"andmeturvalisus"

21. sajandi väärtuslikem vara on andmed

2020. aasta tõestas küberkuritegude vaates, et kurjategijad kohanevad muutustega ühiskonnas kiiresti ning oskavad ära kasutada nii süsteemide kui ka inimeste haavatavusi. Kuigi kriminaalmenetluse seisukohalt on küberkuritegude menetlemine keerukas ja nüansirohke ning nõuab õiguskaitseasutustelt palju ressurssi, ei tähenda see, et eduka küberrünnaku läbiviimine oleks samavõrd komplitseeritud. Vastupidi – eelmisel aastal tuli paraku mitmel korral tõdeda, et kurjategijad saavutasid oma eesmärgi ning tekitasid olulist kahju igaühele kättesaadavate lihtsate vahenditega, mille kasutamine ei nõua spetsiifilisi IT-teadmisi. Nii näitas ka 2020. aasta kuritegude statistika, sarnaselt teiste riikidega, selles valdkonnas kasvutendentsi. Oportunistlikud küberkurjategijaid ei loonud ülemaailmse pandeemia ajal siiski uusi trende, vaid pigem süvendasid vanu. 

Küberkurjategijate orienteeritus varalise kasu saamise ja andmete kogumisele on tinginud selle, et pangandussektor on neile tihti huvipakkuv sihtmärk. 2019. aastal sai Eestis alguse õngitsuskirjade laine, kus näiliselt pankade nimelt saadeti e-kirju ja sõnumeid teavitusega uue makse laekumisest, pangaülekande tagastamisest või paluti uuendada oma kontot. Inimestele saadeti Smart-ID või Mobiil-ID autentimistaotlusi, millega õngitseti internetipanka sisselogimiseks vajalikke paroole, et pääseda ligi kontodele ja kanda sealt raha edasi enda kontrolli all olevatele pangakontodele. Mahukas kriminaalmenetluses õnnestus ühise uurimisrühma raames koostöös Rumeenia, Leedu, Eurojusti ja Europoliga pidada Bukarestis toimunud pikalt planeeritud politseioperatsiooni käigus kuriteos kahtlustatavatena kinni kolm Rumeenia kodanikku. Kinnipidamised toimusid hetkel, mil piltlikult öeldes oli järgmiste ohvrite saatus vaid ühe sõnumi kaugusel. Võib vaid kujutada ette kurjategija imestust, kui ta esimest korda kuuleb, et temaga viivad ka rangete reisipiirangute ajal menetlustoiminguid läbi sellesama, pea 2000 km kaugusel asuva riigi keskkriminaalpolitsei tublid politseiametnikud, kelle kaaskodanike säästudega olid nad aastaid endale head elu võimaldanud. 

Kui pakume meie välisriikide koostööpartneritele igapäevaselt kiiret ja efektiivset infot ning tuge, saame kriisiolukorras loota ka neile. 

Kuid küberkuritegevus ei ohusta ainult üksikisikut ja erasektorit. Eelmise aasta novembris tuvastati kolmel erineval juhul sarnase käekirjaga rünnakud Eesti riigi IT-taristu vastu, mille tagajärjel saadi Majandus- ja Kommunikatsiooniministeeriumi haldusalast kätte mitmesaja gigabaidi ulatuses andmeid (võrdluseks: sama palju andmeid ei mahuks ilmselt keskmise tavakasutaja arvuti kõvakettale, kuid võiks paigutada umbes 100-le DVD-plaadile) ning Sotsiaalministeeriumi haldusalas õnnestus kurjategijatel jõuda tuhandete inimeste isikuandmeteni. Muuhulgas on leitud nende intsidentide uurimise käigus viiteid selle kohta, et riigi vahendeid kasutades on kaevandatud ka krüptoraha. Õiguskaitseasutuste seisukohalt on see kriminaalasi suurepärane näide sellest, et kui pakume meie välisriikide koostööpartneritele igapäevaselt kiiret ja efektiivset infot ning tuge, saame kriisiolukorras loota ka neile. Käesoleval juhul õnnestus just vahetute kontaktide kaudu koguda määravad tõendid teisest jurisdiktsioonist pretsedenditult kiiresti. 

"konfiskeeritud esemed"
Rumeenias kinni peetud kahtlustatavalt ära võetud esemed.

Küll panevad sellise ulatusega intsidendid mõtlema, kui oluline on, et iga uue tarkvaraarendusega käiks käsikäes ka investeerimine selle hooldamisse ja uuendamisse.  Olgugi, et esmapilgul teisejärguline, on just selline tegevusviis pikemas perspektiivis kahtlemata odavam ja vähem invasiivsem kui kriminaalmenetluslike vahenditega reageerimine ning tagajärgedega tegelemine. Kui andmeid peetakse 21. sajandi kõige väärtuslikumaks varaks, on ilmne, et nende suures mahus omamine ning omavaheline kombineerimine võib olla kuritegelike kavatsuste elluviimisel sama tõhus kui info selle kohta, mida me tavapäraselt avalikuks ei tee. Seega ei ole enam piisav, kui hoolitseme selle eest, et meie paroolid oleksid kaitstud, vaid kriitilise pilguga tuleks suhtuda kõigesse, millest me endast kübermaailma jälje jätame. 

Eelnevad näited ilmestavad hästi, kui märkimisväärne roll on küberkuritegude uurimisel tõendite kogumisel meie siseriiklike partnerite, nt Riigi Infosüsteemide Ameti toetusel, aga samavõrd ka rahvusvahelisel koostööl. Praegu võime öelda, et ühiselt töötades toome olulised materjalid toimikusse igast ilmakaarest ning eelmisel aastal tehtud pea miljoni dollari väärtuses kübervaluuta arest Politsei- ja Piirivalveameti valduses olevasse krüptorahakotti annab lootust, et suudame jõuda ka selleni, et kuritegude toimepanemine end ära ei tasuks. Küll aga ei tähenda see, et praeguste vahenditega edusammudeni jõudmine oleks iseenesestmõistetav. 

Iga uue tarkvaraarendusega peab käima käsikäes ka investeerimine selle hooldamisse ja uuendamisse. 

Olulisemate kriminaalasjade korral, mil kannatanuid on palju või on kurjategijad kasutanud ära meie riigi jaoks olulisi IT -infrastruktuure, on paljudele üllatav, et karistusena nähakse selliste tegude eest ette rahaline karistus või kolme, teatud asjaoludel ka kuni viieaastane vangistus. Mõistetavalt ei ole võimalikult pikaks ajaks kellegi vanglakardinate taha saatmine ju eesmärk omaette. Küll aga on kriminaalmenetluse seisukohalt märkimisväärne, et olukorras, kus tõendeid tuleb koguda vahel lausa mitmekümnest eri riigist üle maailma, saadud andmeid, mida tihti on sadades gigabaitides, töödelda ja vormistada, mahukaid materjale tõlkida, et need oleksid arusaadavad ka välisriigi kodanikest menetlusosalistele, ning vajadusel korraldada ka kriminaalmenetluse üleandmine või -võtmine ja isiku väljaandmise protsess, tuleb kriminaalasi kohtusse saata kinnipidamisest alates nelja kuu jooksul. Seega ei ole vähetõenäoline, et õiguskaitseasutused pole veel jõudnud kinnipidamisel saadud olulist infot läbigi töödelda ning täiendavate andmete saamiseks välisriigilt abi paluda, kui vahi alt vabanenud kahtlustatav on juba andmed hävitanud. Vahistamise alternatiivina on küll kuigivõrd võimalik piirata isiku liikumisvabadust, kuid mida isik sel ajal kuriteojälgedega teeb, on kontrollimatu. Nii on olnud olukordi, kus kurjategijal õnnestus mitu aastat teises maailmajaos soojamaa päikest nautida ja uusi kuritegusid toime panna enne, kui ta oma tegude eest vastutama pidi. Seega on hädavajalik leida uusi lahendusi, et digitaalsete tõendite lühike eluiga ei seaks ohtu õiguskaitseasutuste võimekust kriminaalasju tulemuslikult menetleda.

On hädavajalik leida uusi lahendusi, et digitaalsete tõendite lühike eluiga ei seaks ohtu õiguskaitseasutuste võimekust kriminaalasju tulemuslikult menetleda.

Uue väljakutsena näeme praegu, et küberkuritegevuse ökosüsteem on muutunud teenusepõhiseks. See tähendab, et küberrünnaku läbiviimisesse annavad etapiviisiliselt oma panuse mitmed isikud, kelle täidetav ülesanne võib, aga ei pruugi alati olla eraldiseisvalt karistatav. Kurjategijatel võimaldab selline tegutsemisviis jääda oma eesmärkide elluviimisel võimalikult varjatuks ning hajutada vahelejäämise riske. Õiguskaitseasutuste jaoks tähendab see aga seda, et enam ei näe me küberkuritegude korral üksiküritajaid, vaid ka hästi organiseeritud kuritegelikke grupeeringuid, kelle struktuurist leiab väiksemate meeskondade näol nii arendajaid, katsetajaid kui ka projektijuhte ning kes kuritegude toimepanemise teel teenitud tulu legaalsena näitamiseks ostavad rahapesuteenust sisse omakorda mõnelt teiselt vastava spetsialiseerumisega grupeeringult. Nii on ka organiseeritud kuritegevus nähtusena muutunud ning kübermaailma võimalustega kohanemas.

Nagu kõigi teiste kuritegude korral, on ka küberkuritegude menetlemisel esmatähtis kannatanu. Kuigi eelmisel aastal Keskkriminaalpolitsei avatud kasutajasõbralik veebileht cyber.politsei.ee on toonud kuriteoohvrid õiguskaitseasutustele sammu lähemale, on sama oluline, et kannatanud ei peaks tundma taasohvristamist ka ühiskonna poolt antavate hinnangute kaudu. Mentaliteet „Rumalatelt tulebki raha ära võtta“ ainult süvendab kuriteoohvri frustratsiooni ning suurendab tõenäosust, et ohtlikud intsidendid õiguskaitseasutusteni mainekahju kaalutlustel ei jõua. Rõõm on aga märgata, et aina vähem kaasneb ohvrirolli sattumisega vaikiv häbitunne ning õiguskaitseasutuste poole pöördutakse julgemalt nii ise abi saamiseks kui ka kaaskodanike hoiatamiseks. Seega on küberkuritegude toimepanemise kaudu tekitatava kahju ärahoidmine igas mõttes jätkuvalt meie kõigi enda kätes.

 


 

 

Prioriteedid
Küberkuritegevus seati riigi peaprokuröri käskkirjaga 2018. aastal üheks üheteistkümnest kuritegevuse vastastest prioriteetidest. Eesmärk on tagada valmisolek avastada ja menetleda kuritegusid, kus rünnatakse Eesti strateegilist infrastruktuuri, elutähtsaid valdkondi või millega tekitatakse muud olulist varalist või mainekahju. Selle saavutamiseks on vaja tagada prefektuurides valmisolek avastada ja menetleda küberkuritegusid. Tegevuse edukust mõõdetakse karistusseadustiku paragrahvide 206, 207, 216-1, 217 rakendamise ja lõpliku menetlusotsuse saanud inimeste arvu suurenemise kaudu. 

 

Küberkuritegude menetluste ülevaade 2020

Erinevatest prokuratuuri ringkondadest kogutud statistilised näitajad ei kinnita, et lõplike menetlusotsuste arv oleks eelneval aastal kasvanud. Kuid oluline on märkida, et kuivõrd jätkuvalt puudub selge ja ühtne lähenemine selle kohta, missuguseid kuriteokoosseise küberkuritegude hulka arvestada (eriti nt Interneti teel toimepandud investeerimiskelmustes (§ 211) ning arvutiandmetesse sekkumistes (§ 206) ja arvutikelmuste (§ 213) korral olukordades, kus tegemist on sisuliselt bagatellkuritegudega), siis on hädavajalik läheneda olukorrale süsteemselt, seades edaspidi paika täpsed suunised selle kohta, missuguseid tehnoloogiakuritegusid käsitleme küber- ja/või arvutikuritegudena ning välistada, et statistilises mõttes käsitletakse mõjuhinnangus ka neid kuritegusid, mis üldjuhul ei ole vahetult suunatud arvutisüsteemi või elektroonilise sidevõrgu vastu. Viimasel juhul on tegemist eeskätt süütegudega, kus arvutit või Internetti kasutatakse mõne traditsioonilise süüteo toimepanemiseks või selle lihtsustamiseks. Seda protsessi on prokuratuuris süüdistus- ja järelevalveosakond 2020. aastal ka alustanud ning ettepanek on praegu edastatud arvamuse andmiseks ka teistele asjakohastele asutustele ja koostööpartneritele.

Erinevatest prokuratuuri ringkondadest kogutud statistilised näitajad ei kinnita, et lõplike menetlusotsuste arv oleks eelneval aastal kasvanud.

Riigiprokuratuuri menetlustest oli 2020. aastal kahtlemata olulisim kriminaalasi, mis alustati novembris seoses kolme ministeeriumi vastu toime pandud küberrünnakutega.  Mõned kuud varem vahistati ühise uurimisrühma raames koostöös Rumeenia, Leedu, Eurojusti ja Europoliga Bukarestis kolm Rumeenia kodanikku, keda on alust kahtlustada Smart-ID ja Mobiil-ID identimisvahendite kompromiteerimise kaudu küberkuritegudes Eestis ja Leedus ning rahapesukuritegudes mitmes teises Euroopa riigis. Äärmiselt mahuka kriminaalasja menetlus on lõpule jõudmas ning Eesti on edastanud Rumeeniale soovi isikute väljaandmiseks, et nende üle ka Eestis kohut mõista.

Olulisena võib veel tuua välja kriminaalasja, kus D. Ž. mõisteti kokkuleppemenetluses süüdi pahavara, st kontrollpaneeli Anubis valdamises, mille abil oli võimalik panna toime arvutiandmetesse sekkumine (KarS § 206) ja arvutikelmus (KarS § 213), kuna pahavara võimaldas nakatatud Android-seadmetest koguda sisuandmeid (nt trükitud tekste) ja kaitsevahendeid (kasutajanimesid, paroole ja krediitkaartide andmeid) ning tahtlikus eri riikide pankade klientide pangakontode kaitsevahendite hankimises ja valdamises, mille eesmärk oli panna toime arvutikelmus (KarS § 213). Samuti toimus Lätis küberkuritegudes kahtlustatava Eesti kodaniku kinnipidamine, kuid see kriminaalasi anti edasiseks menetluseks üle Ameerika Ühendriikidele, kuivõrd seal asus ka enamus kannatanuid. 

Ühes kriminaalasjas õnnestus arestida ja kanda 999 998,1 dollarit Politsei- ja Piirivalveameti valduses olevasse krüptorahakotti.

Põhja Ringkonnaprokuratuuri jõudis 2020. aastal 24 kriminaalasja ning murekoht (ja olulist töökoormust andev) on online.ee (endise hot.ee) kontoga seotud avaldused, mil hot.ee konto kaudu jõutakse enamasti edasi teistesse kontodesse. Õnnestumiseks võib aga pidada kriminaalasja, kus kokkuleppemenetluses mõisteti süüdi J. H. Täpsemalt valdas ta kavatsetult erinevatel ajaperioodidel erinevate internetikeskkondade, nagu Suntrust, Paypal, Citizensbankonline, Royalbank, Gobank, eBay, Amazon ja paljude teiste klientide kaitsevahendeid, nagu kasutajakontode kasutajanimesid, paroole ja krediitkaartide andmeid. Lisaks leiti süüdimõistetu valduses olevast arvutisüsteemist troojalase tüüpi pahavara, mille abil oli võimalik saada enda valdusesse teiste isikute isikuandmeid, kaitsevahendeid, eri riikidest internetivõrkude liiklusandmeid ja sularahaautomaatidele suunatud troojalase tüüpi pahavara, mis võimaldas nendest saada ebaseaduslikult sularahakupüüre. Kirjeldatud kuritegude eesmärk oli panna ise või võimaldada kolmandal isikul panna toime arvutiandmetesse sekkumine (KarS § 206), arvutisüsteemi toimimise takistamine (KarS § 207), arvutikelmus (KarS § 213) ja arvutisüsteemile ebaseaduslik juurdepääsu hankimine (KarS § 217). Lisaks edastas ta ebaseaduslikult kolmandatele isikutele temale võõraid krediitkaartide andmeid ja seotud kaitsevahendeid, millega taotles arvutikelmuse (KarS § 213) toimepanemist. Samuti õnnestus ühes kriminaalasjas arestida ja kanda 999 998,1 dollarit Politsei- ja Piirivalveameti valduses olevasse krüptorahakotti. Sellises summas edukaid arestimisi ja kübervaluuta ülekandmisi ei juhtu tihti. 

Lõuna Ringkonnaprokuratuuris sai lõpliku menetlusotsuse 2020. aastal viis kriminaalasja ning suurim murekoht on kontodele sisenemised ja nende ülevõtmised. Murekohaks on kujunenud ka virtuaalse privaatvõrgu (VPN) kasutamine. 

Tuvastamata isikute kuritegeliku tegevuse ja laekunud rahaliste vahendite seose ärakaotamiseks kasutasid V. R. ja tuvastamata kaasosalised ka teiste kaassüüdimõistetutega seotud Eestis tegutsevate pankade arvelduskontosid ja nende juurde kuuluvaid kaitsevahendeid.

Viru Ringkonnaprokuratuuris jõuti kohtuotsuseni kriminaalasjas, kus V. R., J. S. ja J. S. tunnistati kokkuleppemenetluses süüdi suures ulatuses ja grupiviisilises arvutikelmusele ainelises ja füüsilises kaasaaitamises (KarS § 213 lg 2 p-d 3 ja 4 ning KarS § 22 lg 3) ja M. K. ning R. S. grupiviisilisele arvutikelmusele kaasaaitamises (KarS § 213 lg 2 p 4 ning KarS § 22 lg 3). Täpsemalt edastas V. R. kohtueelses menetluses tuvastamata jäänud kaasosalistele enda ning teiste süüdimõistetute Eestis tegutsevate pankade pangakontode kaitsevahendid, pangakontode numbrid ja ka deebetkaardid. Seejärel sekkus tuvastamata isik ebaseaduslikult PayPali andmetöötlusprotsessi ning teostas Paypali süsteemides olevatelt kontodelt saadud pangakontodele osade kaupa eri suuruses rahaülekandeid. Rahaülekandeid teostati ka tuvastamata isikute poolt süüdimõistetute nimel avatud arveldus- ja kogumishoiuste kontodele. Kontodele jõudnud rahalised vahendid võeti sularahas välja erinevates kolmandates riikides, nagu näiteks Tais ja Venemaal, või kanti edasi süüdimõistetutega seotud muudele pangakontodele. Teised süüdimõistetud said kriminaalkaristuse selle eest, et nad aitasid tahtlikult kaasa arvutikelmusele seeläbi, et nad andsid V. R.-le enda pangakontode kaitsevahendid ja deebetkaartide andmed.

V. R. toimetas saadud andmetega edasi eespool kirjeldatud viisil, et M. K., J. S.-i ning R. S.-iga seotud kontodele jõuaksid PayPal-ist arvutikelmusest saadud rahalised vahendid. V. R. mõisteti kokkuleppemenetluses süüdi lisaks suureulatusliku ja grupiviisilise rahapesu eest, mis seisnes kokkuvõtlikult selles, et temaga seotud kontodele jõudsid tuvastamata toimepanijate kuritegude kaudu PayPali kontodelt rahalised vahendid, mille ta kandis oma erinevatele kontodele, sh ka elektroonilisse rahakotti, nagu WMZ-rahakott, kulutas ära isiklikuks otstarbeks või saatis Western Unioni rahaülekandeteenuse kaudu Lasnamäe Centrumi postkontorist Ukrainasse. Tuvastamata isikute kuritegeliku tegevuse ja laekunud rahaliste vahendite seose ärakaotamiseks kasutasid V. R. ja tuvastamata kaasosalised ka teiste kaassüüdimõistetutega seotud Eestis tegutsevate pankade arvelduskontosid ja nende juurde kuuluvaid kaitsevahendeid. Teiste süüdimõistetutega seotud pangakontodele jõudnud kuritegelik raha võeti üldjuhul sularaha väljamaksetena välja kolmandates riikides (Tai ja Venemaa), kasutades selleks nende nimele registreeritud deebet- või virtuaalkaarte.

Murekoht on Viru tööpiirkonnas jätkuvalt venekeelse elanikkonna haavatavus – kelmide kõned tehakse valdavalt vene keelt kõnelevatele inimestele ning eestikeelses meedias levivad hoiatused jõuavad nendeni väga pika ringiga ja vaevaliselt (võrdlusena toodi välja, et sama probleem oli ka aastatel 2008–2011 nn libapolitseinikega). 

Lääne Ringkonnaprokuratuuris on kohtumenetluses kriminaalasi, kus üldmenetluses mõisteti J. K. KarS § 207 lg 1 järgi maakohtus süüdi. Süüdistus seisnes selles, et J. K., töötades Nädaline OÜ-s ning täites oma töölepingust tulenevaid kohustusi, valmistas Nädaline OÜ-le veebilehe, millega sai ühtlasi õigused Nädaline OÜ veebilehe https://sõnumid.ee haldamiseks ning veebilehele majutust pakkuvas Zone.ee keskkonnas tegutsemiseks. Pärast töölepingu lõppemist, omamata õigusi sekkuda Nädaline OÜ veebilehe haldusesse,  kasutas internetis  veebilehekülgede optimeerimise tööriista Google Search Console ja lisas ebaseaduslikult enda kasutajakonto Nädaline OÜ-le registreeritud sõnumid.ee domeeni haldavate kasutajate nimekirja (omanike listi) Google Search Console keskkonnas. Praegu on süüdistatava kaitsja maakohtu otsuse vaidlustanud ning menetlus jätkub ringkonnakohtus. 

Mitmes ringkonnas tegeleb küberkuritegudega vaid kaks uurijat ning suur osa nende ajast kulub hulgaliste avalduste lahendamisele.

Kokkuvõttes võib ringkondadelt saadud tagasiside pinnalt tuua positiivse asjaoluna välja, et küberkuritegudest teavitamise määr on suur. Selles on kindlasti oluline roll asjaolul, et 2020. aastal tegelesid erinevad asutused aktiivselt ennetus- ja teavitustööga, millesse andis oma panuse ka prokuratuur. Probleemkohana võib sarnaselt 2019. aastaga välja tuua ressursipuuduse. Mitmes ringkonnas tegeleb küberkuritegudega vaid kaks uurijat ning suur osa nende ajast kulub hulgaliste avalduste lahendamisele, mistõttu võivad ka kohtuperspektiiviga kriminaalasjad saada ebaproportsionaalselt vähe tähelepanu või leida käsitlemist alles siis, kui ajakriitilisi tõendeid on juba keerukam või võimatu koguda. Kõlama on jäänud, et lisaks suunistele selles osas, kuidas tüüpjuhtumeid kvalifitseerida, oodatakse seisukohta, kui palju toiminguid masskuritegude korral tuleb teha enne, kui on asjakohane sedastada, et edasist menetluspersperktiivi tõenäoliselt ei ole.

Keskkriminaalpolitsei küberkuritegude büroo läbiviidud juhusliku kontrolli tulemusel nähtus, et koosseisuta lõpetatud kriminaalasjade korral on sellekohane praktika varieeruv ning harvad ei ole juhtumid, kus jätkuvalt leitakse, et kui tuvastatud IP-aadress asub välisriigis, võib seda ilma täiendavate tõendite kogumiseta käsitleda kriminaalmenetlust välistava asjaoluna. Selline seisukoht ei ole meie praegust küberkuritegude uurimise võimekust arvestades kindlasti alati õige, mistõttu tuleb teha tööd selle nimel, et iganenud arusaamasid selles osas muuta.

autor
Eleliis Rattam

Eleliis Rattam liitus prokuratuuriga 2014. aastal. 2019. aastast on ta riigiprokurör, kelle vastutusvaldkonda kuulub küberkuritegude ja riigivõimu vastu suunatud kuritegude menetluste juhtimine. Ta esindab prokuratuuri mitmetes rahvusvahelistes töögruppides ning on sage esineja rahvusvahelistel koolitustel ja konverentsidel. 2019. aastal valiti Eleliis Põhja Ringkonnaprokuratuuri parimaks prokuröriks.