“Iltalehti uutisoi tänään, kuinka Tekesille rahoitushakemusta tekemässä olleen helsinkiläisyrityksen työntekijät havaitsivat Tekesin tietojärjestelmän paljastavan salassa pidettäviä tietoja tietoturva-aukon vuoksi. Selvitettyään aukon toiminnan ja laajuuden työntekijät jättivät oman hakemuksensa tekemättä ja ilmoittivat asiasta Tekesille.
Kyseessä on tietysti vähintäänkin salassapitorikos Tekesin osalta. Olettaen, että hakemukseen kuuluu henkilötietoja, on kyseessä lisäksi henkilörekisteririkos. Rekisterin pitäjällä on velvollisuus huolehtia tietoturvasta.
Vaan mitä tekee poliisi? Pidättää rikoksen paljastaneet henkilöt ja alkaa tutkimaan asiaa törkeänä petoksena. Tekesin osalta poliisilla ei ole mitään moitittavaa.
Käsitellään ensin pidättämistä. Pakkokeinolain 1. luvun 3 §:n mukaan epäilty voidaan pidättää, jos “jos rikoksesta ei ole säädetty lievempää rangaistusta kuin kaksi vuotta vankeutta” tai “siitä säädetty ankarin rangaistus on vähintään vuosi vankeutta ja epäillyn henkilökohtaisten olosuhteiden tai muiden seikkojen perusteella on syytä epäillä, että hän –– lähtee pakoon taikka muuten karttaa esitutkintaa –– vaikeuttaa asian selvittämistä –– tai jatkaa rikollista toimintaa”. Mikään jälkimmäisistä kohdista ei täyty. Aukon havainneet henkilöt ilmoittivat siitä oma-aloitteisesti, ja yksi epäillyistä ilmoittautui poliisille vapaaehtoisesti. Seuraavaksi nähdään, että myöskään pääasiallinen edellytys, vähintään 2 vuotta vankeutta, ei täyty.
“Petoksen tunnusmerkistö täyttyy myös silloin, jos erehdytetään tietojärjestelmää ja aiheutetaan vahinkoa”, huomauttaa tutkintaa johtava rikostarkastaja Jukkapekka Risu Iltalehden uutisen mukaan.
Paskapuhetta, huomauttaa blogaaja. Rikoslain 36. luvun 1 §:n mukaan petoksesta tuomitaan “se, joka 1 momentissa mainitussa tarkoituksessa dataa syöttämällä, muuttamalla, tuhoamalla tai poistamalla taikka tietojärjestelmän toimintaan muuten puuttumalla saa aikaan tietojenkäsittelyn lopputuloksen vääristymisen ja siten aiheuttaa toiselle taloudellista vahinkoa”
1. momentissa mainittu tarkoitus on “hankkiakseen itselleen tai toiselle oikeudetonta taloudellista hyötyä taikka toista vahingoittaakseen, erehdyttämällä tai erehdystä hyväksi käyttämällä saa toisen tekemään tai jättämään tekemättä jotakin”. Pelkkä vahingon aiheutuminen ei riitä petoksen tunnusmerkistön täyttymiseen, teolla pitää tavoitella vahingon aiheuttamista. Mikä taloudellinen vahinko tässä teolla on sitten ylipäätään aiheutettu, se on hämärän peitossa.
Jotta petos olisi vieläpä törkeä, pitäisi teossa tavoitella “huomattavaa hyötyä”, aiheuttaa “huomattavaa tai erityisen tuntuvaa vahinkoa”, tehdä rikos “käyttämällä hyväksi vastuulliseen asemaan perustuvaa erityistä luottamusta” tai “toisen erityistä heikkoutta tai muuta turvatonta tilaa”, ja “petos on myös kokonaisuutena arvostellen törkeä”. Nämä edellytykset eivät tietenkään täyty.
Tekesin hallintojohtaja taas puhuu tietomurrosta. Sen tunnusmerkistön täyttyminen vaatisi joko tekijälle kuulumattoman käyttäjätunnuksen käyttöä, tai tietojärjestelmän turvajärjestelyjen murtamisen. Kun kyseessä on hakemuksen täytön yhteydessä sattumalta havaittu aukko, ei kyseessä tietenkään ole turvajärjestelyjen murtaminen. Tietomurrosta voitaisiin kuitenkin edes jokseenkin perustellusti epäillä, toisin kuin petoksesta.
Miksi rikosnimikkeeksi on sitten valikoitunut törkeä petos? Koska petoksesta ankarin rangaistu on kaksi vuotta vankeutta, törkeästä tekomuodosta neljä. Tietomurrosta ankarin rangaistus taas on korkeintaan vuosi vankeutta. Jos poliisi olisi lähtenyt tutkimaan asiaa tietomurtona, ei pidättämiselle olisi ollut edellytyksiä. Törkeää tietomurtoa asiasta ei saa millään, se edellyttäisi järjestäytyneen rikollisryhmän osana toimimista tai erityistä suunnitelmallisuutta. Onko siis käynyt niin, että ensin on pidätetty ja keksitty edellytykset vasta jälkikäteen?
Tarinan opetus on: älä kerro tietoturva-aukoista järjestelmän ylläpitäjälle. Poliisi ei noudata tutkinnassa lakia ja valtion viranomainen ei aio ottaa vastuuta rikoksestaan. Tärkeintä on vierittää syy aukon havainneiden ja siitä lainkuuliaisesti ilmoittaneiden niskoille millä keinoilla hyvänsä.”