Digi Sapiens ja tietoturvallinen pääte

10 + 1 hyvää syytä ilmoittaa kyberrikoksesta poliisille – tulitko ajatelleeksi näitä?

Kyberrikoksen uhriksi joutuneet ovat varovaisia ilmoittamaan tietojärjestelmiin kohdistuneista rikoksista poliisille. Uhrin mielessä voivat käydä kysymykset kuten: Onko ilmoituksesta minulle jotain haittaa? Mitä minä ilmoituksen tekemisestä hyödyn? Rikollista tuskin saadaan koskaan kiinni?

Mikä estää ilmoittamasta kyberrikoksesta?

Rikoksesta ilmoittaminen poliisille on päätös, joka kuvataan usein järkiperäiseksi. Uhri punnitsee päätöksessään ilmoittamisesta mahdollisesti aiheutuvia kielteisiä seuraamuksia suhteessa etuihin. Kirjoituksessa esittelemme viranomaisten havaitsemat tyypilliset syyt ilmoittamatta jättämiselle. Kerromme myös perustelut sille, miksi rikoksesta ilmoittaminen kannattaa aina!

Lopusta löydät yhteystiedot kyberrikoksesta ilmoittamiseen.

Syy vai tekosyy?

  1. Se on oma asiani, ilmoitanko vai en. Totta, jo tapahtuneista rikoksista ei ole ilmoitusvelvollisuutta, mutta ilmoittamatta jättäminen rapauttaa rikosoikeusjärjestelmää ja luo mielikuvan, että ketään ei kiinnosta. Matala kiinnijäämisriski motivoi rikollisia ja vahvistaa käsitystä, että yhteiskunta hyväksyy rikokset verkossa. Voiko sama asenne levitä muuhunkin rikollisuuteen? Ilmoittaminen on palvelus yhteiskunnalle.
  2. Ei tämä nyt niin vakavaa ollut. Rikoslaissa määritellään rikokseksi katsotut teot, niiden tunnusmerkistöt ja rangaistusasteikko. Osa teoista on lievempiä ja toiset vakavampia. Kaikki ovat kuitenkin rikoksia. Lisäksi monikerroksisuus on tyypillistä tietojärjestelmiin kohdistuville rikoksille. Tapaus, joka näyttää harmittomalta haittaohjelmalta voi olla ponnahduslauta vakavampaan yritysvakoiluun. Tutkimatta sitä ei tiedä, joten kannattaa ilmoittaa.
  3. Maineeni on mennyttä, jos muut saavat tietää rikoksesta. Salailu antaa rikolliselle aikaa etsiä uusia uhreja. Syyllisyys, häpeä ja oman toiminnan kriittinen arviointi ovat tyypillistä erilaisten rikosten uhreille. Se on luonnollista, mutta monesti sisäinen äänemme on kriittisempi meille itselle kuin se olisi toisille. Lisäksi monet tilanteet tekevät meistä alttiimpia huijauksille ja tätä tietoa rikolliset hyödyntävät häikäilemättä. Mitä sanoisit kesäharjoittelijalle, joka maksoi toimitusjohtajan vaatimuksesta kiireellisen laskun? Entä mitä ajattelisit pörssiyhtiöstä, joka rehellisesti tunnustaisi joutuneensa tietomurron kohteeksi ja tekevänsä kaikkensa, ettei vastaavaa enää tapahtuisi heille eikä muille ja että tapaus saadaan selvitettyä?
  4. En ole varma, onko tämä edes rikos. Ei sinun tarvitsekaan olla. Rikosilmoitukseen riittää epäily rikoksesta ja epäilystä ilmoittaminen on oikeutesi. Poliisi arvioi ilmoituksen ja mahdollisesti pyytämiensä lisätietojen valossa, onko aihetta epäillä rikosta ja aloittaa esitutkinta.
  5. En tiedä kuka rikoksen teki. On tyypillistä, että kyberrikoksen tekijä on tuntematon. Toisin kuin muilla tahoilla, esitutkintaviranomaisilla on lakiin perustuvia menetelmiä selvittää rikoksesta epäillyn henkilöllisyyttä. Keinot ulottuvat kansainvälisten oikeusapupyyntöjen kautta myös ulkomaille. On totta, että joskus tekijä jää pimentoon, mutta jos ei yritä, ei varmasti onnistu.
  6. Rikoksen jäljet ovat varmasti kadonneet jo bittiavaruuteen. Mitä nopeammin ilmoitat poliisille, sen nopeammin todistusaineiston turvaaminen voi alkaa. Todistusaineistoa voi hyvinkin olla vielä saatavissa. Jos huomaat näytöllä jotain epäilyttävää, voit taltioida tapahtumia kuvaamalla. Organisaatioiden ja yritysten kannattaa pohtia jo etukäteen ovatko tietojärjestelmien lokitukset riittävän tarkkoja, että niiden perusteella voi selvittää, mitä tietojärjestelmissä on tapahtunut. Tämä on tärkeää kaikkien tietoturvapoikkeamien selvittelyssä, ei pelkkien rikosten.
  7. Vahingot ovat aika vähäiset. Kyberrikolliset laskevat usein sen varaan, että yhdelle uhrille koituva vahinko on pieni. Vasta rikosilmoitusten kautta syntyy kokonaiskuva tapahtumien laajuudesta ja tutkinnat voidaan yhdistää yhdeksi suuremmaksi juttukokonaisuudeksi.
  8. Menetettyjä rahoja ei saa kuitenkaan takaisin. Vaikka rahojen saaminen takaisin rikosprosessin kautta tuntuisi epätodennäköiseltä, taloudellista korvausta voi olla luvassa rikoksesta riippuen myös muualta. Esimerkiksi luottokortin myöntäjä voi palauttaa rahat rikollisen tekemistä verkko-ostoksista tai vakuutusyhtiö korvata vahinkoja. Joskus se edellyttää rikosilmoitusta.
  9. Tuomiot ovat niin pieniä, että oikeus ei toteudu. Tuomioistuin soveltaa rikoslakiin kirjattua rangaistusasteikkoa tuomiossaan. Joskus tuomio saattaa tuntua epäoikeudenmukaisen alhaiselta. Kiinnijääminen voi kuitenkin muuttaa rikoksentekijän tulevaisuuden. Monet verkkorikolliset ovat nuoria tai nuorehkoja miehiä. Tutkinnassa usein selviää, että he ovat rötöstelleet verkossa jo pidempään ja taidot karttuvat kokemuksen myötä. Rikollinen menneisyys voi estää tulevaisuuden unelmatyön. Kiinnijääminen ensimmäisestä kokeilusta on herätys, joka pakottaa arvioimaan rikollisen polun riskit uudelleen.
  10. Poliisi ei osaa/ehdi/halua tutkia kyberrikoksia. Historiallisesti katsottuna on totta, että kyberrikostutkinta on uuden polven poliisitoimintaa. Mutta poliisi ja sen tehtävät muuttuvat yhteiskunnan muuttuessa, joten myös kyberrikostutkintavalmiuksia on kehitetty ja kehitetään systemaattisesti. Mitä enemmän kyberrikoksista ilmoitetaan, sitä enemmän poliisi saa kokemusta niiden tutkinnasta. Uusien lakien tulkinta, vanhojen pykälien soveltaminen verkkorikoksiin ja tutkintamenetelmien kehittäminen kehittyvät tekemällä. Myös resurssien suuntaaminen uudenlaiseen rikostyyppiin on helpompaa, jos juttuja ilmoitetaan poliisille, ja ne siten näkyvät poliisin arjessa.
  11. Ilmoitin jo yhdelle viranomaiselle. Vaikka eri viranomaiset tekevät yhteistyötä keskenään, ne eivät pääsääntöisesti voi jakaa tietoja yksittäisestä tapauksesta ilman asianomistajan lupaa. Voimien yhdistäminen on usein hyödyllistä kyberrikosten käsittelyssä, mutta asianomistaja päättää itse mille tahoille ilmoittaa tapauksesta. Tietojärjestelmiin kohdistuvissa rikoksissa on suositeltavaa ilmoittaa poliisin lisäksi Traficomin Kyberturvallisuuskeskukselle. Huomioi myös lakisääteiset ilmoitusvelvollisuudet valvoville viranomaisille. Esimerkiksi rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta Tietosuojavaltuutetun toimistoon 72 tunnin kuluessa tapauksen huomaamisesta ja huoltovarmuuskriittisiä toimijoita koskee omat velvollisuutensa.

Miten ilmoitan kyberrikoksesta poliisille?

Kyberrikosta ei ole määritelty rikoslaissa käsitteenä, vaan monenlaiset rikosnimikkeet voivat tulla kysymykseen. Yleiskielessä kyberrikoksella tarkoitetaan rikosta, joka kohdistuu tietojärjestelmään tai on tehty tietojärjestelmiä hyväksikäyttäen.

Kyberrikoksista ilmoitetaan poliisille samalla tavalla kuin muistakin rikoksista. Voit jättää ilmoituksen verkossa sähköisen rikosilmoituksen kautta tai asioida poliisilaitoksella. Poliisilaitos, joka rikoksen tutkii, määräytyy asianomistajan kotipaikan tai rikoksen tapahtumapaikan mukaan.

Jyväskylän ammattikorkeakoulun ja Poliisiammattikorkeakoulun CYBERDI-hankkeessa työstetään tänä syksynä yrityksille suunnattua opasta, jonka tarkoituksena on lisätä yritysten tietämystä poliisin kyberrikostutkinnasta ja madaltaa ilmoittamisen kynnystä.

Blogin kirjoittajat ovat asiantuntijoita, jotka työskentelevät kyberrikostorjunnan koulutus-, tutkimus- ja kehittämistehtävissä Poliisiammattikorkeakoulussa.

Tutkija Anna Leppänen, anna-riitta.leppanen(at)polamk.fi
Erityisasiantuntija Tero Toiviainen, tero.toiviainen(at)polamk.fi
Erityisasiantuntija Jani Peltola, jani.peltola(at)polamk.fi

Euroopan kyberturvallisuuskuukauden kunniaksi jatkamme teeman parissa myös lokakuun lopussa, jolloin kerromme kyberrikostutkinnasta.

———————–

Teksti on laadittu osana #OleTietoinen-tietoisuuskampanjaa. Kampanjoinnin toteutuksesta vastaavat Jyväskylän ammattikorkeakoulun ja Poliisiammattikorkeakoulun CYBERDI-projektin asiantuntijat. Digitaalisen maailman turvallisuuden kasvattamiseen tähtäävä #OleTietoinen-kampanjointi jatkuu aina vuoden 2021 lopulle saakka.