Toissa keväänä media uutisoi laajasti (esim. Iltalehti, Yle, MTV3) Tekesin joutuneen hakkeroinnin kohteeksi. Tänään Helsingin syyttäjänvirasto ilmoitti syyttämättäjättämispäätöksestä tässä “Tekesin hakkerointitapauksessa”, jonka tutkinnassa edustin epäiltyjä.
Oikeudenmukaisen lopputuloksen lisäksi syyttämättäjättämispäätös oli lohdullinen. Se osoittaa, että tietoturva-aukon havaitseva käyttäjä voi ilmoittaa havainnostaan ja luottaa, että oikeusjärjestelmä toimii, eikä ilmoittajaa syytetä rikoksesta, jos hän toimii sen estämiseksi. Päätös ja sitä edeltävät tapahtumat tarjoavat myös valaisevan katsauksen siihen, mitä tapahtuu tietomurron jälkeen.
“Valkohattuhakkerit” epäiltyinä
Tapaus sai alkunsa, kun erään Tekesin apurahajärjestelmästä rahaa hakeneen yrityksen kolme työntekijää huomasivat järjestelmässä tietoturva-aukon. Haavoittuvuus mahdollisti sen, että kuka tahansa käyttäjä pystyi katselemaan ja lataamaan toisten tekemiä hakemuksia ja halutessaan lataamaan kaikki järjestelmään lähetetyt hakemukset omalle koneelleen. On sanomattakin selvää, että Tekesin innovaatiorahoitusta tavoittelevien hakemusasiakirjat sisältävät tärkeää ja salaista tietoa, jonka hakijat eivät tahdo olevan jokaisen verkkolukutaitoisen saatavilla. Siksi hakemukset ovatkin luottamuksellisia ja salassapidettäviä. Tietoturvaongelman havainneet miehet tekivät kommentoriviltä pyynnön, jolla Tekesin järjestelmä antoi heille hakemuksen toisensa jälkeen. Sen he tekivät testatakseen, kuinka laaja ongelma oli. Seuraavana aamuna he ilmoittivat huomiostaan Tekesille sekä Viestintäviraston Cert-fi -tietoturvaryhmälle. Tekes ryhtyi välittömiin toimiin korjatakseen haavoittuvuuden.
Kiitoksen sijasta Tekes teki miehistä tutkintapyynnön poliisille, joka käynnisti asiasta esitutkinnan. Lisäksi joukko asianomistajia, jotka olivat tehneet ladattuja hakemuksia, vaati korvauksia. Esitutkinnassa epäiltyjä rikosnimikkeitä olivat törkeä petos, viestintäsalaisuuden loukkaus ja tietomurto. Poliisi otti henkilöitä kiinni, suoritti kotietsintöjä ja käytti muita pakkokeinoja. Toiminta oli nopeaa, ammattimaista ja päättäväistä. Tutkinta valmistui muutamassa kuukaudessa.
Lopulta syyttäjä teki syyttämättäjättämispäätöksen kaikkien nimikkeiden osalta. Päätöksessään kihlakunnansyyttäjä totesi, että epäillyt paitsi ilmoittivat havainnostaan itse, myös auttoivat poliisia asian tutkinnassa. Syyttäjä katsoi aivan perustellusti, etteivät miehet toimineet vahingoittamistarkoituksessa eivätkä myöskään tavoitelleet toiminnallaan oikeudetonta taloudellista hyötyä. Myös hakemusjärjestelmästä ladattujen hakemuslomakkeiden lähettäjät luopuivat korvaus- ja rangaistusvaatimuksistaan.
Mitä tapauksesta opittiin?
Tietomurtotapaus siis eteni näin:
- Tietomurto: Epäillyt huomaavat tietoturva-aukon ja testaavat sitä lataamalla hakemuksia varmistuakseen sen olemassaolosta ja laajuudesta.
- Paljastuminen: Epäillyt ilmoittavat tietoturva-aukosta ja teostaan Tekesille ilman aiheetonta viivytystä.
- Tutkintapyyntö: Tekes pyytää poliisia tutkimaan asiaa.
- Esitutkinta: Poliisi tutkii tapauksen yksityiskohdat.
- Syyteharkinta: Syyttäjä päättää poliisin esitutkinta-aineiston perusteella, onko asiassa syytä epäillä rikosta.
- Syyttämättäjättämispäätös: Syyttäjä katsoo, ettei tapauksessa ole syytteen nostamisen edellyttämää näyttöä rikoksista.
Asian käsittelyssä osapuolet toimivat rationaalisesti ja siten konkreettiselta vahingolta vältyttiin, suurin mainehaitta minimoitiin, ja asiaan saatiin oikeudenmukainen ratkaisu. Jos tulevaisuudessa eteen sattuu tietomurtotilanne, on syytä ottaa oppia ainakin tästä:
– Epäillyt toimivat oikein ilmoittamalla viipymättä huomaamastaan haavoittuvuudesta.
– Tekes toimi oikein paikkaamalla haavoittuvuuden viipymättä ja tekemällä tutkintapyynnön.
-
- Tekes suojaa tapauksessa paitsi mainettaan, myös innovaatioita, jotka ovat äärimmäisen tärkeitä sekä Suomen tulevaisuudelle että keksijöille itselleen, joten asian selvittäminen rikostutkinnan keinoin oli järkevää.
-
- Tekes toimi oikein myös välttämällä suuremmat mainetappiot sillä, ettei itse lähtenyt ajamaan asiaa asianomaisena ja pitänyt siten tietoturvaepäonnistumista julkisessa keskustelussa pidempään kuin oli pakko.
- Viestinnässään Tekes olisi voinut korostaa sitä, että halusi asian selvitettäväksi asiakkaidensa vuoksi ja että se arvosti epäiltyjen toimintaa aukon ilmoittamisen osalta. Nyt monelle voi jäädä mielikuva siitä, että poliisi ottaa aukon ilmoittajat kiinni.
– Poliisi priorisoi asian ja suoritti tutkinnan nopeasti.
- Tutkinnan kohteena oli innovaatio-Suomen ykköskohde.
– Syyttäjä toimi oikein tehdessään huolella perustellun päätöksen.
-
- Syyttäjä ymmärsi, että kyseessä ei ollut tavallinen tietomurtotutkinta.
- Syyttäjä myös tarjosi vuotaneista hakemuksistaan korvausta vaatineille keksijöille ja yrityksille mahdollisuuden keskustella epäiltyjen kanssa sovintoneuvotteluissa ja siten varmistua, ettei heillä ollut tarkoitusta käyttää hakemusten tietoa väärin.
– Asianomistajat (ne, joiden hakemukset vuotivat järjestelmästä) toimivat oikein luopuessaan korvausvaatimuksistaan, koska tapauksessa tietomurrosta ei aiheutunut heille vahinkoa.
- Vaatimukset menettivät suurelta osin perustansa syyttämättäjättämispäätöksen myötä. Tämän jälkeen vaatimusten ajamisessa asianomistajalähtöisessä prosessissa olisi ollut vaarana julkisuuden tuoma mainetappio ja asianajokulut.
Tarjoamme lakiapua tietomurtotapauksissa
Palvelemme tietomurtotapauksissa asian selvittämisessä, viranomaisten kanssa asioimisessa, tiedottamisessa sekä tietomurtoihin liittyvissä oikeudenkäynneissä. Toimistostamme löytyy laaja tekninen osaaminen ja oikeudellinen kokemus tietoverkkorikoksiin liittyvistä asioista. Olemme edustaneet lukuisia yrityksiä, joiden tietojärjestelmiin on kohdistunut erilaisia hyökkäyksiä. Asiakkainamme on ollut myös yksityishenkilöitä, joita on epäilty erilaisista tietoverkkoihin liittyvistä rikoksista. Katso lisätietoa tuotteistamme täältä.
Lisää tietosuojaa ja yksityisyyttä käsitteleviä artikkeleitamme löydät täältä: Tietosuoja ja yksityisyys.
