten KKO:n mielestä murtaa tietojärjestelmän turvajärjestely. Perustelu on ontuva, koska jos pelkällä skannauksella saataisiin murtautumiseen tarvittavat tiedot, ei mitään murrettavaa turvajärjestelyä todellisuudessa edes olisi olemassa. Ei taloonkaan voi murtautua jos ovi on jäänyt asentamatta.

Pykälän toisessa momentissa tarkoitetusta menettelystä ei myöskään ole kyse, koska skannatessa ei edes yritetä saada selkoa tietojärjestelmän sisään talletetusta tiedosta.

Vantaan poliisi on saanut keväällä 2003 valmiiksi tähän asti suurimman tietomurtojutun esitutkinnan. Esitutkintapöytäkirjan kannessa lukee 170.000 tietomurron yritystä (määrä on sama kuin kaikki valtakunnassa ilmoitetut varkausrikokset v. 2002; kolmannes kaikista rikoslakirikoksista). Näin siis pari nuorukaista vastaisi huomattavasta osasta Suomessa vuosittain poliisin tietoon tulleista rikoksista. Vantaan poliisin rikosten selvittämisaste tulee vuoden 2002 tilastoissa nousemaan pilviin näiden rikosten myötä. Jo tämä esimerkki osoittaa, ettei nyt omaksuttu tulkinta rikoksen yrityksen tunnusmerkistöstä voi pitää paikkansa. Valitettavasti näyttää siis siltä, ettei KKO ole riittävästi ymmärtänyt tietotekniikasta ja erehtynyt asettamaan valmistelun ja yrityksen rajan väärään kohtaan. Näin ollen myös korvausvelvollisuuden peruste on kyseenalainen.

Valmistelun ja yrityksen raja on ollut KKO:n arvioitavana myös tapauksessa KKO:2002:112. Tapauksen otsikko kuuluu seuraavasti:

A oli suunnitellut murtautumista aseita myyvään liikkeeseen anastustarkoituksessa. Siinä tarkoituksessa A oli yöaikaan käynyt tutkimassa liikerakennusta, ottanut lähistöltä käyttöönsä traktorin ja lähtenyt sillä pihamaalla liikkeelle kohti liikerakennusta. Havaittuaan vartiointiliikkeen auton A oli hylännyt traktorin ja paennut paikalta. A:n teon katsottiin edenneen rikoksen yritykseksi, jonka täyttämisestä A ei ollut luopunut vapaaehtoisesti. A tuomittiin rangaistukseen törkeän varkauden yrityksestä.

Skannaus vastaisi liikerakennuksen tutkimista, joka näyttäisi olleen vielä valmistelutoimi ja yritykseksi teko on muuttunut vasta traktorin käyttöön otolla, joka oli anastusrikosta edeltävä viimeinen osateko.

Korkein oikeus totesi teon edenneen rikoksen yritykseksi siinä vaiheessa, kun tekijä on aloittanut rikoksen tekemisen ja aiheuttanut teollaan todellisen vaaran rikoksen täyttymisestä. Tätä samaa kynnystä tulisi soveltaa myös tietomurtotapauksessa.

 

Markku Fredman
asianajaja

Petteri Järvinen
diplomi-insinööri

Asianajotoimisto Fredman & Månsson

Asianajotoimisto Fredman & Månssonin omistaa asianajaja, varatuomari, OTT Markku Fredman.

Verkkolaskutusosoite:

  • OVT-tunnus 003707398082
    Operaattori Apix Messaging Oy (003723327487)

Laskut PDF-liitetiedostona:

  • 003707398082@procountor.apix.fi

Paperilaskut skannattavaksi:

  • Asianajotoimisto Fredman & Månsson Oy
    PL 16112
    00021 LASKUTUS

Ota yhteyttä

Hämeentie 68 A, 2. krs, 00550 Helsinki

Puhelin:

  • Fredman 0400-464094

Yhteystiedot »