Eesmärk: Tagada valmisolek avastada ja menetleda kuritegusid, kus rünnatakse Eesti strateegilist infrastruktuuri, elutähtsaid valdkondi või millega tekitatakse muud olulist varalist või mainekahju.
Mõõdikud: Vastavate KarS õigusnormide (KarS §-d 206, 207, 216-1, 217) rakendamine ning lõpliku menetlusotsuse saanud inimeste arv.
Ülevaade prioriteetsetest küberkuritegudest 2024. aastal
ÜRO Rahvusvahelise Telekommunikatsiooni Liidu (ITU) värske küberturvalisuse raporti kohaselt paigutati Eesti mullu taas kõige edukamate riikide hulka (Tier 1). Peale Eesti hinnati kõrgelt Soomet, Rootsit, Belgiat, Taanit, Luksemburgi, Prantsusmaad, Saksamaad, Kreekat, Islandit, Itaaliat, Hollandit, Norrat, Portugali, Hispaaniat, Küprost, Serbiat, Sloveeniat, Türgit ja Ühendkuningriiki.
Ses vallas püsisime ka seekord esiliigas: eelmises, 2020. aastal avaldatud raportis pälvisime 99,48/100 punktiga maailma arvestuses kõrge kolmanda koha. Tõsi, sel korral poodiumikohti ei jagatud, vaid riigid jaotati tasemete kaupa.
Globaalse küberturvalisuse indeksi raportis analüüsitakse Eesti edusamme digitaalsete turvameetmete rakendamisel viies peamises valdkonnas. Need on õiguslikud, organisatsioonilised, tehnilised ja võimekuse arendamise meetmed ning lisaks koostööd käsitlevad meetmed. Oleme ses vallas ITU hinnangul endiselt maailma vaieldamatus esirinnas.
Ent pinev geopoliitiline olukord ei võimaldagi meil vähemaga leppida. Nii Riigi Infosüsteemi Ameti kui ka Kaitsepolitseiameti ja Välisluureameti avaldatavates ülevaadetes ei jäeta rõhutamata, et Eesti on idanaabri, ent ka Hiina riiklikult toetatud küberkurjategijate alatine sihtmärk. Sestap ei saa ega tohigi valvsust kaotada, vaid peame hoidma nii riigi kui ka eestimaalaste digitaristu ja -andmed turvatuna. Pahalane ei maga.
Mullust aastat iseloomustavadki küberkuritegude vaates esmalt ohtrad hübriidrünnakud, ent ka ulatuslikud andmelekked, mitmed suuremahulised virtuaalvääringute vargused ja üha kasvav kelmuste hulk.
Näiteks teatas Asper Biogene 2023. aasta lõpus, et neilt varastati enam kui 10 000 inimese geenitestimisega seotud andmed. Tollal tituleeriti see rünnak meedias Eesti lähiajaloo suurimaks küberründeks. Ent mitte kauaks. Vaevalt mõni kuu hiljem sai avalikkus teada, et küberkurjategijad on saanud enda valdusse Apotheka apteegiketi klientide andmebaasi varukoopia – kokku u 700 000 kliendi andmetega.
Aprilli alguses saatis Allium UPI enam kui pooltele eestimaalastele teate, et nende hallatavast serverist varastati aasta alguses Apotheka 2014.–2020. aasta kliendibaasi varukoopia, mis sisaldas u 700 000 Apotheka, Apotheka Beauty ja Petcity kliendi isikukoodi. Pooltel klientidel oli peale isikukoodi andmebaasis kirjas ka e-posti aadress, u 60 000 kliendil oli lisaks koduaadress ja u 30 000 kliendil telefoninumber. Varastatud andmebaas ei sisaldanud andmeid ostetud retseptiravimite kohta.
Apotheka apteegiketi kliendibaasi küberründe aktiivne uurimine Keskkriminaalpolitseis veel käib ja seetõttu seda praegu avalikult kommenteerida ei saa, kuid Asper Biogene’i andmevarguse organiseerinud Venemaa Föderatsiooni kodaniku V. Rybakovi suhtes väljastas maakohus mullu novembris Riigiprokuratuuri taotlusel tagaselja vahistamismääruse ja Keskkriminaalpolitsei kuulutas ta rahvusvaheliselt tagaotsitavaks.
Praeguseks on Keskkriminaalpolitsei ja Lõuna prefektuuri läbiviidud kriminaalmenetluses kogutud tõendite põhjal alust kahtlustada, et Asper Biogene’i andmebaasi sisenemine ning andmete allalaadimine oli planeeritud ja organiseeritud tegevus. Kahe kuu jooksul toimetas selle nimel sihipäraselt ja pidevalt neljast inimesest koosnev grupp, keda juhtis Venemaa Föderatsiooni kodanik Vladislav Rybakov. Nende tegutsemist iseloomustas spetsialiseerunud rollijaotus, kus igal liikmel oli kahtlustuse järgi andmevarguse läbiviimisel oma ülesanne – alustades arvutisüsteemis turvaaukude otsimisest kuni varastatud andmete eest lunarahanõude esitamiseni.
Vladislav Rybakovi kahtlustatakse isikute grupis arvutisüsteemile ebaseaduslikult juurdepääsu hankimises. Kuna andmelekke järel esitasid kurjategijad ka lunarahanõude, kahtlustatakse teda muu hulgas suures ulatuses väljapressimises ehk varalise kasu üleandmise nõudmises, kui on ähvardatud rikkuda isiku vara. Süüdimõistmisel võidakse teda karistada kuni 12 aasta pikkuse vangistusega.
Kriminaalmenetluses kogutud tõendite põhjal on alust kahtlustada, et andmevarguse õnnestumise taga olid grupi süsteemne tegevus ja paikamata turvaaugud. Tõendite kohaselt algas rünnak turvaaukude otsimisega, et saada ligipääs infosüsteemi andmebaasile. Sellise turvaaugu leidmise järel pääses grupp ligi infosüsteemi kasutajakontodele ja nende krüptitud paroolidele (parooliräsidele). Menetluses kogutud andmete järgi murti need lahti ning seejärel suutsid kahtlustatavad töötaja parooliga ära kasutada järjekordset turvaauku ja paigaldada süsteemi pahavara. Tõendite kohaselt pääsesid nad veebist juhitud pahavara kaudu ligi kõigile huvipakkuvatele infosüsteemi osadele, sealhulgas inimeste isiku- ja terviseandmeid sisaldavatele failidele ning andmebaasile. Kuna kahtlustatavaid köitev andmemaht oli suur, arendati kahtlustuse kohaselt spetsiaalne töövahend andmestiku allalaadimiseks ja seejärel esitati ettevõttele lunarahanõue. Senini teadaolevalt ei ole lekkinud andmeid kuritegelikul eesmärgil kasutatud.
Peale viimati nimetatud Apotheka ja Asper Biogene’i delikaatseid isikuandmeid sisaldavate andmebaaside vastaste rünnakute on lähiaastatest tuua teisigi näiteid, mis peaksid teenuseosutajatele meelde tuletama andmete käitlemisega seotud riske ning sellega kaasnevat vastutust. Näiteks eiras Smartposti pakiautomaatide omanik aastaid soovitusi arvutitarkvara uuendada, kuni langes häkkimise ohvriks. Kliendid usaldavad teenuseosutajatele tihti palju andmeid, teadmata, mil viisil neid kaitstakse. Sel viisil varastatud andmeid võivad küberkurjategijad kasutada hiljem selleks, et panna toime sihistatud lisarünnakuid (nt õngitsusrünnakuid või väljapressimisi).
Viimast riski ilmestab ka Põhja Ringkonnaprokuratuuri mullu kohtusse saadetud N. Kuritsini kriminaalasi (1-24-4724). N. Kuritsin mõisteti süüdi küberkuritegude toimepanemisele kaasaaitamises. Ta andis enda telefoninumbrid ja seadmed kasutada küberkurjategijatele, kes saatsid seejärel rakenduse SMS Gateway kaudu mõne nädalaga kokku pea 2000 õngitsussõnumit. Sellise sõnumi saajat teavitati kahtlasest internetipanga maksest ja kutsuti üles konto kaitsmiseks minema viidatud aadressile ehk vajutama näiliselt internetipanka suunavale lingile (andmepüügilingile), mis oli tegelikult loodud selleks, et saada pangakontode andmetele ebaseaduslik juurdepääs.
Samuti väärib esiletõstmist veebruarikuine Tartu Maakohtu otsus, millega abielupaar mõisteti süüdi õngitsuskeskkonna loomises, et varastada pahaaimamatutelt külastajatelt nende andmeid. Nad saatsid välja pea 2 miljonit õngitsussõnumit ning seejärel paiskasid õnge läinud kannatanutelt kaaperdatud kontode andmed müüki tumeveebis, kus kontrolliti kontod üle ja tasustati kontoseisu järgi 100–500 dollari ulatuses.
Eelmisel aastal jätkusid ka Eestis tegutsevate virtuaalteenuste pakkujate vastu toime pandud ründed. Tunamullu pälvis ka rahvusvaheliselt kõlapinda AtomicWalleti ja CoinsPaidi vastu toime pandud ründed, kus kurjategijate saagiks sai enam kui 150 miljoni euro väärtuses virtuaalvääringuid. Mõlemat rünnakut on seostatud Põhja-Korea riiklikult toetatud Lazarus Groupi häkkerirühmitusega.
Ent AtomicWallet ja CoinsPaid ei ole viimaste aastate ainukesed suuremad kannatanud. Mullu mais mõisteti Soomes süüdi Eesti ühe suurima virtuaalkasiino online-mängude platvormi vastu küberründe toime pannud Suurbritannia kodanik, kelle ebaseadusliku tegevuse uurimiseks alustas Keskkriminaalpolitsei küberkuritegude büroo kaks aastat tagasi menetlust. Kogutud tõenditest nähtub, et Soomes elav küberkurjategija kasutas ära online-mängude loogikaviga, millega tal õnnestus välja petta ligi 1,3 miljoni väärtuses krüptoraha. Keskkriminaalpolitsei edastas Budapesti konventsiooni alusel kogutud tõendid Soome Vabariigi ametivõimudele. 35aastane staažikas küberkurjategija mõistetigi Eestis kogutud tõendite põhjal hiljaaegu süüdi ja temalt konfiskeeriti 1,5 miljoni euro ulatuses vara.
Eelmine aasta oli märgiline ka ses aspektis, et mullu septembris omistas Eesti Vabariik esimest korda ajaloos riigivastased küberründed kuriteo toimepanijatele. Varem olime kaasunud liitlaste omistamistega, ent kordagi varem ei ole Eesti ise ühtegi küberrünnakut omistanud.
Küberrünnaku GRU-le omistamise pressikonverents. Vasakult RIA peadirektori asetäitja Gert Auväärt, riigiprokurör Vahur Verte, KKP C3 juht Ago Ambur, kaitsepolitsei peadirektor Margo Palloson
2024. aasta 5. septembril omistas Eesti toona Eesti vastu korraldatud küberrünnakud Venemaa sõjaväeluure (GU, varem tuntud kui GRU) alluvuses oleva üksuse 29155 liikmetele. Tegemist on ajaloos esimese korraga, mil Eesti omistab riigivastased küberrünnakud kuriteo toimepanijatele.
2020. aasta novembris tabasid küberrünnakud mitut Eesti ministeeriumi. Keskkriminaalpolitsei küberkuritegude büroo tuvastas koos Kaitsepolitseiametiga, et küberrünnakutes on alust kahtlustada kolme Venemaa Föderatsiooni kindralstaabi peavalitsuse ohvitseri: Yuri Denisovit, Nikolay Korchaginit ja Vitali Shevchenkot.
Rahvusvaheliselt tagaotsitavad kahtlustatavad
Ühtlasi toetasid Eesti julgeolekuasutused Ameerika Ühendriikide uurimist (operatsioon Toy Soldier) seoses laiemate küberrünnakutega.
GRU sõjaväeüksus 29155 on vastutav riigipöördekatse, sabotaaži- ja diversioonioperatsioonide ning mõrvakatsete eest Euroopas. Venemaa Föderatsiooni eesmärk on lõhkuda ja ümber kujundada Euroopa julgeolekuarhitektuur ja reeglitel põhinev maailmakord ning taastada mõjusfääride poliitika. Seetõttu kujutab GRU sõjaväeüksuse alla loodud küberründevõimekus ohtu Eesti riiklikule julgeolekule.
Tänavu 27. jaanuaril kehtestas Euroopa Liit kolme Eesti vastu küberrünnakuid toime pannud kahtlustatava suhtes kübersanktsioonirežiimi alusel rahvusvahelised sanktsioonid.
Euroopa Liit lõi 2019. aasta mais sanktsioonide raamistiku ehk niinimetatud kübersanktsioonirežiimi, mis võimaldab ELil kehtestada sihipäraseid piiravaid meetmeid, et takistada küberründeid ja neile reageerida, kui need kujutavad välist ohtu ELile või selle liikmesriikidele.
See sanktsioonirežiim hõlmab küberründeid, millel on märkimisväärne mõju ja mis pärinevad väljastpoolt ELi või mis pannakse toime väljaspool ELi, kasutavad väljaspool ELi asuvat taristut, mille on toime pannud väljaspool ELi tegutsevad isikud või väljaspool ELi asutatud üksused või mis viiakse läbi väljaspool ELi tegutseva isiku või üksuste toetusel. Piiravad meetmed hõlmavad isikute ELi reisimise keeldu ning isikute ja üksuste varade külmutamist.
Mullu jätkusid ka koolide ja teiste asutuste vastu toime pandud massilised pommiähvardused, mida seostatakse Venemaa häktivistidega. Tõsisematest intsidentidest jõudis mullu märtsis avalikkuseni Hansabi vastu toime pandud küberrünnak, mis häiris lühiajaliselt Eesti pankade teenuste osutamist. Viimane näitas, kui sõltuv on meie igapäevaelu arvutisüsteemidest.
Peale kirjeldatud kriminaalmenetluse ilmestab Keskkriminaalpolitsei küberkuritegude büroo võimekust kriminaalmenetluse „Evilginx on steroids“ läbiviimine. Nimelt pidas Keskkriminaalpolitsei täpselt 120 päeva pärast kriminaalmenetluse alustamist kinni varem karistamata 23aastase Tom Kristian Abeli, kes valmistas arvutikuritegude toimepanemist võimaldavast programmist Evilginx enda versiooni ja levitas seda, et teised saaksid toime panna arvutikuritegusid. Abel müüs kurjategijatele õngitsuskomplekte, mis võimaldasid õngitseda inimeste kasutajatunnuseid ning seeläbi ligipääse Microsoft 365, PayPali, Google’i, Yahoo, Dropboxi ja Binance’i kontodele.
Arvutikuritegude toimepanemist võimaldava programmi müügikuulutus
Ent Keskkriminaalpolitsei küberkuritegude büroo ei tegele üksnes GRU (küber)agentide jahtimisega või rahvusvaheliste küberkurjategijate jälgede ajamisega, vaid vajaduse korral abistab enda teadmiste ja oskustega teisi büroosid nii Eestis kui ka välismaal.
Tehniliselt on op_return n-ö nullandmete skript. See on standardne lukustusskripti muster, mis salvestab suvalised andmed või sõnumid plokiahela tehingus. Selliselt võib op_return’i võrrelda teada-tuntud pangaülekande selgitusreaga, mis on erinevalt pangaülekande selgitusest kogu maailmale avalikult näha.
Lisaks on Keskkriminaalpolitsei ja prefektuuride küberkuritegude menetlejad hinnatud koostööpartnerid välispartneritele.
Näiteks pidasid Keskkriminaalpolitsei küberkuritegude büroo töötajad aasta alguses Soome Vabariigi palvel kinni Vastaamo OY küberründe ja lunarahanõude taga olnud Eestis elava mehe. Kahtlustuse kohaselt esitas ta 2020. aasta septembris Vastaamo OY tegevdirektorile ja teistele vastutavatele isikutele lunarahanõude ning ähvardas internetis avalikustada Vastaamo klientide psühhoteraapia vastuvõttude delikaatseid eraelulisi märkmeid, s.o kliente häbistavaid andmeid, mille tema kaasosaline oli enne varastanud. Kuna Vastaamo ei soostunud väljapressitavat summat maksma, avalikustasid nad kõik varastatud kliendiandmed Tor-võrgu kaudu pimeveebis.
Mullu jõudis vahefinišisse ka Ivan Turõgini ja Sergei Potapenko menetlus, kus Eesti õiguskaitseasutused osutasid Ameerika Ühendriikide ametivõimudele õigusabitaotluse alusel ulatuslikku abi menetlustoimingute tegemisel ning tõendite kogumisel. Kelmuses ja rahapesus kahtlustatavad mehed anti suve hakul pärast pikki kohtuvaidlusi Ameerika Ühendriikidele õiguse mõistmiseks välja. 2025. aasta 12. veebruaril tunnistasid nad end 577 miljoni dollari suuruses krüptokelmuses süüdi. Kokkuleppe ühe tingimusena konfiskeeritakse meestelt 400 miljoni dollari väärtuses kriminaaltulu. Ameerika Ühendriikide kohus arutab kokkuleppeid mai alguses ning võib meestele mõista kuni 20 aasta pikkused vangistused.
Lisaks viisid Põhja Ringkonnaprokuratuur ja Põhja Prefektuur mullu kevadel ellu rahvusvahelise operatsiooni PhishOff, mille raames peeti kinni kümneid kurjategijaid ning sulgeti õngitsuskelmidele teenuseid pakkunud platvorm LabHost, mille tegevus ulatus ka Eestisse. Selles operatsioonis pälvis tõhusa ja tulemusliku koostöö eest Europolilt tunnustuse Põhja prefektuuri küber- ja majanduskuritegude talituse uurimisgrupp ja nendega koos Põhja ringkonnaprokuratuur.
Viimaseks on hea meel tõdeda, et küberkuriteod on pälvinud ka riigikohtunike tähelepanu. Näiteks läinud aasta lõpus langetas Riigikohus nn rajakaamerate kriminaalasjas otsuse, mis mõjutab küberkuritegude menetlemist tulevikus.
Detsembri alguses muutis (s.o kitsendas) Riigikohus lahendis 1-21-5115 KarS § 206 lg-t 1 ehk arvutiandmetesse sekkumise praktikat ning heitis kinda seadusandjale, et viimane täpsustaks direktiivi 2013/40/EL artikli 5 valguses KarS § 206 lg 1 kriminaalvastutuse eelduseid.
Arvutiandmetesse sekkumine näeb ette kriminaalvastutuse arvutisüsteemis olevate andmete ebaseadusliku muutmise, kustutamise, rikkumise või sulustamise eest. Koosseis sätestab vastutuse sama teo eest, kui see on toime pandud paljudes arvutisüsteemides olevate andmete vastu ja selle toimepanemisel kasutati arvutikuriteo ettevalmistamiseks tarvilikku seadet või arvutiprogrammi või kui selle teo on toime pannud grupp või kui see on toime pandud elutähtsa valdkonna arvutisüsteemis olevate andmete vastu või kui sellega on tekitatud oluline kahju.
Kohus tõdes, et seadusandja ei ole pidanud oluliseks, kuidas mõjutab arvutiandmetesse sekkumine kahjustatavat õigushüvet, ega ole KarS § 206 dispositsioonis toimepanija vastutust ühegi piirava tunnusega kitsendanud. Riigikohus tõdes, et praegu piisab koosseisutunnuste täitmiseks sellest, et toimepanija ründab tahtlikult ja õigusliku aluseta ebaseaduslikult arvutisüsteemis olevaid andmeid.
Riigikohus asus seisukohale, et kuriteokoosseisu on seadusandja sõnastanud ülemäära laialt, sest see võib hõlmata ka juhtumeid, mille eest kriminaalkorras karistamist ei saa pidada proportsionaalseks või mida seadusandja ei olegi tegelikult soovinud karistatavaks kuulutada. KarS § 206 koosseisu mõttes saaks lugeda karistatavaks ka kirjavea parandamist tekstifailis, faili koopia kustutamist või näiteks tulba laiuse muutmist Exceli tabelis, isegi kui need muudatused Riigikohtu sõnul kellegi huve ei mõjuta.
Riigikohus asus seisukohale, et KarS § 206 kohaldamise praktikat tuleks tulevikus kitsendada ja piirata koosseisu toimeala koosseisuga kaitstava õigushüve kahjustamise või ohustamise ulatuse kaudu. Tulevikus eeldab arvutiandmetesse sekkumises süüdi tunnistamine ja karistamine põhjendamist, miks mõjutas ebaseaduslik arvutiandmetesse sekkumine kaitstavat õigushüvet rohkem kui vähesel määral. Alternatiivselt tuleb ära näidata, missugune kahju õigustatud isikule tekitati.
Vahur Verte on prokurör 2010. aasta märtsist. Ta on riigiprokurörina kohtu ette viinud mitmeid Eesti organiseeritud kuritegevuse kurikuulsaimaid nimesid. Tema juhitud kriminaalmenetlustes on süüdimõistva kohtuotsuseni jõutud näiteks Kemerovo, Haron Dikajevi, Andrey Kuzyakini ja nn aserite kuritegelike ühenduste kriminaalasjades, samuti Nikolai Tarankovi tapmise kui ka Eesti esimese fentanüülilabori kriminaalasjas. Lisaks on riigile tagasi võidetud kurjategijatelt mitme miljoni euro väärtuses kriminaaltulu ning Eesti kohtupraktikas esimest korda ka krüptovaluutat. Vahur Verte nimetati 2018 aasta prokuröriks ning 2020 pälvis ta Kriminaalpolitsei teenetemärgi. Alates 2022 jaanuarist juhib Vahur Verte raskete küberkuritegude menetlemist.
Ago Ambur töötas 2023.-2025. aastal Keskkriminaalpolitsei küberkuritegude büroo (C3) juhina. C3-s alustas ta tööd 2016. aastal arvutieksperdina ja juhtis pikalt üksuse tehnilise meeskonna tööd.