Pilves selgimistega tulevik ehk mõningatest rahvusvahelise küberkuritegevuse tõkestamise väljakutsetest digitaalsete tõendite kogumise kontekstis

21. sajandi tehnoloogiliste uuenduste ning igaühele kättesaadava Interneti ja sotsiaalmeedia ajastul jätab iga kuritegu digitaalse jälje, mida võib kasutada kohtus tõendina. Küberkuritegude menetlemisel ei ole peaküsimus selles, kas digitaalseid tõendeid on vaja koguda ja kas välisriikide jurisdiktsioonis asub olulisi ajakriitilisi andmeid, vaid pigem, millistesse riikidesse ning mitukümmend või isegi -sada õigusabipalvet selliste andmete kogumiseks ühe kriminaaltoimiku raames tuleb teha. Kuigi samasuguste väljakutsetega seistakse silmitsi küberkuritegevuse tõkestamisel üle maailma, on õiguslik raamistik tõendite efektiivseks kogumiseks olnud seni üsnagi fragmenteeritud. Üllataval kombel on samasugune fragmenteeritus täheldatav isegi Euroopa Liidus – senised pingutused on taganud pelgalt minimaalse ühtlustamise. Võrgus on vaid sekundite jooksul võimalik panna kuritegu toime samaaegselt suure hulga kannatanute suhtes sõltumata riigipiiridest. Sealjuures on vahendid, mida selleks kasutatakse, olgu selleks kiire internetiühendus, plokiahelale tuginev tehnoloogia, erineva keerukusega algoritmid või erinevad ananüümseks tegemise või krüptimismeetodid, laialdaselt kasutatavad – peaasjalikult ikka igapäevastel ja igati seaduslikel eesmärkidel. Seetõttu on ka mõistetav, et digitaalsete tõendite kogumisel on viimastel aastatel üha enam kerkinud küsimus sellest, kuidas eelnimetatud ebasoodsatel asjaoludel üldse efektiivselt koguda kokku kriitiline hulk andmeid kurjategijate vastutusele võtmiseks ning kuidas leida seejuures tasakaal igaühe õigusega oma andmete privaatsusele.

Küberkuritegude menetlemisel ei ole peaküsimus selles, kas digitaalseid tõendeid on vaja koguda ja kas välisriikide jurisdiktsioonis asub olulisi ajakriitilisi andmeid, vaid pigem, millistesse riikidesse ning mitukümmend või isegi -sada õigusabipalvet selliste andmete kogumiseks ühe kriminaaltoimiku raames tuleb teha.

Viimaste aastate jooksul on ka Eestis alustatud kriminaalmenetlusi seoses õngitsuskirjadega, mis suunavad kannatanuid internetipanka imiteerivale veebilehele, et saada sel moel kontolt raha ülekandmiseks vajalikud sisselogimisandmed. Kuivõrd jäljendatavaid veebilehti hoiavad kurjategijad Internetis ülekannete teostamiseks üleval tavaliselt vaid lühikest aega, on oluline, et veebilehe majutajalt kogutaks andmed kiiresti. Tavapäraselt edastatakse välisriigi teenusepakkujale seetõttu taotlus vastavate andmete säilitamiseks. Probleem on selles, et liikmesriigiti on erinev, kui kaua vastavaid andmeid tuleb säilitada ning missuguses mahus. Lisaks on ka koostöövalmis teenusepakkuja korral andmete väljastamise eeldus enamasti siiski vastava riigi õiguskaitseasutuse nõusolek tõendite väljaandmiseks. Seetõttu tuleb ka ajakriitiliste tõendite omandamiseks läbida õigusabi taotlemise protsess, mis oma formaalsuses ei ole sobiv, et efektiivselt reageerida küberkuritegude olemusele ja võrgupõhiste teenuste väärkasutamise dünaamikale. Kuigi näiteks Euroopa uurimismääruse täitmiseks on liikmesriigi õiguskaitseasutustel nähtud ette ka konkreetne tähtaeg, puudub tegelikult mehhanism, mis tagaks, et seda ka täidetaks.

Koroonapandeemia ilmestas küberkuritegude menetlemise seisukohalt ilmekalt, et viivitused võivad tulla ettenägematult ning vastuste ootamise aeg võib kujuneda kordades pikemaks kui mõistlik ja tavapärane. Küberkurjategija tuvastamine on tihti aga protsess, kus ilma teatud hulka kriitilisi andmeid omamata on uurimise läbiviimine tervikuna oluliselt raskendatud, mistõttu võib halvimal juhul tekkida olukordi, kus kogu kriminaalmenetluse läbiviimine on sisuliselt võimatu, kuni ollakse välisriigi vastuse ootel.

Küberkurjategija tuvastamine on tihti aga protsess, kus ilma teatud hulka kriitilisi andmeid omamata on uurimise läbiviimine tervikuna oluliselt raskendatud.

Hiljutise Euroopa Inimõiguste Kohtu seisukoha valguses seoses sideandmetega kohtuasjas C-746/18 on küberkuritegude seisukohalt ka oluline, et mõnedes riikides puudub sideandmete säilitamise kohustus teenusepakkujal sootuks (nt Saksamaal) või klassifitseeritakse vastavaid andmeid erinevalt, mistõttu on ebaselge ka õiguslik alus nende omandamiseks (nt tõlgendatakse liikmesriigiti erinevalt seda, mis tüüpi andmetega on tegemist dünaamilise IP-aadressi korral). Prokuratuuri 2020. aasta raamatus sai toodud välja, et küberkuritegude väikesed karistusmäärad seavad menetlemisele mitmeid praktilisi väljakutseid seonduvalt digitaalsete tõendite omandamise ja vormistamisega, arvestades nende kuritegude eripära. Kuigi 01.01.2022 jõustunud kriminaalmenetluse seadustiku (edaspidi KrMS) § 901 muudatuse kohaselt võimaldab Eesti KrMS § 1262 lg 2 jätkuvalt kohtult taotleda küberkuritegude uurimiseks sideandmete omandamist, on küberkuritegevusevastastes rahvusvahelistes töögruppides väljendatud muret selle üle, et vähemalt mõningates liikmesriikides ei kuulu kõik küberkuriteod Euroopa Inimõiguste Kohtu rõhutatud raskete kuritegude kataloogi, mille korral sideandmete kasutamine on õigustatud (nt juba eelpool toodud Saksamaa näite korral on seeläbi piiratud tõendite kogumine nii andmepüügi kui ka teatud juhtudel arvutikelmuste korral). Seetõttu võib iroonilisel kombel kannatada edaspidi just nende kuritegude uurimine, kus tehnoloogilisi võimalusi ja kannatanu õigust (digitaalsete) andmete privaatsusele enim kuritarvitatakse.

Kui varalise kasu saamise eesmärgil toimepandud küberkuritegude korral esineb tihti ka rahapesu kahtlus, mille karistusmäärad on nii Eestis kui ka välisriikides küberkuritegudest oluliselt suuremad ning mille tõendamisest võib kriminaaltulu konfiskeerimise eesmärgil kujuneda ka küberkuriteost eelkuriteo korral menetluse raskuskese, siis praeguses julgeolekuolukorras on ilmne, et samaväärselt või isegi rohkem suudavad kaitstud õigushüvedele tekitada kahju ka küberkurjategijad, kelle eesmärk on põhimõttelistel kaalutlustel näiteks vaid pelgalt häirida mõne arvutisüsteemi tööd või omandada seal sisalduvaid andmeid. Selliste näidetena võib tuua välja nii kriminaalmenetlused, mida alustati seoses ministeeriumite ja teiste riigiasutuste vastu toime pandud küberrünnakutega 2020. aasta sügisel, kui ka kaasuse, kus 2021. aasta suvel laeti ebaseaduslikult alla ligi 300 000 isiku dokumendifotod. Menetluse algusfaasis, mil ajakriitiliste andmete kogumine on esmatähtis, võib tihti aga olla veel ebaselge isegi toimepanija oletatav motiiv, kahju ulatus ja iseloom. Kuivõrd seetõttu on esmane karistusõiguslik hinnang aga enamasti pigem tagasihoidlik, piirdudes tihti vaid arvutikuriteo ettevalmistamise kahtlusega (karistusseadustiku § 2161, mille toimepanemise eest on karistusseadustiku järgi nähtud ette rahaline karistus või kuni kaheaastane vangistus) või mõne küberkuriteo toimepanemise katsega, on intsidentidega seotud kriminaalmenetluste korral digitaalsete tõendite omandamine vahetult pärast kuriteo toimepanemisest teadasaamist olnud praktikas eeltoodud põhjustel siiski problemaatiline võrreldes sihtmärgipõhiste uurimistega, kus tõenäoliselt on kogutud ka arvestatav hulk taustainfot.

Menetluse algusfaasis, mil ajakriitiliste andmete kogumine on esmatähtis, võib tihti aga olla veel ebaselge isegi toimepanija oletatav motiiv, kahju ulatus ja iseloom.

Omamoodi väljakutseks on küberkuritegude uurimise korral kujunenud ka tõendite kogumine finantsasutustelt. Tundub küll uskumatu, kuid siiani ei ole harv nähtus, kus õiguskaitseasutustele esitatakse ka tuhandete kontode ja tehingutega seonduv informatsioon mittetöödeldaval kujul. See tähendab, et eranditult kõik andmed tuleb enne nende analüüsimist sisestada andmetöötlusprogrammi käsitsi. Menetlusgrupile on see oluline ajakadu olukorras, kus küberkuritegude uurimiseks ettenähtud ressurss on niigi napp. Sisulise poole pealt tuleb aga rahvusvaheliste teenusepakkujate korral arvestada, et mõnede päringute korral võib välisriigi siseriikliku õiguse järgi olla neil kohustus teavitada subjekti andmete väljastamisest, mistõttu võib tekkida oht kriminaalmenetluse andmete avalikuks saamisest ning halvimal juhul tõendite hävinemiseks või vara arestimise võimatuseks. Lisaks võib ka pelgalt kuriteokahtlusest teadasaamine olla teenusepakkuja sisereeglite järgi kliendisuhte lõpetamise alus, mis võib omakorda tähendada automaatset konto sulgemist ning andmete kustutamist enne, kui see on kriminaalmenetluse seisukohalt otstarbekas. See tähendab, et õigusabi taotlemisel digitaalsete tõendite kogumiseks peab nii ajakulu optimeerimiseks kui ka andmete kadumisega seotud riskide maandamiseks igal konkreetsel juhul olema taotleja põhjalikult kursis konkreetse riigi seadusandluse ning teenusepakkuja eripäradega.

Eelkirjeldatud igapäevatöös kerkinud kitsaskohti peaks mõnevõrra leevendama Euroopa Nõukogu Arvutikuritegude Vastase Konventsiooni (ehk nn Budapesti konventsiooni) II lisaprotokolli  allkirjastamine eeldatavasti 2022. aasta kevadel. See loob õiguskaitseasutustele võimaluse suhelda välisriigi teenusepakkujatega teatud andmete, mis ei võimalda teha subjekti eraelu kohta ülemäära täpseid järeldusi, kogumiseks vahetult (artikkel 6 ja 7) ja õigusliku aluse kohustada viimaseid vastama päringule vähemalt 30 päeva jooksul (artikkel 8). See loob ka suunised tagamaks subjekti andmete kaitset (artikkel 13 ja 14). Lisaks on viimaste aastate jooksul pööratud oluliselt rohkem tähelepanu vajadusele luua küberkuritegevuse tõkestamiseks tihedam koostöö õiguskaitseasutuste ja erasektori vahel. Eeltoodud võimalustest kirjutab täpsemalt riigiprokurör Piret Paukštys SIIN.

Kuidas siis aga tagada, et küberkuritegude tulemuslik menetlemine ning digitaalsete tõendite kogumine ei takerduks riigipiiride taha, ning selgitada asjaolu, et mitmete prioriteetsete ning suure avalikkuse tähelepanu all olnud kriminaalmenetluste korral on õnnestunud küberrünnakute toimepanemine tõkestada ning kurjategija tuvastada siiski märkimisväärselt kiiresti?

Õiguskaitseasutuste seisukohalt tundub tihti, et täiendavad piirangud digitaalsete tõendite kogumisele tagavad üksikisiku õigusi andmete puutumatusele vaid näiliselt rohkem ning formaalsuste juurdeloomisel kehtib põhimõte „eesmärk pühitseb abinõu“, mille tõttu jääb vähemalt kriminaalmenetluse seisukohalt kõige ebasoodsamasse olukorda hoopis kuriteoohver. Seega püüame küberkuritegude uurimisel leida pidevalt uusi viise, kuidas tagada usaldusväärseid tõendeid menetlustoimingutega, mille läbiviimiseks ei ole vaja teha ajamahukat rahvusvahelist koostööd või kasutada andmeid, mille säilitamine või omandamine on seadusega piiratud. Märkimisväärset edu on andnud avaandmete kogumine ja omavaheline kombineerimine, samuti erinevate asjatundjate kaasamine, mh erasektorist. Seejuures ei ole harvad juhused, kus avaandmetest formuleeruv tõend osutub isegi kaudsete infokildude pinnalt oma näitlikkuse tõttu palju kaalukamaks kui metaandmed, mille saamiseks tuli mitmeid kuid oodata välisriigi vastust või põhjalikult kaaluda menetlusliku riive põhjendatust seoses kahtlustatava õigusega eraelu privaatsusele. Lisaks ei saa unustada, et ka küberkuritegude korral on olulisel kohal inimfaktor – juhused, kus kogenud menetlejale meenub, et aastaid tagasi toimetas keegi sarnase, väga spetsiifilise käekirjaga, või kus küberkurjategija reedab muuhulgas tema sotsiaalmeediakontol jagatud lemmiklaul või juhuslik foto võileivast. Vaatamata sellele on siiski ka edaspidi oluline, et õiguskaitseasutustel oleks võimalik kasutada kübekurjategijate tuvastamiseks kiireid ja nüüdisaegseid meetodeid sama efektiivselt kui isikutel, kes kasutavad nendest tulenevaid varjukülgi oma kuritegelike eesmärkide elluviimiseks.
 

s
autor
Eleliis Rattam

Eleliis Rattam liitus prokuratuuriga 2014. aastal. 2019. aastast on ta riigiprokurör, kelle vastutusvaldkonda kuulub küberkuritegude ja riigivõimu vastu suunatud kuritegude menetluste juhtimine. Ta esindab prokuratuuri mitmetes rahvusvahelistes töögruppides ning on sage esineja rahvusvahelistel koolitustel ja konverentsidel. 2019. aastal valiti Eleliis Põhja Ringkonnaprokuratuuri parimaks prokuröriks.