Professori verkkohyökkäyksistä: Vahingonkorvaus on merkittävin seuraus nettirikoksissa

Vahingonkorvaukset saattavat olla hyvin suuria eli kymmeniä-, jopa satojatuhansia euroja, professori Matti Tolvanen arvioi. KRP on kertonut, että se tutkii OP:hen ja Nordeaan kohdistuneita palvelunestohyökkäyksiä törkeänä tietojärjestelmän häirintänä tai tietoliikenteen häirintänä.

internet
Osuuspankin logoja pankin konttorin ulkopuolella Helsingissä 2. tammikuuta 2015.
Markku Ulander / Lehtikuva

Netin rikoksissa vahingonkorvaus on monta kertaa merkittävin seuraus, Itä-Suomen yliopiston rikos- ja prosessioikeuden professori Matti Tolvanen arvioi.

Hänen mukaansa vahingonkorvaukset saattavat olla hyvin suuria – kymmeniä-, jopa satojatuhansia euroja. Tolvanen perustaa näkemyksensä korkeimman oikeuden kymmenkunta vuotta vanhaan päätökseen, jossa 17-vuotias nuori tuomittiin 75 000 markan vahingonkorvaukseen tietomurron yrityksestä.

– Tämä oli pelkästään tietomurron yritys, eli tekijä ei päässyt sisälle järjestelmään.

– Jos on tilanne, että on pystynyt sotkemaan liikenteen niin, ettei järjestelmä toimi, korvaukset ovat varmasti moninkertaisia tähän verrattuna. Voidaan sanoa, että korvaukset ovat hyvin helposti ainakin kymmeniätuhansia, äkkiä jopa satojatuhansia, Tolvanen sanoo ja viittaa vuodenvaihteen jälkeen OP:hen ja Nordeaan kohdistuneisiin palvelunestohyökkäyksiin.

Rikosoikeuden professori Matti Tolvanen.
Matti TolvanenIlona Huovinen / Yle

Keskusrikospoliisi on kertonut tutkivansa tapauksia joko törkeänä tietojärjestelmän häirintänä tai tietoliikenteen häirintänä. Näistä edellisessä maksimirangaistus on neljä vuotta ja jälkimmäisessä kaksi vuotta vankeutta.

Otsikoissa on ollut myös "Ryan"-nimellä esiintynyt nuorukainen. KRP:n mukaan on syytä epäillä, että hän on syyllistynyt törkeään tietojärjestelmien häirintään.

"Ryan" on yhdistetty Lizard Squad -nimiseen ryhmään ja iskuun, jossa Sonyn ja Microsoftin pelikonsoleiden verkkopalvelut ylikuormitettiin siten, etteivät pelaajat päässeet esimerkiksi pelaamaan nettipelejä.

Rangaistuspuoli ei ole minusta ollenkaan olennaisin puoli tekijän kannalta. (Tekijä) voi joutua liki elinikäiseen korvausvastuuseen.

Matti Tolvanen

Tolvanen toteaa verkkorikosten tekijöiden olevan tavallisesti yli 15-vuotiaita. Tämä tarkoittaa, että he ovat rikosoikeudellisesti vastuunalaisia, hän selventää.

– Alle 18-vuotiaana tehdystä rikoksesta on lievempi seuraamus. Muuta eroa ei ole verrattuna täysi-ikäisen tekemään rikokseen.

– Jos tekijä on alle 15-vuotias, rikosvastuuta ei voida suunnata ollenkaan, mutta vahingonkorvausvastuu voi olla tästä huolimatta. Tällaisissa rikoksissa, jos tekijä jää kiinni, vahingonkorvaus on monta kertaa se todellinen seuraus.

Tolvasen mukaan vahingonkorvausta kasvattavat selvitystyö ja se, jos esimerkiksi pankin on korvattava asiakkailleen maksujen viivästymisestä aiheutuvat kustannukset. Hän sanoo, että myös järjestelmän parannuskulut voidaan määrätä rikokseen syyllistyneen maksettavaksi.

– Rangaistuspuoli ei ole minusta ollenkaan olennaisin puoli tekijän kannalta, vaan siinä voi joutua liki elinikäiseen korvausvastuuseen. Tuskin työmarkkinoillakaan on meriitti, jos löytyy tämmöinen juttu.

"Viranomaiset aina askeleen jäljessä"

Tolvasen mielestä lainsäädäntö on nettirikoksissa ajan tasalla.

– Säännökset on kirjoitettu niin hyvin kuin ne pystyy kirjoittamaan. Tässä on sentyyppisestä rikollisuudesta kysymys, missä tavallaan valvovat viranomaiset ja tekoihin syyllistyvät ovat koko ajan kilpajuoksussa. Ei tämä poikkeuksellista ole. Talousrikosten puolella on sama juttu: viranomaiset ovat aina väkisinkin askeleen jäljessä.

Hän pitää lainsäädännön muuttamista tärkeämpänä sitä, että verkkorikoksia tutkii riittävä määrä ihmisiä ja että tutkijoilla on riittävä koulutus.

Viestintäviraston vanhempi tietoturva-asiantuntija Kauto Huopio sanoi maanantaina Ylen aamu-tv:ssä, että internetissä on päivittäin tuhansia palvelunestohyökkäyksiä. Tapauksista pieni osa etenee oikeudenkäyntiin asti, Tolvanen arvioi.

– Tämäntyyppisistä asioista korkeimman oikeuden ratkaisuja on yksi ainoa.

Sanotaan, että perustuomari, eihän sellainen välttämättä ole paras asiantuntija käsittelemään tämäntyyppisiä juttuja.

Matti Tolvanen

Hänen mukaansa tälle on monta syytä, kuten se, etteivät tavalliset netinkäyttäjät välttämättä tiedosta hyökkäystä tai hyökkäysyritystä. Toinen syy on, ettei hyökkäyksen kohteeksi joutunut halua tehdä asiasta julkista, ja kolmas, etteivät resurssit riitä kaikkien juttujen tutkimiseen, Tolvanen luettelee.

– Poliisin tutkittavaksi tulevat vain ne vakavimmat eli ne, joissa suuri määrä ihmisiä tuntee nahoissaan rikollisen toiminnan.

Hän sanoo, että koska tuomioistuimet ratkovat nettirikoksia harvakseltaan, jutut saatetaan kokea oudoiksi.

– Sanotaan, että perustuomari, eihän sellainen välttämättä ole paras asiantuntija käsittelemään tämäntyyppisiä juttuja. Käsitykseni on, että poliisissa nämä on keskitetty tietyille tutkijoille. Jos juttuja alkaa olla suuremmassa määrin, on järkevää pohtia, pitäisikö tämmöiset jutut keskittää vaikkapa tiettyihin tuomioistuimiin, jotta asiantuntemus säilyisi, Tolvanen esittää. Hän toteaa sen arvioinnin, mistä epäillyssä rikoksessa on kyse ja miten vakavasta asiasta, vaativan tietoteknistä tietämystä.