Download - Nuhkvara
-
Tartu likool
igusteaduskond
Avaliku iguse instituut
Katrin Kabel
EESTI KARISTUSSEADUSTIKU -de 208 JA 216 VASTAVUSEST EUROOPA
NUKOGU ARVUTIKURITEGEVUSEVASTASE KONVENTSIOONI ARTIKLILE 6.2
VITLUSES KBERKURITEGEVUSEGA
Bakalaureuset
Juhendaja: Mag. iur Lauri Aasmann
Tallinn
2013
-
2
Sisukord
Sissejuhatus 4-6
1. Kberkuritegevus- misted, strateegiad 7
1.1 Kberkuritegevusega seotud misted 7-8
1.2 Kberkuritegevusevastases vitluse alusdokumendid 8
1.2.1 Eesti kberjulgeoleku strateegia 2008-2013 8-9
1.2.2 Euroopa Liidu Kberkaitse strateegia 9-10
1.2.3 Euroopa Nukogu Arvutikuritegevusevastane konventsioon 10-11
1.2.4 Euroopa Liidu igusruum 11-12
2. Vastutuse vlistamise praktiline vajadus 13
2.1 Nihe klassikaliselt kaitsedoktriinilt aktiivse kaitse suunas 14-15
2.2 Kberrelvad tsiviilkibes ja kriminaalmenetluse triistadena 16
2.2.1 Turvatestimine ehk penetration testing 16-17
2.2.2 Eetiline hkkimine ehk ethical hacking 17-18
2.3 Kberrelvade vimalik kasutamine Eesti iguskaitseorganite tegevuses ning
kberrelvade kasutamise nited erinevate riikide praktikate phjal 18
2.3.1 FinFisher 18-19
2.3.2 Kberkaitseppused 19-20
2.3.3 Kberrelvade kasutamine USA ja Iraani nite phjal- Stuxnet, DuQu, Fame
20-22
3. Karistusseadustiku kaasajastamine 23
3.1 Karistusseadustiku 208 ja 216 kujunemine 23
3.1.1 Koosseisude anals 24
3.1.1.1 Nuhkvara, pahavara, arvutiviiruse levitamine 24-25
3.1.1.2 Ettevalmistamistegu (KarS 208 phjal) 26-27
3.2 Euroopa Nukogu Arvutikuritegevusevastase konventsiooni artikkel 6.2 27-29
3.3 iguslikud ksimused 29
3.3.1 KarS -i 208 eristamine -st 207 RK lahendi phjal 30-32
3.3.2 Arvutiprogrammi ksitlemine nuhkvara, pahavara vi arvutiviirusena 32-34
3.3.3 Jlitustegevus 34-36
3.4 Autori seisukoht KarS 208 muutmisvajaduse osas 36-38
Kokkuvte 39
-
3
THE COMPLIANCE OF THE 208 AND 216 OF THE ESTONIAN CRIMINALCODE
WITH THE ARTICLE 6(2) OF THE COUNCIL OF EUROPE CONVENTION ON
CYBERCRIME IN THE FIGHT AGAINST CYBERCRIME. Summary 40
Kasutatud kirjandus 41-44
Lihtlitsents 45
-
4
SISSEJUHATUS
Viimase kmnekonna aastaga on kberkuritegevuse levik ja kberrnnete ohtlikkuse
aste plahvatuslikult suurenenud1 ning sellest tingituna suunavad riigid ha suuremaid
ressursse kberturvalisuse tagamisse. Tna igapevaseks kujunenud teated turvalisuse poolest
maailmas esirinnas arvatud olevate asutuste ja organisatsioonide langemisest kberrnnete
sihtmrgiks on nhtus, millega vitlemiseks enamusel riikidel puuduvad kogemused ning
napib spetsialiste.
heks esimeseks riikide kberkuritegevuse ohjamise suunalisi pdlusi koondavaks
poliitilise tasandi kokkuleppeks tuleb pidada Euroopa Nukogu 23.11.2001.a. vastu vetud
Arvutikuritegevusevastast konventsiooni2, millega alustati hise kriminaalpoliitika
vljattamist vitluses arvutikuritegevuse vastu. Eesti Vabariik ratifitseeris nimetatud
konventsiooni 12.02.2003.a ning see justus 01.07.2004.a.
Phinedes suuresti knealusele konventsioonile, on Eesti karistusseadustikku (edaspidi
KarS)3 lisatud arvutikuritegude steokoosseisud, mis ksitlevad arvutiandmetesse sekkumist
( 206); arvutissteemi toimimise takistamist ( 207); nuhkvara, pahavara ja arvutiviiruse
levitamist ( 208); arvutikelmust ( 213); arvutikuriteo ettevalmistamist ( 216) ja
arvutissteemi ebaseaduslikku kasutamist ( 217).
Kesolev t keskendub hele eranditest, mille Eesti kriminaalseadus on otsustanud
teha vrreldes konventsiooni originaaltekstiga. Nimelt vlistab konventsiooni artikkel 6 teine
lige kriminaalkaristuse kohaldamise, kui konventsiooni mttes kuriteo toimepanemise
vahendiseks oleva seadme vi programmi tootmise, mgi, kasutamiseks hankimise, impordi
vi turustamise vi muul viisil kttesaadavaks tegemise vi valdamise eesmrk on niteks
arvutissteemi lubatud katsetamine vi arvutissteemi kaitse, mitte konventsiooni artiklites 2
5 nimetatud kuriteo toimepanemine. Eesti vastavat reeglit otsesnu le vtnud ei ole, vaid
eristab ldjuhul karistusseadustiku arvutikuritegude koosseisudes lubatud ja lubamatut
tegevust omadussna ebaseaduslik abil.
Kesoleva bakalaureuset hpoteesiks on, et karistusseadustiku KarS 208 toodud
kuriteokoosseisu kriminaliseerimine ilma EN Arvutikuritegevusevastases konventsioonis
toodud reservatsioonita, ei ole phjendatud. Lbi sellekohase igusanalsi pab autor juda
1W. Gragido, J. Pirc. Cybercrime and Espionage. An Analysis of Subversive Multivector Threats. Syngress
Publications 2011, lk 10 2 Euroopa Nukogu Arvutikuritegevusevastane konventsioon.- RT II 2003, 9, 32, arvutivrgus kttesaadav:
https://www.riigiteataja.ee/akt/550359 (21.03.2013) 3 Karistusseadustik.- RT I 2001, 61, 364RT I, 20.12.2012, 12, arvutivrgus kttesaadav:
https://www.riigiteataja.ee/akt/120122012012 (21.03.2013)
-
5
selgusele, kas t kirjutamise ajal kehtiva KarS 208 snastus on lemra piirav ning ei
arvesta vajadusega lbi viia infossteemide turvatestimisi ega kasutada jlitustegevuse
toiminguid niteks infotehnoloogiavahenditest teabe salajaseks hankimiseks.
Nagu t pealkiri viitab, on nuhkvara, pahavara ja arvutiviiruse levitamise ning t
uurimisksimusega lahutamatult seotud ka karistusseadustiku 2161 koosseis, mis ksitleb
arvutikuriteo, s.h KarS 208 kirjeldatud levitamise, ettevalmistamist. Kriminaalkaristust
vriva arvutikuriteo ettevalmistamisena kirjeldab karistusseadustik tegevusi nagu niteks
nuhkvara valmistamine vi isegi valdamine, mis tnaseks pevaks on kujunenud osaks
kberturbeekspertide igapevatst.
Illustreerimaks probleemistiku aktuaalsust ja praktilist kaalu vljaspool tsiviil- vi
iguskaitsesfri, keskendub t teisalt nuhkvara, pahavara vi arvutiviiruse levitamisele
riikliku julgeoleku strateegiliste eesmrkide saavutamiseks kbervimekuse arendamisel ja
kberoperatsioonide lbiviimisel. Nited niisugusest praktikast phinevad USA avalikest
allikatest kttesaadavatel andmetel kberveosade kujundamise ja kberarsenali loomise
kohta.4
Kuivrd suur osa kurjategijatest, s.h rahvusvahelised terrorirhmitused kasutavad oma
tegevuse hlbustamiseks internetti ning infotehnoloogiavahendeid, samuti arvestades
kberintsidente, mille tagamaad viitavad riikliku mandaadi olemasolule, on kbervimekuse
arendamine nii tsiviil- kui militaarvaldkonnas loogiline suund, mille riigid strateegilisel
tasemel vtavad. Uue relvaliigi vljattamine toob kaasa omamoodi lumepalliefekti ning
tnaseks on riikide mastaapset tegevust kbervimekuse arendamisel hakatud vrdlema Teise
Maailmasja jrgse vidurelvastumisega. Vastavatest pdlustest ei tee saladust USA5 ega
muud arenenud riigid. Ametlikult ei loo Eesti kberrelvi6, kuid kui selleks peaks tekkima
vajadus vi soov, siis ksitleks kesoleval ajal kehtiv karistusseadustik sellist tegevust
kuritegelikuna eelkige KarS 208 valguses.
Eeltoodut arvestades pstitatakse uurimists ksimus, kas KarS 208 vljatoodud
tegevuse eranditu kriminaliseerimine ei prsi riigi vimet end kaitsta, ehk kas isikud, kes
niteks loovad vi soetavad pahavara, testimaks he vi teise asutuse infossteemi turvalisust,
rikuvad oma tegevusega seadust ning riskivad saada kriminaalkorras karistatud?
4 J. L. Bayuk, J. Healy, P. Rohmeyer, M. H. Sachs, J. Schmidt, J. Weiss. Cyber Security Policy Guidebook. A John
Wiley&Sons,Inc., Publications 2012, lk 233-235 5 N. Burns & J. Price. Securing Cyberspace. A New Domain for National Security. The Aspen Institute 2012, lk 54
6 Sarnaselt paljude muude kberkaitse valdkonnas ringlevate mistetega, ei ole kberrelval htset kokkulepitud
vastet. Reeglina mistetakse selle all koodi vi programmi, mida kasutatakse vi mida saab kasutada objektidele, ssteemidele vi elusolenditele fsilise, funktsionaalse vi moraalse kahju tekitamiseks vi sellise kahju tekitamisega hvardamiseks.
-
6
T kirjutamisel on kasutatud Tartu likooli andmebaaside kaudu kttesaadavaid
teadusartikleid, mis ksitlevad kberigust ning sellega seotud ksimusi, samuti on kasutatud
NATO Kberkaitsekeskuse publikatsioone. Suures osas toetub t internetis avaldatud
artiklitele, mis t sisu arvestades on paratamatu, kuna alternatiivseid, s.h teadusallikaid ei ole
olemas vi on uuritav informatsioon piiratud kibega. Ts on kasutatud Eesti kohtupraktikat
ning analsitud KarS 208 rakendamist Riigikohtu kriminaalkolleegiumi ainsas
selleteemalises lahendis 3-1-1-85-08 (25.02.2009).
T esimeses osas on toodud ra philised misted, mille mratlemine hlbustab t
edasist lugemist. Uurimisobjektiks oleva KarS-i puudutava igusliku ksimuse konteksti
paigutamiseks on ts jrgnevalt vlja toodud Eesti Kberjulgeoleku strateegia 2008-2013,
EL Kberkaitse strateegia, EN Arvutikuritegevusevastase konventsiooni ja EL 2005.a
raamotsuse7 philised kberkuritegevusele keskenduvad seisukohad. Autori hinnangul
kinnitavad need dokumendid maailmas jrjest suurenevat muret kberruumis leviva
kuritegevuse prast ning on testuseks siseriiklikust ja rahvusvahelisest pdlusest antud
nhtusega videlda ning seda iguslikult reguleerida. htlasi tunnistavad nimetatud
materjalid, et riigid on tegelemas strateegilisel tasandil kbervimekuse arendamisega, mis
sageli thendab nii kaitse- kui rndemehhanismide vljattamist, olgugi, et viimast sageli
kva hlega vlja ei elda.
T teises osas on vlja toodud phjused, miks peaks teatud juhtudel olema lubatud
kberrelvade kasutamine, antakse levaade erinevatest turvatestimise vimalustest ning
tuuakse vlja kberrelvastumise niteid erinevate riikide phjal.
T kolmas osa on karistusseadustiku 208 ja 2161 koosseisuelementide anals, mis
pab leida vastust ksimusele, kas kehtiv igus on piisavalt paindlik vlistamaks IT-
spetsialistide kriminaalvastutust olukorras, kus viimased kitlevad nuhkvara, pahavara vi
arvutiviiruseid oma igapevat raames.
7 Euroopa Liidu Nukogu 24.02.2005 raamotsus 222/2005/JSK infossteemide vastu suunatud rnnete kohta,
arvutivrgus kttesaadav http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:069:0067:0071:ET:PDF (18.05.2013)
-
7
1. KBERKURITEGEVUS- MISTED, STRATEEGIAD
1.1 Kberkuritegevusega seotud misted
Et paremini mista ts lbivalt kasutatud termineid, on alljrgnevalt avatud kolme
olulisema miste (kberjulgeolek, kberkuritegevus, kberrnne) sisu nii nagu need on
defineeritud Eesti kberjulgeoleku strateegias 2008-20138.
Kberjulgeolek (riigi kberjulgeolek) miste kberjulgeolek hlmab kiki
elektroonilise teabe, teabekandjate ning -teenustega seotud toiminguid, mis mjutavad riigi
julgeolekut. Riigi kberruumi julgeoleku tagamine koosneb mitmesugustest tegevustest eri
tasanditel. Peamine eesmrk on vhendada kberruumi haavatavust, st ennetada
kberrnnakuid ning taastada rnnakute korral vimalikult kiiresti infossteemide toimimine.
Kberjulgeoleku tagamiseks on oluline hinnata riigi kriitilise infoinfrastruktuuri haavatavust,
panna paika vastumeetmete ssteem kberrnnakute rahoidmiseks, mratleda
ametkondadevaheline koost riigis ning tjaotus era- ja avaliku sektori vahel
kberrnnakute trjumisel, arendada rahvusvahelist seadusandlust ja institutsionaalset
koostd, teavitada avalikkust ning ttada vlja kberjulgeoleku alased
koolitusprogrammid.9
Eesti tunnustatumaid kbervaldkonna iguseksperte Eneken Tikk on oma doktorits
vitnud, et kberjulgeoleku miste ja olemus on viimaste aastatega oluliselt muutunud.
Infohiskond on arenenud faasi, milles riik ja hiskond tervikuna on muutunud
infotehnoloogiliselt haavatavaks. htlasi on ootuspraselt sagenenud riikliku thtsusega
infossteemide ja eluthtsate infohiskonna teenuste vastu suunatud poliitilise konteksti ja
motivatsiooniga rnded. Seega ei piirdu kberohud enam ksnes arvutikuritegevusega, vaid
hlmavad ka ohte riigi julgeolekule ning vivad riikide sjaliste vimete arendamise
tulemusena eskaleeruda sjapidamiseks kberruumis.10
Tna veel puuduvad andmed juhtumite kohta, kus kberrnded ksi oleksid ohustanud
riigi julgeolekut, kll aga on taolist eeldust arvesse vttes hetkel kehtiva karistusseadustiku
reguleerimisala oluliselt laiem kui peamiselt rahalisele kasule suunatud arvutikuritegevus.
Kberkuritegevus - majandusliku kasu saamise eesmrgil toime pandud jrgmised
kuriteod:
8 Kberjulgeoleku strateegia 2008-2013, lk 41, arvutivrgus kttesaadav:
http://www.kaitseministeerium.ee/files/kmin/img/files/Kuberjulgeoleku_strateegia_2008-2013(1).pdf (24.03.2013) 9 op. cit., lk 40
10 E. Tikk. Comprehensive legal approach to cyber security. Tartu likooli Kirjastus 2011, lk 133
-
8
1) arvutissteemi vastu suunatud kuriteod (hkkimine, notustamine);
2) arvutissteemi vahendusel toime pandud kuriteod (arvutikelmus, identiteedivargus,
interneti vahendusel vaenu hutamine jne);
3) autoriiguste vastu suunatud kuriteod.11
Kberrnne arvutissteemi (arvuti, arvutivrk) vahendusel toime pandud rnne
arvutissteemi vi selles sisalduvate andmete vastu eesmrgiga hirida arvutissteemi td
vi muuta igusliku aluseta andmettlusprotsessi (muutmine, kustutamine, sulustamine
jne).12
1.2 Kberkuritegevusevastase vitluse alusdokumendid
1.2.1 Eesti kberjulgeoleku strateegia 2008-2013
Kaitsmaks Eesti kberruumi kberterrorismi eest ning htlustamaks valdkonnas
tegutsevate kaitseorganite td, on Vabariigi Valitsus kinnitanud kberjulgeoleku strateegia
aastateks 2008-2013. Kberjulgeoleku strateegia snastab kberjulgeoleku strateegilised
eesmrgid ning abinud Eesti kberruumi haavatavuse vhendamiseks. 13
Kokkuvtvalt on strateegia philisteks eesmrkideks aastateks 2008-2013
turvameetmete ssteemi arendamine ja laiaulatuslik rakendamine, kberjulgeoleku alase
kompetentsuse tstmine, kberjulgeoleku tagamiseks vajaliku igusruumi tiendamine,
rahvusvahelise koost arendamine ja teavitustegevus.
Kberjulgeolek Eesti jaoks on laia thendusvljaga miste, mis hlmab kiki
elektroonilise teabe, teabekandjate ning teenustega seotud toiminguid, mis mjutavad riigi
julgeolekut. Riigi kberruumi julgeoleku tagamine koosneb mitmesugustest tegevustest eri
tasanditel. Olulisemad neist on kberruumi haavatavuse vhendamine, kberrnnakute
ennetamine ning infossteemide toimimise vimalikult kiire taastamine rnnakute korral.
Kberjulgeoleku tagamiseks on vaja hinnata riigi kriitilise infrastruktuuri haavatavust,
kavandada ennetavate meetmete ssteem kberrnnakute rahoidmiseks ja mrata kindlaks
riigisisene tjaotus kberjulgeoleku korralduses. Thtis on ka tiendada kberjulgeoleku
11
E. Tikk. Comprehensive legal approach to cyber security. Tartu likooli Kirjastus 2011, lk 41 12
Kberjulgeoleku strateegia 2008-2013, lk 41, arvutivrgus kttesaadav http://www.kaitseministeerium.ee/files/kmin/img/files/Kuberjulgeoleku_strateegia_2008-2013(1).pdf (24.03.2013) 13 arvutivrgus kttesaadav http://www.eata.ee/eesti-nato-s/kuberjulgeoleku-strateegia (24.03.2013)
-
9
tagamiseks vajalikku igusruumi, arendada rahvusvahelist ja institutsionaalset koostd,
teavitada avalikkust ning ttada vlja kberjulgeoleku alased koolitus- ja
teadusprogrammid.14
Kesoleva t seisukohast omavad eelnevast ligust thtsust eelkige kaks asjaolu:
- vajadus kavandada ennetavate meetmete ssteem kberrnnakute rahoidmiseks;
- vajadus tiendada kberjulgeoleku tagamiseks vajalikku igusruumi.
Erialasest kirjandusest ning vestlustest kberkaitseekspertidega on t autorile selgeks
saanud, et tehnilisi vimalusi kberrnnakute rahoidmiseks on rohkem kui ks ning nende
seas on nii passiivse kui ka aktiivse kaitse meetodeid. Vajadus kavandada ennetavate
meetmete ssteem kberrnnakute rahoidmiseks hlmab vhemalt lesehituse faasis
kokkupuudet KarS -ga 208 ja/vi 2161, mistttu on ts ksitletavad ksimused relevantsed
kberjulgeoleku strateegia rakendusplaani seisukohast ning haakuvad otseselt strateegias
viidatud vajadusega le vaadata ning tiendada kberjulgeoleku tagamist toetav igusruum.
Keoleva aasta 21. mrtsil kiitis Vabariigi Valitsus heaks Kberjulgeoleku strateegia
2014-2017 koostamise ettepaneku15 ning mras uue strateegia koostamise eest vastutavaks
ministeeriumiks Majandus- ja Kommunikatsiooniministeeriumi. Uuendatud strateegia koos
selle rakendusplaaniga peab olema Vabariigi Valitsusele esitatud hiljemalt 2013.a detsembris.
1.2.2 Euroopa Liidu Kberkaitse strateegia
T valmimise seisuga kige vrskem Euroopa riikide kberruumi turvalisuse
parandamisele suunatud ja riikide vastavaid pdlusi kajastav dokument on Brsselis
07.02.2013 koostatud Euroopa Liidu Kberkaitse strateegia (Cybersecurity Strategy of the
European Union: An Open, Safe and Secure Cyberspace). Antud strateegia eesmrgiks on
juhtida thelepanu asjaolule, et kuivrd kberkuritegevus on muutunud jrjest suurenevaks
julgeolekuohuks, on vajalik riikidevaheline koosklastatud ja htne tegutsemine, vitlemaks
14
Kberjulgeoleku strateegia 2008-2013, lk 7-8, arvutivrgus kttesaadav http://www.kaitseministeerium.ee/files/kmin/img/files/Kuberjulgeoleku_strateegia_2008-2013(1).pdf (24.03.2013) 15
Kberjulgeoleku strateegia 2014-2017 koostamise ettepaneku heakskiitmine.- RT III, 26.03.2013, 9. Arvutivrgus kttesaadav https://www.riigiteataja.ee/akt/326032013009
-
10
internetist tulenevate ohtudega. Strateegias pannakse paika ELi hine lhenemisviis
digitaalvrkude turbe, internetikuritegevuse tkestamise ja tarbijakaitse ksimustes.16
Tegemist on raamdokumendiga, millest saavad tuge liikmesriigid oma siseriiklike
kberjulgeoleku alaste strateegiate ja/vi normatiivaktide kujundamisel. Olles Euroopas
infotehnoloogia arengu ja ka vastavate turvalahenduste poolest esirinnas, on paljud EL
Kberkaitse strateegias nimetatud tegevused juba kajastamist leidnud Eesti kberjulgeoleku
strateegias 2008-2013. Sellele vaatamata annab EL vastvalminud strateegia tugeva pidepunkti
korrakaitse- ja julgeolekuasutustele tna kasutatavate tehniliste lahenduste, tprotsesside
ning igusaktide levaatamiseks ning vajadusel ettepanekute tegemiseks nende
kaasajastamiseks.
Kberturvalisusega seotud pingutused Euroopa Liidus hlmavad ka kberkaitse
mdet. Et suurendada liikmesriikide kommunikatsiooni- ja informatsioonissteemide
vastupanuvimet, mis tagavad liikmeriigi kaitse ja rahvusliku julgeoleku huvisid, peab
kberkaitse vimekuse areng olema keskendunud avastamisele, reageerimisele ja toibumisele
keerulistest kberohtudest.17
Kberkuritegevuses kasutatavate tehnikate areng on jrsult kiirenenud: korrakaitsjad ei
saa kberkuritegevusega videlda vananenud vahenditega. Praegusel hetkel ei ole kikidel
Euroopa Liidu liikmesriikidel operatiivseid vahendeid, mis on vajalikud kberkuritegevusele
reageerimiseks. Kik liikmesriigid vajavad efektiivset siseriiklikku kberkuritegudega
tegelevat ksust.18 Kahtlemata kuulub efektiivselt rakendatav igusraamistik
kberkuritgeevusevastase vitluse vahendite hulka.
1.2.3 Euroopa Nukogu Arvutikuritegevusevastane konventsioon
Konventsiooni ettevalmistamine oli pikk protsess, vttes aega neli aastat ning
kakskmmend seitse eelnud enne kui viimane versioon, mis kuupevastati 25. mail 2001
16
Euroopa Liidu Kberkaitse strateegia (Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace), arvutivrgus kttesaadav http://ec.europa.eu/news/science/130212_et.htm (22.03.2013) 17
op. cit., (24.03.2013) 18
op. cit., (24.03.2013)
-
11
aastal, oli esitatud Euroopa Kriminaalprobleemide Komiteele (European Comittee on Crime
Problems - CDPC) selle 50ndal plenaaristungil 18.-22.juuni 2001.aastal.19
Arvutikuritegevusevastane konventsioon20
veti vastu 23.22.2001.a. See on ainus
rahvusvaheliselt siduv leping antud teemal, mis on kesolevaks ajaks vastu vetud.
Konventsioon on allkirjastamiseks avatud ka mitte-Euroopa riikidele ning kesolevaks
hetkeks on allakirjutanuid 47, kellest 37 on konventsiooni ratifitseerinud. Konventsioon
sisaldab juhiseid, sealhulgas seadusandlikke suuniseid kigile valitsustele, kes soovivad
ennast kaitsta kberkuritegevuse vastu. Konventsiooni eesmrk taotleb htset
kriminaalpoliitikat eelkige lbi asjakohase seadusandluse vastuvtmise ning kiire ja
efektiivse rahvusvahelise koost. Nimetatud eesmrgi titmiseks on vajalik tiendada
kberkuritegevuse vastast seadusandlust- htlustada siseriiklikku kriminaalseadusandlust
(niteks sisuliselt sarnased igusrikkumiste elemendid); arendada uurimistehnikaid; anda
siseriiklikule seadusandlusele iguse menetleda ja esitada sdistus nendes ning teistes
arvutissteemidega seotud kuritegudes (vi millega on seotud elektroonilised tendid).21
Lplik Arvutikuritegevusevastane konventsioon koosneb preambulast ja neljast
peatkist- preambulas on selgitatud konventsiooni koostamise eesmrki ning eesmrke, mida
soovitakse saavutada, esimeses peatkis on ra toodud misted, mida kasutatakse
konventsioonis, teine peatkk mratleb riigi tasandil vetavad meetmed, kolmas peatkk
ksitleb rahvusvahelist koostd, neljas peatkk ksitleb titevksimusi, nagu nites
konventsiooni allakirjutamise ja justumise aeg. 22
1.2.3.1 Euroopa Liidu igusruum
Asjakohaste rahvusvaheliste igusinstrumentide nimetamisel tuleb lisaks EN
lakirjeldatud konventsioonile ra mrkida ka Euroopa Liidu strateegiadokumendist ks aste
allpool paiknev normatiivakt.
19
M. D. Goodman and S. W. Brenner. The Emerging Consensus on Criminal Conduct in Cyberspace. International Journal of Law and Information Technology, vol 10 No 2. Oxford University Press 2002, lk 171 20
Arvutikuritegevusevastane konventsioon.- RT II 2003, 9, 32, arvutivrgus kttesaadav: https://www.riigiteataja.ee/akt/550359 (21.03.2013) 21
A. Klimburg (Ed.). National Cyber Security Framework Manual. NATO CCD COE Publication, Tallinn 2012, lk 160-161 22
M. D. Goodman and S. W. Brenner. The Emerging Consensus on Criminal Conduct in Cyberspace. International Journal of Law and Informaation Technology, vol 10 No 2, Oxford University Press 2002, lk 171
-
12
ELi kontekstis reguleerib kesolevat teemat 2005. aastal vastu vetud Euroopa Liidu
Nukogu 24.02.2005 raamotsus 222/2005/JSK infossteemide vastu suunatud rnnete
kohta23
. Raamotsuse materiaaliguse osa kordab phimtteliselt ENi konventsioonis
reguleeritut. Raamotsuse puuduseks on selle kohaldatavus ksnes ELi liikmesriikide suhtes,
kuid kberkuritegevuse puhul on tegemist mrksa laiema piirilese probleemiga. Nii
konventsiooni kui ka raamotsuse puhul on puuduseks see, et need ksitlevad arvutissteemide
vastaseid rndeid eesktt varavastaste kuritegudena ning jtavad tagaplaanile riigi
julgeolekumtme. Erinevaid arvutissteeme ksitletakse hetaoliselt ning ei eristata suvalist
arvutissteemi kriitilise infrastruktuuri arvutissteemist, samuti ei rgita neis eraldi
massiliselt toime pandud rnnetest.24
2010.a septembrist alates on Euroopa Komisjonis menetluses kberkuritegevuse
vastase vitluse Euroopa Parlamendi ja nukogu direktiiv, milles ksitletakse infossteemide
vastu suunatud rndeid ja millega tunnistatakse kehtetuks nukogu raamotsus
2005/222/JSK. Direktiivi eesmrk on nha ette EL tasandil miinimumnuded st htlustada
liikmesriikide igust arvuti- ehk kberkuritegude osas. Direktiivi kohaselt on kik
liikmesriigid kohustatud direktiivis nimetatud tegevused kriminaliseerima ning ngema nende
toimepanemise eest efektiivsed, proportsionaalsed ja hoiatavad karistused. Tiendavalt neb
direktiiv ette juriidiliste isikute vastutuse, raskendavad asjaolud nende kuritegude
toimepanemisel ning reguleerib riikidevahelist koostd kberkuritegevuse vastases
vitluses.25
Kiki punktis 1.2 nimetatud dokumente kritiseerides tuleb tdeda, et lbivalt puuduvad
nendes kasutatud mistete definitsioonid vi on need esitatud valikuliselt. Samas ei ole
kindlasti tegemist kriitikaga ainult Eesti aadressil, vaid probleem on laiem ning
kberjulgeoleku ning turvalisuse maastikul puuduvadki tna laiaphjalised kokkulepped
vtmethendusega mistete osas.
23
Euroopa Liidu Nukogu 24.02.2005 raamotsus 222/2005/JSK infossteemide vastu suunatud rnnete kohta, arvutivrgus kttesaadav http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:069:0067:0071:ET:PDF (18.05.2013) 24
Kberjulgeoleku strateegia 2008-2013, lk 18, arvutivrgus kttesaadav http://www.kaitseministeerium.ee/files/kmin/img/files/Kuberjulgeoleku_strateegia_2008-2013(1).pdf 25
Justiitsministeeriumi koduleheklg, arvutivrgus kttesaadav http://www.just.ee/33098
-
13
2. VASTUTUSE VLISTAMISE PRAKTILINE VAJADUS
Ksitletud EL ja Eesti strateegiad kirjeldasid kberkuritegevuse jrjest kasvavat ohtlikkust
riikide majandustele ning tdesid, et vitlust kberkuritegevusega tuleb thustada. Nimetatud
dokumentides antud soovitused on tervitatavad suundanitava iseloomuga juhistena, kuid
jvad konkreetsete organisatoorsete sammude vtmiseks vi seaduse muudatusettepanekute
phjendamiseks liiga ldsnaliseks. Selleks, et mratleda t seisukohast olulise ksimuse
karistusigusnormi snastusse sekkumise, tegelikku vajadust, tuleb arvestada muutustega
kberkaitse kui doktriini arengus viimase 3-5 aasta jooksul.
Hiinast, Phja- Koreast, Indiast, Iisraelist ja paljudest teistest riikidest prit kberrnded
hirivad rnde objektideks olevate riikide vi vhemalt nende ride igapevast toimimist.
Rnnakute rohkus ning nende tagajrjel hiritud tavaelu ning majanduse toimimine on
tekitanud ksimuse, kas passiivses kaitseseisundis olemine ning tegelemine vaid
tagajrgedega on phjendatud. ha enam otsivad riigid ja ettevtted vimalusi asuda
aktiivsele kaitsele ning ritavad leida seaduslikke viise taolise tegevuse lbiviimiseks.
Pdes kaitsta oma arvutivrke ja ssteeme mahult ja lesehituselt aina
komplitseeritumate kberrnnete eest, on kberturbeeksperdid ammendamas vaid
kaitsetaktikal phinevate meetodite vimalusi. Ollakse uurimas seaduslikke vimalusi
kasutada rnnete trjumiseks ja arvutikuritegude avastamiseks lahendusi, mis sisaldavad
vasturnde, ennetava rnde vi andmete kogumise eesmrgil vrasse arvutissteemi loata
sisenemise elemente. Kuna tegemist on valdkonnaga, mida ei ole kunagi varem iguslikult
reguleeritud, tekitab ksimus vastava tegevuse lubatavusest kahtlemata vastakaid arvamusi.
Olenevalt sellest, kas rgitakse rahvusvaheliste organisatsioonide nimel vi lahendatakse
ksimust he riigi piires, vivad vaated olla kardinaalselt erinevad. Nii rgib niteks NATO
2011.a vastu vetud kberkaitsepoliitika26 kll kberrnnete ennetamise vajadusest, kuid
sisustab selle kontseptsiooni siiski vaid kaitsemehhanismide rakendamisega, hoidudes kiivalt
tegemast mistahes kujul viiteid rndavale vi aktiivsele kaitsele. Seejuures niteks USA
(kuuludes samal ajal NATO-sse), peab avalikke debatte aktiivse kaitse vajalikkusest ning on
llitanud selle riiklikku arengukavva.27
26
Arvutivrgus kttesaadav http://www.nato.int/cps/en/natolive/topics_78170.htm 27
I. Lachow. Active Cyber Defence. A Framework for Policymakers. Center for a New American Security Policy Brief. February 2013, arvutivrgus kttesaadav http://www.cnas.org/files/documents/publications/CNAS_ActiveCyberDefense_Lachow_0.pdf (18.05.2013)
-
14
2.1 Nihe klassikaliselt kaitsedoktriinilt aktiivse kaitse suunas
Alljrgnev peatkk kirjeldab passiivse ja aktiivse kaitse erinevust riigi vastumeetmena
kberrnnaku ohvriks sattudes. Riigi tasemel vastumeetmeid analsides satume sjaiguse
piirimaile, kuid kuna see ei ole kesoleva t phiteema, piirdub t vaid doktriinide
elementaarsete eristamise kriteeriumite nimetamisega.
T uurimisksimusega seonduvalt on sjaiguses kasutatavate passiivse ja aktiivse
kaitse meetodite phimtete levtmine siiski relevantne, kuna kberintsidendi avastamise
hetkel ei ole teada, kas see on motiveeritud rahalise vi muu kasu (n: tstusspionaa)
saamisest (st kas tegemist on kberkuriteoga) vi soovitakse saavutada poliitilisi vi toetada
sjalisi eesmrke (st kas kberintsidenti vib selle ulatuse tttu vrdsustada relvastatud
rndega). Olenevalt juhtumi asjaoludest vib toimunu uurimine seega jda
justiitsministeeriumi vi kaitseministeeriumi valitsemisalasse - spetsialistide tasemel ei ole
sellel aga rakendatavate tvtete mttes mingisugust erinevust.
Erialakirjandus defineerib passiivset kaitset kui meetmete vtmist vaenuliku tegevuse
lbi tekkida viva kahju tenosuse ja tekkinud kahju tagajrgede minimeerimiseks ilma
kavatsuseta haarata ise initsiatiivi (vi astuda aktiivseid samme).28
Passiivse kaitse phimtet jrgides on riigil kberrnnete vastu end keeruline kaitsta,
kuna see eeldaks kigepealt rnnet ning seejrel alles kaitsetegevust. Kuivrd aga
kberrnnak vib halvata asutuse vi ettevtte tegevuse selliselt, et vastutegevus on kas
vimatu vi saadakse tegutseda peale rnde lppu ja tagajrgede likvideerimist, on oluline, et
asutused ja ettevtted saaksid vimaluse end kaitsta ning oma turvassteeme testida ja
parendada.
Kberohtude muutuv iseloom on teinud aktiivse kberkaitse ha thtsamaks nii era-
kui avalikus sektoris. Philised ohud ei tulene enam teismelistest hkkeritest vi
pisikurjategijatest, kuigi ka need on veel olemas. Vastupidi, krgetasemelised kurjategijad ja
riigipoolt toetatud spioonid kujutavad suurimat ohtu ettevtetele ja valitsustele. Need
sissetungijad on eesktt keskendunud intellektuaalse omandi vargustele ja inimeste ja ride
petmisele.29
28
USA Kaitseministeeriumi sjaveleksikoni termin, arvutivrgus kttesaadav http://www.answers.com/topic/passive-defense (09.04.2013) 29
I. Lachow. Active Cyber Defence. A Framework for Policymakers. Center for a New American Security Policy Brief. February 2013, arvutivrgus kttesaadav http://www.cnas.org/files/documents/publications/CNAS_ActiveCyberDefense_Lachow_0.pdf (18.05.2013)
-
15
Passiivse kberkaitse meetmed ei vasta taolistele ohtudele.30 Passiivse kberkaitse
meetmetest on kberkeskkonnas vaid mningast kasu - tavaline kberpraktika nagu
turvaaukude parandamine, vib aidata vhendada madalatasemeliste rnnakute hulka.
Passiivse kberkaitse meetmed on vajalik osa heast kberkaitse programmist, kuid nad ei ole
enam piisavad vastamaks jrjest kasvavatele krgeltarenenud rnnakutele.31 Passiivne
kberkaitse, mis tugineb sissetungide ennetamisel vlisanduritele (perimeter sensors), ei paku
kllaldast kaitset jrjest keerulisemate kberrnnakute vastu.32
Rndav/aktiivne kaitse (Offencive Defence vi Active Defence) on enim arutluse all
olev vastumeede33, mida viks kasutada vastuseks kberrnnakule, kuid see on ksnes ks
vimalus paljudest. Seadusega lubatud vastumeetme piir on see, et ta peab olema
proportsionaalne kahjuga, mida rnnatav riik kannatas. 34
Aktiivne kberkaitse kui vljend iseloomustab hulka ennetavaid tegevusi, mis
tegelevad vastasega enne ja kberintsidendi ajal ning vivad suurendada pdlusi keeruliste
rnnakute avastamiseks ja neile vastamiseks.35 Isegi kui aktiivne kberkaitse on jrjest enam
levinud, siis arutelu selle le, millised meetmed on sobivad vi isegi seaduslikud, alles
algavad.36
Paljud arutelud antud teemal on keskendunud aktiivse kberkaitse agressiivsetele
klgedele, nagu niteks karistatav hack-back37 vi ennetav hkkimine.38
30
op. cit., (18.05.2013) 31
op. cit., (18.05.2013) 32 op. cit., (18.05.2013) 33
N. Burns & J. Price. Securing Cyberspace. A New Domain for National Security. The Aspen Institute 2012, lk 36 34
O. A. Hathaway, R. Crootof, P. Levitz, H. Nix, A. Nowlan, W. Perdue, J. Spiegel. The Law of Cyber-Attack.
California Law Review 2012, lk 879
35 I. Lachow. Active Cyber Defence. A Framework for Policymakers. Center for a New American Security Policy
Brief. February 2013, arvutivrgus kttesaadav http://www.cnas.org/files/documents/publications/CNAS_ActiveCyberDefense_Lachow_0.pdf (18.05.2013) 36
I. Lachow. Active Cyber Defence. A Framework for Policymakers. Center for a New American Security Policy Brief. February 2013, arvutivrgus kttesaadav http://www.cnas.org/files/documents/publications/CNAS_ActiveCyberDefense_Lachow_0.pdf (18.05.2013) 37
vastavalt http://www.techopedia.com/definition/23172/back-hack toodud seletusele nimetatakse seda ssteemi vastu suunatud rnnete tuvastamise protsessiks ning kui vimalik, siis tuvastatakse ka rnnaku pritolu. Sellest vib melda kui vastupidist tehnikat hkkimisele, kus turvakonsultandid ja teised professionaalid pavad ette nha rnnakuid ja neile adekvaatselt vastata. 38
I. Lachow. Active Cyber Defence. A Framework for Policymakers. Center for a New American Security Policy Brief. February 2013, arvutivrgus kttesaadav http://www.cnas.org/files/documents/publications/CNAS_ActiveCyberDefense_Lachow_0.pdf (18.05.2013)
-
16
2.2 Kberrelvad tsiviilkibes ja kriminaalmenetluse triistadena
heks kige selgemaks niteks kberrelvast peetakse 2010.a avastatud Stuxnet
nimelist arvutiviirust39, mille sattumine Iraani tuumaprogrammis kasutatavasse arvutissteemi
takistas uraani rikastamise protsessis kasutatavate tsentrifuugide td, lkates sedasi edasi
kogu tuumaprogrammi kivitamist.
T edasise lugemise hlbustamiseks on asjakohane mratleda kberrelva miste:
kberrelv on informatsioonitehnoloogial phinev ssteem, mis on kavandatud mne teise
informatsioonitehnoloogial phineva ssteemi lesehituse vi toimimise kahjustamiseks.40
Kberrelvadeks tuleb seega lugeda mistahes infotehnoloogilist laadi triista, mida
kasutatakse vrale arvutissteemile juurdepsu takistamiseks, selle toimimise
tkestamiseks, funktsionaalsuse muutmiseks vi arvutissteemi hvitamiseks. Eeltoodu
kinnitab ts juba varasemalt pstitatud hpoteesi, et KarS 208 thenduses nuhkvara,
arvutiviirus vi pahavara ei ole kski arvutiprogramm per se, vaid vastav tiitel omistatakse
mistahes arvutiprogrammile konkreetses kontekstis selle kasutamise lbi kuritegelikul
eesmrgil.
2.2.1 Turvatestimine ehk penetration testing
Turvalisuse hindamise kategooriad hlmavad turvaauditit (Security Audit),
haavatavuse hindamist (Vulnerability Assessment), eetilist hkkimist (Ethical Hacking) ja
turvatestimist (Penetration Testing).41
Allolevalt ksitletakse kahte philist vimalust, mille puhul on vimalik tuvastada
turvaauke ning testide tulemustele vastavalt parandada kaitsessteeme ettevtete arvutites.
Turvatestimine on protsess, tuvastamaks vrgustikus ilmnevaid nrku kohti. Enamik,
kui mitte kik valitsusasutused le maailma testivad jrjepidevalt oma vrgustike
kaitsemehhanisme, tagamaks turvalist kberkeskkonda. Kberrnnakud olid olemas juba
39
L. Ferran. New version of Stuxnet-Related Cyber Weapon Discovered.- ABC News, arvutivrgus kttesaadav http://usa.kaspersky.com/about-us/press-center/in-the-news/new-version-stuxnet-related-cyber-weapon-discovered (18.05.2013) 40
P. Lorents, R. Ottis. Knowledge based Framework for Cyber Weapons and Conflict. Conference on Cyber Conflict. Proceedings 2010. CCD COE Publications 2010, lk 139 41
Arvutivrgus kttesaadav http://www.eccouncil.org/courses/licensed_penetration_tester.aspx (13.04.2013)
-
17
kmme aastat tagasi, kuid nad ei phjustanud majanduslikku kaost ega hvardanud
rahvuslikku majandust nii nagu praegu. Tnapeval, kui organisatsioonide toimimine sltub
ha enam interneti kttesaadavusest, toimub infovahetus elektrooniliselt ja silmapilkselt.
Seega sltub ettevtete psimajmine vimekusest hinnata, varustada ja hoida
informatsiooni ning mahajmus info turvalisuse osas thendab sageli negatiivseid tagajrgi
ettevtte kasumlikkusele.42
Penetration testing ehk turvatestimine ning eetiline hkkimine43 on kesolevas ts
vlja toodud phjusel, et nimetatud meetodite kasutamise tingimuseks on teise arvuti
turvassteemi tungimine, mida saab teha, kasutades eelnevalt valmiskirjutatud pahavara vi
rnnates arvutissteemi viirustega, mis toovad vlja ettevtte arvutiturvalisuse nrgad kohad.
Nimetatud testimiste puhul on eelduseks pahavara kirjutamine ja kasutamine vi
turvassteemi tungimine, mis Eestis kehtiva karistusseadustiku -de 208 ja 216 snastuse
kohaselt on keelatud tegevused.
2.2.2 Eetiline hkkimine ehk ethical hacking
Eetiline hkkimine on laialt defineeritud kui metoodika, millega avastatakse olemasolevaid
haavatavaid kohti infossteemidega tegelevates keskkondades. Eetilised hkkerid kasutavad
tavaliselt samu triistu ja tehnikaid kui kuritegelikud rndajad, kuid nad ei kahjusta
sihtssteemi ega varasta informatsiooni, silitades seetttu ssteemi terviklikkuse ja
konfidentsiaalsuse44. Nende t on hinnata sihtmrgi turvalisust, ajakohastada ssteemi
vastavalt avastatud nrkadele kohtadele ja soovitada sobivaid parendusmeetmeid.45
Valitsused, tstusharud ja akadeemikud nustuvad, et omaenda andmeturvalisuse
proovilepanek lbi hindamise ja testimise on iga thusa andmeturvalisuse phikomponent.
Andmeturbe seisukohast on arvutissteemide turvalisuse tagamisest huvitatud kik isiku- ja
finantsandmete ttlemise eest vastutavad ettevtted ja organisatsioonid, kes turvaintsidendi
toimumise korral riskivad mainekahjuga. Sarnaselt sltub paljude riettevtete jtkusuutlikkus
olemasoleva risaladuse vi intellektuaalse omandi silimisest.46
42
op. cit.,(13.04.2013) 43
R. W. Taylor, T. J. Caeti, D. K. Loper, E. J. Fritsch, J. Liederbach. Digital Crime and Digital Terrorism. PearsonEducation Inc., Upper Saddle River, New Jersey 2006, lk 73-75 44
R. I. Raether Jr. Data Security and Ethical Hacking. Points to Consider for Eliminatig Avoidable Explosure. Business Law Today. September/October 2008, lk 55 45
Arvutivrgus kttesaadav http://www.eccouncil.org/courses/licensed_penetration_tester.aspx (13.04.2013) 46
R. I. Raether Jr. Data Security and Ethical Hacking. Points to Consider for Eliminatig Avoidable Explosure. Business Law Today. September/October 2008, lk 55
-
18
Turvatestimisi teostades kasutatakse pahavara vi viiruseid, mis iseenesest viksid
kahju tekitada, kuid mille eesmrk on siiski ksnes osutada ssteemis esinevatele nrkadele
kohtadele. Arusaadavalt viks olla karistatav ksnes selline pahavara ning viiruste levitamine
ning vrasse arvutivrku tungimine, mille eesmrgiks on tekitada kahju. Lubatud peaks
olema teatud juhtudel viiruste kirjutamine ning nende vimalik katsetamine ja mjude
lesmrkimine niteks kinnises arvutissteemis, vimalusega luua antiviiruseid juba
olemasolevatele viirustele.
Antiviiruste uurimise edendamise puhul on enim rgitud viiruste loomisest ja
uurimisest kontrollitud keskkonnas.47
Probleem on selles, et terminit viirus on
igustekstides tihti ebapiisavalt defineeritud. Adekvaatse definitsiooni puudumine viib
sinnamaani, et mitmed healoomulised ja vajalikud programmid langevad arvutiviiruse
definitsiooni alla. See ei thenda ilmtingimata, et nende programmide loojad ja jagajad saavad
karistada, kll aga thendab see, et seaduses on ebamrasust.48
2.3 Kberrelvade vimalik kasutamine Eesti iguskaitseorganite tegevuses ning
kberrelvade kasutamise nited erinevate riikide praktikate phjal
2.3.1 FinFisher
FinFisheri on vlja ttanud Briti ettevte Gamma Group ning selle reklaami-
materjalide jrgi on toode meldud sihtssteemidele ligipsemiseks, vimaldades koguda
nii vajalikku krpteeritud informatsiooni, kui ka le vtta ssteemi enda erinevad
funktsioonid.49 Turvaanaltikute vitel on FinFisher vimeline salvestama nakatunud
arvutite ekraanipilte, Skypei vestlusi, klahvivajutusi ning iseseisvalt sisse llitama
veebikaamera ja mikrofoni funktsioone.50
FinFisher on kommertskasutuses olev nuhkvaratoode, mida muuhulgas makse
erinevate riikide vimudele, lihtsustamaks kurjategijate jlgimist.51
47
M. Klang. A Critical Look at the Regulation of Computer Viruses. International Journal of Law and Information Technology. Vol. 11 No 2. Oxford University Press 2003, lk 180. 48
op. cit., lk 180 49
Valitsuste kasutatava vimsa nuhkvara jlgi leiti ka Eestist.- Arvutivrgus kttesaadav http://www.e24.ee/941062/valitsuste-kasutatava-voimsa-nuhkvara-jalgi-leiti-ka-eestist/ (14.04.2013) 50
op. cit., (14.04.2013) 51
RIA: Meil ei ole FinFisheri nuhkvaraga kokkupuuteid olnud.- Arvutivrgus kttesaadav http://www.e24.ee/1175412/ria-meil-ei-ole-finfisheri-nuhkvaraga-kokkupuuteid-olnud/ (14.04.2013)
-
19
Turbefirma Rapid7 spetsialistid tegid kindlaks nuhkvara struktuuri ja leidsid, et
FinFisheril on olemas vhemalt 11 Indoneesias, Kataris, Etioopias, Tehhis, Mongoolias,
Ltis, Araabia hendemiraatides, USAs ja Eestis asuvat serverit.52
Peale seda, kui tuvastati, et ks nuhkvara kasutav server asub videtavalt Eestis, ei ole
Siseministeerium antud infot kinnitanud ega ka mber lkanud. Selle asemel on antud
mitmetitlgendatav vastus- Eesti suhtub kindlasti tsiselt kikidesse taolistesse
indikatsioonidesse nimetatud tarkvarade vimalikust kasutamisest Eestis. Kui tegemist on
mistahes ebaseadusliku tegevusega, siis kavatseb Eesti riik sellist tegevust kindlasti takistada.
Eesti riik ise kasutab inimeste turvalisuse tagamiseks neid vahendeid, mida on eesmrgi
saavutamiseks vaja. Nende vahendite loetelu ei avaldata, kuna see annab levaate riigi
vimekusest, vastas sisejulgeolekupoliitika asekantsler Erkki Koort E24 ksimusele, kas
Eesti valitsusasutused kasutavad FinFisheri nuhkvara kriminaalide jlgimiseks.53
Lisaks vimatusele kinnitada nimetatud tarkvara kasutamist vi mittekasutamist
viitega vimalikule riigisaladusele, ei saaks riik sellele ksimusele vastata jaatavalt ka
phjusel, et juhul kui taolist nuhkvara kasutada, siis oleks see kasutamine karistatav KarS
208 jrgi. Seda enam ei saa uurimisasutused antud nuhkvara kasutamist jaatada, kuna see
thendaks, et riikliku julgeoleku tagamiseks ning kriminaalide jlgimiseks rikuks riik ise
seadust, mille titmist ta oma kodanikelt nuab. Tsiteeritud ajalehevljavtete phjal jb
siiski mningane kahtlus, et riik kas siis FinFisher nuhkvara vi mnda muud sarnase toimega
nuhkvara oma uurimisorganite kaudu kasutab.
2.3.2 Kberkaitseppused
Vaadates tulevikku peavad sja planeerijad olema vimelised jljendama kberrn-
nakuid ja testima kberkaitset turvalises laboratooriumikeskkonnas, ohustamata
operatsioonissteemide terviklikkust. 54
Kberkaitseppuse eesmrgiks on suurendada arusaama rahvusvahelisest
kberkeskkonnast ja suurendada rahvusvahelist koostd tehniliste intsidentidega
toimetulemiseks.55
52
op. cit. 53
Siseministeerium ei kinnitanud ega lkanud mber FinFisheri nuhkvara vimalikku kasutamist.- Arvutivrgus kttesaadav http://www.e24.ee/941996/siseministeerium-ei-kinnitanud-ega-lukanud-umber-finfisheri-nuhkvara-voimalikku-kasutamist/ (14.04.2013) 54
K. Geers. Strategic Cyber Security. CCD COE Publication 2011, lk 50-51
-
20
heks levinud viisiks teadlikkuse tstmiseks ja koost harjutamiseks on lbi aegade
olnud ppuste lbiviimine. Viimastel aastatel on hppeliselt kasvanud justnimelt kberkaitse
alaste ppuste korraldamine arenenud maades ja rahvusvahelistes organisatsioonides.
Kberppuste vallas on olnud mitmes mttes teenitajaks Tallinnas tegutsev NATO
Kooperatiivne Kberkaitse Kompetentsikeskus, mis korraldab alates 2010. aastast
rahvusvahelist kberkaitseppust algse nimega Baltic Cyber Shield (BCS) 56. Alates 2012.a
on rituse nimetus LockedShields. Tegemist on samaaegselt umbkaudu kmnes Euroopa
riigis spetsiaalselt harjutuse otstarbeks ehitatud arvutivrgus peetava n live-fire
kberkaitse ppusega, mis thendab, et rnded kaitstava infrastruktuuri pihta pannakse toime
reaalajas ja tegelike arvutiprogrammide abil.
ppusel osalevad erinevad meeskonnad, kelledest hed panevad toime kberrnde
(red team), teised meeskonnad kaitsevad kokkulepitud IT-ssteemi antud rnde eest (blue
teams). Kberkaitseppuse eesmrgiks on reaalajas testida infossteemi valdajate vimekust
seda rnnete eest kaitsta ning selle eelduseks on rndemeeskonna poolt rnnete
toimepanemine. Ehk siis kasutab rndemeeskond muuhulgas pahavara levitamist.
Kesoleva t eesmrki silmas pidades peab aga nentima, et ka taolise live-fire ppuse
lbiviimine ei saa olla Eestis lubatud. Vaatamata antud ppuse eesmrgile, mis ei ole
kuritegelik, vaid ilmselt siiski tulevikku suunatud ning meldud turvalisuse tagamiseks,
puudub Eesti seadusandluses ste, mis vimaldaks antud ppuse lbiviimist. Eeldab ju antud
ppus pahavara olemasolu ja levitamist ning teise arvutissteemi tungimist.
2.3.3 Kberrelvade kasutamine USA ja Iraani nite phjal- Stuxnet, DuQu,
Fame
Eestis praktiseeritav nulltolerants igasuguse nuhkvara, pahavara ja viiruse kitlemisel,
olenemata taolise tegevuse eesmrgist, ei ole ettengelik. On vhetenoline, et Eesti hakkaks
vlja ttama viiruslikku pahavara ehk kberrelva sarnaselt Ameerika hendriikidega, kuid
teatud juhtudel riikliku julgeoleku vajadustest lhtuvalt ei peaks vga spetsiifilistel
eesmrkidel loodud nuhkvara ja pahavara loomine ning levitamine olema karistatav.
55
Arvutivrgus kttesaadav http://www.ccdcoe.org/172.html (14.04.2013) 56
Arvutivrgus kttesaadav http://www.ccdcoe.org/publications/BCS2010AAR.pdf (14.04.2013)
-
21
Allpool toodud nidete phjal saab teha jrelduse, et riigid loovad ning kasutavad
kberrelvi teiste riikide vastu, samuti tiustavad antud relvi pidevalt ning neid on ha raskem
tuvastada.
2010.a juunis hakkasid Iraani tuumaprogrammi jaoks uraani puhastavad tsentrifuugid
arusaamatutel phjustel kontrolli kaotama ja purunema. Peagi sai selgeks, et kahju phjustas
arvutiviirus nimega Stuxnet, mida hegi viirusetrje programmiga ei avastatud. Selle
avastamiseks oli vaja kahtlustele jrgnenud phjalikku ekspertanalsi. Kuna keegi end
Stuxneti autoriks ei soovinud tunnistada ja see kahjustas maailmas laialt kasutusel olevaid
Siemensi valmistatud tstuslikke kontrollseadmeid, veti viirus mureliku thelepanu
fookusesse. Uurimise tulemusel selgus, et kurja tegev programm kasutas Windows
operatsioonissteemi praktiliselt tundmatut turvaauku.57
Aasta prast Stuxneti avastamist ji Budapesti Tehnoloogialikooli uurijatele silma
seni tundmatu ja salaja andmeid koguv programm, mis sai nimeks DuQu. Koodi analsijad
mrkasid llatavalt palju sarnasusi Stuxnetiga, kuigi DuQu lesandeks polnud midagi
lhkuda. Arvatakse, et tegemist oli avastamise hetkeks vhemalt mned aastad varjatult
tegutsenud programmiga, mille loojad asuvad hes kohas. Vimalik, et tegemist oli teineteise
tegevust tiendama loodud paarikesega Stuxnet pidi lhkuma tstuslikke seadmeid ja
DuQu aitama kogutud andmete abil juhtida selle tegevust.58
2012.aastal kirjutab Briti rileht Financial Times (FT) viitega IT-asjatundjatele, et
kbersja on tstnud uuele tasandile Flame-nimeline viirus, mis jlgib ja kogub andmeid
Iraani tuumauuringute kohta.59
See tundub olevat kui spionaai ja jrelevalve triist, mis on
suunatud Iraanile, ning mis oskab varastada andmeid ja pealt kuulata telefoniknesid.60
57
Viirustrjeprogrammid mureliku thelepanu fookuses.- ERR teadusuudised 06.06.2012. Arvutivrgus kttesaadav http://forte.delfi.ee/news/digi/viirusetorjeprogrammid-mureliku-tahelepanu-fookuses.d?id=64497264 (13.04.2013) 58
Viirustrjeprogrammid mureliku thelepanu fookuses. -ERR teadusuudised 06.06.2012. Arvutivrgus kttesaadav http://forte.delfi.ee/news/digi/viirusetorjeprogrammid-mureliku-tahelepanu-fookuses.d?id=64497264 (13.04.2013) 59
FT: Superviirus jlgib Iraani tuumaprogrammi. 29.05.2012. Arvutivrgus kttesaadav http://www.delfi.ee/news/paevauudised/valismaa/ft-superviirus-jalgib-iraani-tuumaprogrammi.d?id=64465298 (13.04.2013) 60
R. OHarrow Jr. Understanding cyberspace is key to defending against digital attacks.- The Washington Post 03.06.2012. Arvutivrgus kttesaadav http://www.washingtonpost.com/investigations/understanding-cyberspace-is-key-to-defending-against-digital-attacks/2012/06/02/gJQAsIr19U_story_1.html (14.04.2013)
-
22
Flamei phjustatud avalik thelepanu ajendas USAd ja Israeli les tunnistama, et
nemad olid Stuxneti loomise taga. Videtavalt kaotasid nad Iraani tuumaprogrammi jaoks
loodud viiruse le kontrolli ja see hakkas levima. President George W. Bushi ajal loodud ja
Barack Obama poolt jtkatud viiruseid valmistav katteprogramm kannab koodnime
Olmpiamngud.61
Peagi prast viiruste nagu Stuxnet ja selle jreltulija Flame, paljastamist, sattus
USA leriigiline meediavljaanne The Washington Post loole, mis vidab, et lisalajane
Defense Advanced Research Projects Agency (DARPA) valmistub testima mehitamata
kberrnnet, mis kivitab ennast ise, vajamata selleks inimese kontrolli.62 Plan X-iks
nimetatud ettevtmine on Pentagoni ksuse Defense Advanced Research Projects Agency
projekt, mis keskendub eksperimentaalsetele pingutustele ning millel on vtmeroll
arvutivimekuse rakendamisel, aitamaks sjavel efektiivsemalt sdu pidada.63 Plan X
arhitektid loodavad arendada ssteeme, mis suudaksid anda lemustele vime lbi viia
vlkkiireid rnnakuid ja vasturnnakuid, kasutades etteplaneeritud stsenaariume, mis ei hlma
inimoperaatorite poolt ksitsi koodide kirjutamist, kuivrd viimast peetakse liialt aeglaseks.64
Ainuksi laltoodud nide, kus Ameerika hendriigid ning Iraan mnsid kberrelva
kasutamist teise riigi vastu, annab mrku riikide tasemel praktikast pahavara loomisel ning
lkkab mber vimaluse nimetada nii pahavara kui ka viiruste loomist, kirjutamist ja
levitamist alati kuritegelikuks.
61
vt viide 58, (13.04.2013) 62
J. Wolverton. The Pentagon is developing cyberweapons that launch without human intervention.- The New American 22.06.2012. Arvutivrgus kttesaadav http://thenewamerican.com/usnews/item/11810-the-pentagon-is-developing-cyberweapons-that-launch-without-human-intervention (23.04.2013) 63
E. Nakashima. With Plan-X, Pentagon seeks to spread U. S. Military might to cyberspace.- The Washington Post 30.05.2012. Arvutivrgus kttesaadav http://www.washingtonpost.com/world/national-security/with-plan-x-pentagon-seeks-to-spread-us-military-might-to-cyberspace/2012/05/30/gJQAEca71U_story.html (23.04.2013) 64
E. Nakashima. With Plan-X, Pentagon seeks to spread U. S. Military might to cyberspace. -The Washington Post 30.05.2012. Arvutivrgus kttesaadav http://www.washingtonpost.com/world/national-security/with-plan-x-pentagon-seeks-to-spread-us-military-might-to-cyberspace/2012/05/30/gJQAEca71U_story.html (23.04.2013)
-
23
3. KARISTUSSEADUSTIKU KAASAJASTAMINE
3.1 Karistusseadustiku 208 ja 2161 kujunemine
T uurimisobjektiks oleva KarS-i 208 koosseis sisaldus karistusseadustikus
alates selle justumisest 01.09.2002.a. Seaduse algse snastuse kohaselt oli kriminaliseeritud
vaid arvutiviiruse levitamine jrgmises snastuses:
208. Arvutiviiruse levitamine
(1) Arvutiviiruse levitamise eest - karistatakse rahalise karistuse vi kuni heaastase
vangistusega.
(2) Sama teo eest, kui see on toime pandud:
1) vhemalt teist korda vi
2) olulise kahju tekitamisega, -
karistatakse rahalise karistuse vi kuni kolmeaastase vangistusega.
21.02.2008. aastal vastu vetud karistusseadustiku muutmise seadusega65
muudeti knealust koosseisu ning lisati karistatavate tegevuste hulka ka nuhkvara ja pahavara
levitamine.
Karistuse osas karmistati ettenhtud vabadusekaotuslikku karistusmra helt
aastalt kolmele aastale (teises likes kvalifitseeritud koossisu puhul kolmelt aastalt viiele
aastale). Veel lisati paragrahvile kolmas ja neljas lige, mis vastavalt ngid ette vastutuse
juriidilise isiku teo eest ning andsid kohtule vimaluse kohaldada steo toimepanemise
vahetuks objektiks olnud eseme konfiskeerimist.
2008.a Riigikogule esitatud karistusseadustiku muutmise seaduse eelnu seletuskirja
kohaselt oli muudatuste eesmrgiks tiendada KarS-i selliselt, et see oleks koosklas
nuetega, mis on stestatud Euroopa Nukogu arvutikuritegevusvastase konventsioonis
(Convention on Cybercrime) ja EL nukogu 24. veebruari 2005. a raamotsuses infossteemide
vastu suunatud rnnete kohta 2005/222/JSK66.67
65
Karistusseadustiku muutmise seadus.- RT I 2008, 13, 87, arvutivrgus kttesaadav https://www.riigiteataja.ee/akt/12937096 (17.05.2013) 66
EL nukogu 24. veebruari 2005. a raamotsuses infossteemide vastu suunatud rnnete kohta 2005/222/JSK. Arvutivrgus kttesaadav http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:069:0067:0071:ET:PDF 67
Karistusseadustiku muutmise seaduse eelnu nr 166 SE II-1 seletuskiri, arvutivrgus kttesaadav http://www.riigikogu.ee/?page=eelnou&op=ems2&emshelp=true&eid=197158&u=20130517132004 (17.05.2013)
-
24
3.1.1 Koosseisude anals
Snastuse poolest on KarS 208 esimene lige esmapilgul selge ja
hemtteline. Edaspidises soovib t autor thelepanu prata, et niisugune esmamulje vib
olla petlik ning grammatiliselt selge normi taga peitub hulgaliselt ksimusi, millele
ammendavad vastused tna puuduvad.
3.1.1.1 Nuhkvara, pahavara ja arvutiviiruse levitamine
Nuhkvara, pahavara ja arvutiviiruse levitamise paragrahv paikneb
karistusseadutiku varavastaste stegude peatki omandi vastu suunatud stegude all (13.ptk
I jagu). Seadus kirjeldab tegu jrgmiselt.
208. Nuhkvara, pahavara ja arvutiviiruse levitamine
(1) Nuhkvara, pahavara vi arvutiviiruse levitamise eest karistatakse rahalise karistuse
vi kuni kolmeaastase vangistusega.
(2) Sama teo eest, kui see on toime pandud:
1) vhemalt teist korda vi
2) kui sellega on tekitatud oluline kahju,
karistatakse rahalise karistuse vi kuni viieaastase vangistusega.
(3) Kesoleva paragrahvi likes 1 vi 2 stestatud teo eest, kui selle on toime pannud
juriidiline isik,
karistatakse rahalise karistusega.
(4) Kohus vib kohaldada kesolevas paragrahvis stestatud steo toimepanemise
vahetuks objektiks olnud eseme konfiskeerimist vastavalt kesoleva seadustiku -s 83
stestatule.
Paragrahviga kaitstav igushve on seaduslike arvutikasutajate igusprane ootus
arvutite takistamatuks kasutamiseks.68
Koosseisutbilt on esimese like nol tegemist formaalse ehk teodeliktiga, mis
thendab, et lpuleviidud tegu ei eelda kahjuliku tagajrje tuvastamist.
Koosseisu objektiivne klg seisneb nuhkvara, pahavara vi arvutiviiruse levitamises.
Isiku suhtes sdimistva kohtuotsuse tegemiseks on seega vajalik tendada, et tegemist on
nuhkvara, pahavara vi arvutiviirusega ja tuvastada levitamise fakt. Levitamise miste kohta
68
J. Sootak, P. Pikame. Karistusseadustik. Kommenteeritud vljaanne. 3. trkk, Tallinn: Juura 2009, lk 559
-
25
on prof. J.Ginter kirjutanud, et see thendab vastava programmi edastamist vhemalt hte
arvutisse, mille valdaja ei ole selleks nusolekut andnud.69
Keerulisem on olukord arvutiprogrammide liigitamisega nuhkvaraks, pahavaraks vi
arvutiviiruseks.
Nuhkvara (spyware) all peetakse silmas kahjulikku arvutiprogrammi, mis kogub
arvutikasutaja kohta informatsiooni ilma tema teadmata ning edastab seda nuhkvara
paigaldajale vi kolmandale isikule.70
Arvutiviirus (computer virus) thendab KarS 208 kontekstis mis tahes kahjulikku
arvutiprogrammi, mis on vimeline end oma algsel vi modifitseeritud kujul ise vi teiste
arvutiprogrammide abil arvutivrgu kaudu edasi levitama ning hirima arvutite kasutamist.
Hirimise all peetakse silmas mh arvutis olevate andmete vi programmide muutmist vi
kustutamist, kasutades ra arvuti ressursse andmete silitamiseks, edastamiseks vi
ttlemiseks.71
Pahavara (malware) puhul on tegemist programmiga, mis kasutaja teadmata muudab
arvutissteemi tarkvaras seadistusi vi muul viisil kahjustab andmetesse sekkumise teel
arvutissteemi. Siia alla kuuluvad programmid, mis koguvad kasutaja arvutissteemist
informatsiooni niteks klaviatuuriklahvide vajutuste kohta (keylogger) ning edastab need
andmed programmis mratud kolmandatele isikutele. Lisaks loetakse pahavaraks
programmid, mille abil kolmas isik saab kontrolli arvutissteemi le kasutaja teadmata.
Omades kontrolli arvuti le, saab seda kasutada niteks rmpsposti saatmiseks vi DDoS
rnnete teostamiseks.72
Kui termin pahavara tavakasutuses hlmab ka arvutiviiruseid ja nuhkvara, siis KarS
208 kontekstis on pahavara kasutusel kitsamas mistes, thistamaks kiki muid kahjulikke
igusprase arvutikasutaja teadmata arvuti kahjustamiseks vi kuritarvitamiseks kasutatavaid
programme, mis ei ole nuhkvara ega arvutiviirus. Pahavara nidetena vib nimetada nt
programme, mis end levitavad, kasutamata selleks teiste programmide muutmist (uss, ingl k
worm; bakter e laviinkiri, ingl k bacterium, chain letter); troojalasi (ingl k Trojan horse);
komune (ingl k rootkit).73
Subjektiivne klg eeldab phikoosseisus tahtlust ja koosseis loetakse tidetuks,
kui isik on toime pannud levitamisteo vhemalt kaudse tahtlusega.
69
J. Sootak, P. Pikame. Karistusseadustik. Kommenteeritud vljaanne. 3. trkk, Tallinn: Juura 2009, lk 560 70
op. cit., lk 560 71
op. cit., lk 560 72
op. cit., 560 73
J. Sootak, P. Pikame. Karistusseadustik. Kommenteeritud vljaanne. 3. trkk, Tallinn: Juura 2009, lk 560
-
26
3.1.1.2 Ettevalmistamistegu (KarS 208 phjal)
Kesoleval ajal sisaldab karistusseadustik kokku viite steokoosseisu74, mille
hiskonnaohtlikkuse astet on seadusandja hinnanud piisavalt krgeks, et kriminaliseerida ka
nende tegude ettevalmistamine. Arvutikuritegude ettevalmistamine muutus karistatavaks
2161 llitamisega karistusseadustikku.
2161. Arvutikuriteo ettevalmistamine
(1) Kesoleva seadustiku -s 206, 207, 208, 213 vi 217 stestatud kuritegude
toimepanemise eesmrgil selleks vastavalt kavandatud vi kohandatud seadme,
programmi, ka salasna, kaitsekoodi vi muude arvutissteemile juurdepsuks vajalike
andmete valmistamise, valdamise, levitamise vi muul viisil kttesaadavaks tegemise
eest, samuti muude kesolevas paragrahvis nimetatud kuritegude toimepanemiseks
vajalike andmete kasutamise, levitamise vi muul viisil kttesaadavaks tegemise eest
karistatakse rahalise karistuse vi kuni kolmeaastase vangistusega.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik,
karistatakse rahalise karistusega.
(3) Kohus vib kohaldada kesolevas paragrahvis stestatud steo toimepanemise
vahetuks objektiks olnud eseme konfiskeerimist vastavalt kesoleva seadustiku -s 83
stestatule.
Paragrahviga kaitstav igushve on arvutissteemi omaniku vi igusprase kasutaja
huvi arvuti vi arvutissteemi takistamatuks kasutamiseks.75
Koosseisu objektiivne klg- karistatav ettevalmistamine, mis on seotud
arvutiandmetesse sekkumise, arvutissteemi toimimise takistamise, arvutiviiruse levitamise,
arvutikelmuse ja arvutissteemi ebaseadusliku kasutamisega. Knesoleva kuriteokoosseisu
objektiivse klje moodustab niisuguste andmete, programmide, seadmete valmistamine,
kasutamine, levitamine vi muul viisil kttesaadavaks tegemine, mille eesmrgiks on vi
74
Peale arvutikuritegude ettevalmistamise on karistatavad veel: - Narkootilise ja pshhotroopse aine levitamise ettevalmistamine ( 189); - Terrorikuriteo ettevalmistamine ja leskutse selle toimepanemisele ( 237
2);
- Massilise korratuse organiseerimine ja ettevalmistamine ning leskutse selles osalemisele ( 238); - Raha, pangakaardi ja muu maksevahendi, vrtpaberi, maksumrgi, postimaksevahendi ja selle
jljendi ning proovijrelevalve mrgise vltsimise ettevalmistamine ( 340) 75
J. Sootak, P. Pikame. Karistusseadustik. Kommenteeritud vljaanne. 3. trkk, Tallinn: Juura 2009, lk 589
-
27
mille tphimte on rnnete toimepanemine arvutissteemide vastu, sh rnded andmete ja
arvutissteemi toimimise vastu. Siia alla kuuluvad kikvimalikud hkkimisriistad (hacking
tools), aga ka arvutiviirused, nuhkvara ja pahavara, mida kasutatakse selleks, et toime panna
vi vimaldada rndeid arvutissteemi vastu, samuti arvutissteemis sisalduvate andmete
vastu.76
Subjektiivne klg- antud koosseisu suhtes tervikuna kehtib subjektiivse klje pealt
vhemalt kaudse tahtluse nue ehk teo toimepanija peab tegutsema vhemalt kaudse
tahtlusega kigi koosseisu asjaolude suhtes. Paragrahvi esimese like subjektiivse klje
elemendina on nimetatud tegutsemist teatud eesmrgiga, mis thendab, et subjektiivsest
kljest nuab KarS 2161 lg 1 krgeimat tahtluse vormi ehk kavatsetust.
Samas teos nii KarS 216 kui 208 tunnuste esinemisel on 208 erinormiks, st kui on
tuvastatud nuhkvara, pahavara vi arvutiviiruse levitamine, siis kvalifitseeritakse tegu 208
jrgi. Kui tarkvara ei ole veel jutud levitada, kuid tegemist on tarkvara loomisega selle
levitamise eesmrgil ning levitamise ettevalmistamisega, kuulub tegevus subsumeerimisele
2161 jrgi.77
3.2 EN Arvutikuritegevusevastase konventsiooni artikkel 6.2
Antud konventsiooni artikkel 6 esimene lige stestab seadmete kuritarvitamise, mille
kohaselt konventsiooniosaline vtab seadusandlikke ja muid meetmeid, et oma seaduses
mratleda kuriteona tahtlikult ja ilma igusliku aluseta toimepandud jrgmised teod:
a) tootmine, mk, kasutamiseks hankimine, import, turustamine vi muul viisil
kttesaadavaks tegemine, kui nimetatud tegevuse objekt on:
i) seade vi arvutiprogramm, mis on kavandatud vi kohandatud eelkige
artiklites 25 nimetatud tegude toimepanemiseks;
ii) arvutiparool vi juurdepsukood vi sama laadi andmed, mille abil vib
juurde pseda kogu arvutissteemile vi selle osale, et kasutada seda artiklites 25
nimetatud tegude toimepanemiseks;
76
op. cit., lk 589-590 77
op.cit., lk 589-590
-
28
b) punkti a alapunktides i ja ii nimetatud toote valdamine kavatsusega kasutada seda
artiklites 25 nimetatud teo toimepanemiseks. Konventsiooniosaline vib oma seaduse
kohaselt taotleda, et kriminaalvastutusele vtmise kvalifitseeriva asjaoluna arvestataks
mitme sellise toote valdamist.78
Artikkel 6 (2) stestab, et kesoleva artikli alusel ei kohaldata kriminaalkaristust, kui
likes 1 nimetatud tootmise, mgi, kasutamiseks hankimise, impordi vi turustamise vi
muul viisil kttesaadavaks tegemise vi valdamise eesmrk on niteks arvutissteemi lubatud
katsetamine vi arvutissteemi kaitse, mitte konventsiooni artiklites 25 nimetatud teo
toimepanemine.
Artiklil 6 on ka kolmas lige, mis annab konventsiooniosalisele riigile iguse jtta
lige 1 kohaldamata, kui reservatsioon ei hlma like 1 punkti a alapunktis 2 nimetatud
toodete mki vi turustamist vi muul viisil kttesaadavaks tegemist. Kuna Eesti vastava
reservatsiooni tegemise igust kasutanud ei ole (art 6 lg 1 punkti a mlemad alapunktid i ja ii
sisalduvad KarS -s 2161), siis artikli 6 kolmandal likel kesolev t pikemalt ei peatu.
Tulles tagasi artikli 6 teise like juurde, neme, et konventsioon hemtteliselt
vlistab selle stte kohaldumise niisugustele seadmetele ja arvutiprogrammidele, mille
eesmrgiks on arvutissteemi lubatud katsetamine vi arvutissteemi kaitse. Vastavalt EN
Arvutikuritegude vastase konventsiooni selgitavale raportile79
phineb kogu arvutikuritegude
toimepanemiseks sobilike vahendite ja triistade kitlemise karistatavuse kontseptsioon
likes 1 kasutataval mistel ilma igusliku aluseta. See thendab, et niteks
arvutiprogrammi, mis on kavandatud arvutikuritegude toimepanemiseks on lubatud toota,
ma vi kasutamiseks hankida, importida, turustada vi teha muul viisil kttesaadavaks (st
KarS-i mistes levitada), kui selleks on iguslik alus.
Autor nustub, et probleemi olemuse seisukohast on oluline lahendada ksimus, kas
konventsiooni artikli 6 lg 1 punkti a mistes tootmine, mk, kasutamiseks hankimine,
import, turustamine vi muul viisil kttesaadavaks tegemine on vrdsustatav
karistusseadustikus kasutatava levitamise mistega ehk thendab vastava programmi
edastamist teise arvutisse, mille valdaja ei ole selleks nusolekut andnud. Autori arvates
viitab termin muul viisil kttesaadavaks tegemine vimalusele ksitleda seda
78
Arvutikuritegevusevastane konventsioon.- RT II 2003, 9, 32, arvutivrgus kttesaadav: https://www.riigiteataja.ee/akt/550359 (24.03.2013) 79
Convention on Cybercrime Protocol on Xenophobia and Racism and Explanatory Report. Committee of Ministers of the Council of Europe at its 109th Session, 8 Nov 2001
-
29
samathenduslikuna levitamisega. Seda seisukohta toetab ka KarS 2161 lg 1, mis rgib
objektiivse koosseisu kirjeldamisel nii levitamisest kui muul viisil kttesaadavaks tegemisest,
kasutades seejuures sidesna vi ( levitamise vi muul viisil kttesaadavaks tegemise
eest). Sellest tulenevalt on ksimus konventsiooni artikli 6 likes 2 ettenhtud testimise
karistatavuse vljaarvamise puudumise kohta karistusseadustikust iguslikult asjakohane.
Eesti on Euroopa Nukogu Arvutikuritegevusevastase konventsiooni le vtnud
siseriiklikusse seadusandlusesse, tiendades karistusseadustikku konventsioonis toodud
steokoosseisudega. Karistusseadustiku kohaselt on enamus arvutikuritegude phikoosseise
teodeliktid ehk karistatavad sltumata tagajrje saabumisest. 2008.a Karistusseadustiku
muutmise seaduse eelnu seletuskirja80 kohaselt oli seadusemuudatuse eesmrgiks tiendada
KarS-i selliselt, et see oleks koosklas nuetega, mis on stestatud Euroopa Nukogu
arvutikuritegevusvastase konventsioonis. Autori hinnangul ei ole soovitud tulemust
sajaprotsendiliselt saavutatud ja tnast karistusigust, eelkige KarS - d 208 ja 2161 silmas
pidades puuduvad meie kberturbespetsialistidel vimalused kasutada konventsioonist
tulenevat vabadust kidelda arvutissteemide kaitsmisel vi testimisel pahavara. Samuti on
ohus kberkaitsevaldkonna ttajad, kelle lesandeks on tagada (aktiivse) kaitse vimekus
kberrnnete puhuks ning kes sellel eesmrgil otsivad turvassteemides leiduvaid varjatud
vigu mittekriminaalsel eesmrgil loodud pahavara abil, rikkudes tahtmatult seadust ja pannes
potentsiaalselt toime KarS 208 ja 2161 jrgi kvalifitseeritava steo.
3.3 iguslikud ksimused
Kesoleva uurimuse kigus on autorile selgeks saanud, et KarS 208 ja 2161 ebakla
EN Arvutikuritegevuse vastase konventsiooni artikli 6 teise likega ja sellest tekkida vivate
praktiliste probleemide ring ei ole ainus, mis tnasel peval kehtivat KarS -i 208 mbritseb.
Kberturbespetsialistide hirm saada kriminaalkorras karistatud arvutissteemi lubatud
katsetamise vi kaitse eesmrgil toimepandud teo eest on t lbiv teema, kuid sellega
lahutamatult seotud on mningad teised probleemid nagu niteks jlitustegevuse lubatavus
arvutissteemi kaudu vi arvutiprogrammi mratlemine pahavarana. Neid ja mningaid
muid praktilisi probleeme analsib t alljrgnevalt.
80
Karistusseadustiku muutmise seaduse eelnu nr 166 SE II-1 seletuskiri, arvutivrgus kttesaadav http://www.riigikogu.ee/?page=eelnou&op=ems2&emshelp=true&eid=197158&u=20130517132004 (17.05.2013)
-
30
3.3.1 KarS -i 208 eristamine -st 207 RK lahendi phjal
T koostamise ajal ainsaks KarS -i 208 koosseisu ksitlevaks Riigikohtu
seisukohaks on Riigikohtu Kriminaalkolleegiumi 25.02.2009 lahend 3-1-1-85-0881
.
Kaasuse asjaoludest tuleneb, et J. K. anti kohtu alla sdistatuna KarS 217 lg 2
p 2 ja 208 lg 2 p-de 1 ning 2 jrgi.
Karistusseadustiku 208 lg 2 p-de 1 ja 2 jrgi sdistati J. K.-d selles, et tema,
omamata luba Rapla Maavalitsuse arvutivrgu kasutamiseks, eesmrgiga sulustada
maavalitsuse meiliserver, ajavahemikul 8.-14. novembrini 2005, sai oma koduarvutist
interneti kaudu lbi tulemri ligipsu Rapla Maavalitsuse arvutivrku. Kasutades
maavalitsuse serveri e-posti teenust ja e-posti kontosid ning programme Mozilla Thunderbird,
Kmail ja Evolution, saatis J. K. Rapla Maavalitsuse e-posti aadressile 2-sekundilise
intervalliga elektronkirju, mille tulemusena ummistusid maavalitsuse ttajate kirjakastid.
Kokku saatis J. K. maavalitsuse e-posti aadressidele 1039 laviinkirja, millest 986 kirjale oli
lisatud manus. J. K. tegevuse tagajrjel ei judnud ttajateni talaselt vajalik informatsioon
ja puudus vimalus elektronkirjade saatmiseks, mis hiris td ja phjustas olulise
materiaalse kahju summas 31 633.52 krooni. Lisaks tekitas sdistatav moraalset kahju
summas 50 000 krooni, kuna vhenes maavalitsuse autoriteet riigiasutuste, omavalitsuste ja
teiste asutuste ning kodanike ees.
Prnu Maakohtu 23. aprilli 2008. a otsusega tunnistati J. K. sdi KarS 207
jrgi ja talle misteti rahaline karistus 250 pevamra (12 500 krooni). Maakohus nustus
kaitsjaga selles, et J. K. tegevus elektronkirjade saatmisel ei olnud ksitatav arvutiviiruse
levitamisena. Sdistatav ei loonud kahjulikku programmi ega muutnud arvutiprogramme
Kmail, Evolution ja Mozilla Thunderbird muu programmi levitamise eesmrgil. Sel phjusel
puudub alus ksitada tema poolt massilist elektronkirjade saatmist arvutiviiruse levitamisena.
Sdistuses KarS 217 lg 2 p 2 jrgi misteti J. K. igeks.
Prokurri apellatsioonis taotleti maakohtu otsuse thistamist ja J. K.
sditunnistamist KarS 208 jrgi.
Kolleegiumi seisukoht (lahendit on refereeritud eelkige KarS -ga 208
seonduvas osas):
81
RKKK 3-1-1-85-08 25.02.2009, arvutivrgus kttesaadav http://www.nc.ee/?id=11&indeks=0,1,69,14211,14619,14660,14661&tekst=RK/3-1-1-85-08 (18.05.2013)
-
31
Kuni 24. mrtsini 2008 kehtinud redaktsioonis ngi KarS 207 ette vastutuse
arvutivrgu vi arvutissteemi henduse rikkumise vi tkestamise eest, KarS -s 208 aga
stestati vastutus arvutiviiruse levitamise eest. Mlema steokoosseisu puhul on kaitstavaks
igushveks arvutivrkude ja arvutissteemide kasutajate igusprane ootus nende vrkude ja
ssteemide takistamatuks kasutamiseks. Karistusseadustiku -s 207 stestatud objektiivne
koosseis seisneb andmesidehenduse vimaluse tielikus lubamatus katkestamises vhemalt
kahe arvutivrgus oleva arvuti vahel (henduse rikkumine) vi andmesidehenduse kiiruse
lubamatus vhendamises (henduse tkestamine). Karistusseadustiku -s 208 sisalduva
objektiivse koosseisu kirjeldus aga seisneb sellise arvutiprogrammi levitamises, mis vib end
algsel vi modifitseeritud kujul ise vi teiste programmide abil arvutivrgu kaudu edasi
levitada, hirides sellisel viisil arvutite kasutamist. Sisuliselt takistatakse vi hiritakse
mlemal juhul objektiivses koosseisus kirjeldatud tegude toimepanemisega arvuti,
arvutivrgu vi -ssteemi kasutamist ning toimimist. Maakohus subsumeeris sdistusaktis
kirjeldatud faktilised asjaolud KarS 207 alla, asudes seisukohale, et elektronkirjade
masspostitus ei ole vaadeldav arvutiviiruse levitamisena KarS 208 mttes. Lhtudes
arvutiviiruse mistest ei lugenud kohus tuvastatuks, nagu oleks sdistatav loonud kahjuliku
programmi vi muutnud sdistuses loetletud programme muu programmi levitamise
eesmrgil. Ka sdistuses toodud teokirjelduses heideti J. K.-le ette arvutissteemi tavaprase
toimimise hirimist ja takistamist, mis toimus arvutivrgu kaudu. Sdistuse muutmise
tingiski pelgalt ksimus selle kohta, kas elektronkirjade masspostitus on ksitatav
arvutiviiruse levitamisena, millele maakohus on vastanud eitavalt.82
Kuni 24. mrtsini 2008 kehtinud redaktsioonis stestas KarS 207 vastutuse
arvutivrgu vi arvutissteemi henduse rikkumise vi tkestamise eest. Alates 24. mrtsist
2008 seisneb KarS 207 lg 1 objektiivses koosseisus kirjeldatud tegevus arvutissteemi
toimimise ebaseaduslikus hirimises vi takistamises andmete sisestamise, edastamise,
kustutamise, rikkumise, muutmise vi sulustamise teel. Seega on vrreldes varasema
redaktsiooniga 24. mrtsist 2008 KarS 207 tiendava objektiivse koosseisu tunnusena
lisandunud termin "ebaseaduslik". Kriminaalkolleegium mrgib, et vaadeldava steo
koosseisuprasuse tuvastamisel ei ole vajalik eraldi tendada, et sdlase tegu on
ebaseaduslik. Teo koosseisuprasus puudub, kui arvutissteemi toimimise hirimiseks vi
takistamiseks esines isikul iguslik alus (nt t- vi ametilesannetest tulenev volitus).83
82
RKKK 3-1-1-85-08 25.02.2009, p. 10.2, arvutivrgus kttesaadav http://www.nc.ee/?id=11&indeks=0,1,69,14211,14619,14660,14661&tekst=RK/3-1-1-85-08 (18.05.2013) 83
op. cit., p. 12.1 (18.05.2013)
-
32
laltoodud lahendist nhtuvalt tuli kohtutel lahendada kaks peamist probleemi
kohtualuse tegevusele hinnangu andmisel.
Esimene neist puudutas KarS 208 ettenhtud viiruse funktsionaalset eristamist
KarS 207 objektiks oleva arvutissteemi toimimise takistamisest. Siin leidis maakohus, et
Karistusseadustiku -de 207 ja 208 koosseisulised tunnused erinevad oluliselt. Arvutiviiruse
levitamine leiab aset ainult viiruse kui iseleviva ja isetoimiva kahjuliku arvutiprogrammi
olemasolul. Seejuures ei ole hendus arvutivrguga vajalik, kuna viirust saab levitada ka
andmekandja vahendusel (ka ei ole arvutivrgu olemasolu KarS 208 koosseisuliseks
tunnuseks).
Teine oluline ksimus, millel Riigikohus peatus KarS 207 seonduvalt,
puudutab objektiivse koosseisu tunnust ebaseaduslik. Kohus rhutas, et kui mratlus
ebaseaduslik on objektiivse koosseisu tunnus, ei ole steo koosseisuprasuse tuvastamisel
vajalik teo ebaseaduslikkust eraldi tendada. Teisisnu, kui teo toimepanemiseks esineb isikul
iguslik alus - niteks t- vi ametilesannetest tulenev volitus siis, koosseisuprasus
automaatselt puudub.
3.3.2 Arvutiprogrammi ksitlemine nuhkvara, pahavara vi
arvutiviirusena
heks kitvamaks ksimuseks, mis autoril kesoleva t koostamise kigus
tekkis, on KarS 208 kasutatav terminoloogia ehk see, milliste tunnuste abil tuleks tarkvara
liigitada nuhkvaraks, pahavaraks vi arvutiviiruseks. Kuigi terminoloogia ei ole t
peamiseks uurimisksimuseks, ennustab autor, et see tekitab tulevikus seaduse rakendajatele
ulatuslikke vaidlusi.
Ainsa olemasoleva Riigikohtu lahendi pinnalt terminoloogiat puudutavat debatti
ei tekkinud, kuid teadaolevalt on vastavasisuline ksimus lahendamisel alates aprillist 2013
Harju Maakohtu menetluses olevas kriminaalasjas, kus Vladimir Tatinit ja tema viit
kaaslast kahtlustatakse selles, et nende kontrollitav pahavara DNS-Changer nakatas viie aasta
jooksul le maailma ligi neli miljonit arvutit. Pahavara suunas arvutikasutajad tavaprastelt
veebilehtedelt nendele, kus olid Tatinile tulu toovad reklaamid, vi vahetas mnel lehel
reklaamid ra (niteks guugeldab kasutaja sna iTunes, mille esimene vaste oli Applei
-
33
koduleht, kuid nakatunud arvuti suunab sellele klpsanud kasutaja hoopis Tatinile
kuuluvale veebilehele www.idownload-store-music.com).84
85
Eesti igusruumis ehk karistusseadustiku kontekstis on ainsaks tugepakkuvaks
materjaliks mistete nuhkvara, pahavara vi arvutiviiruse sisustamisel juba viidatud
karistusseadustiku muutmise seaduse eelnu nr 166 SE II-1 ja suuresti sellel phinevad
karistusseadustiku kommentaarid. EN arvutikuritegevusevastane konventsioon ega EL
Nukogu raamotsus 2005/222/JSK nimetatud misteid ei defineeri.
Olukorda pavad lahendada, kuid kokkuvttes ei muuda seda selgemaks ka EN
arvutikuritegevusevastase konventsiooni kommentaarid86
artiklile 6, kus mndakse, et
konventsiooni vljattamisel arutleti pikalt selle le, kas artikliga peaksid olema hlmatud
seadmed ja programmid, mis on vlja ttatud spetsiaalselt ja ainult arvutikuritegude
toimepanemiseks, jttes artikli kohaldamisalast vlja n kahetoimelised (dual-use) seadmed ja
programmid. EN Ministrite Komitee pidas sellist lhenemist siiski liialt kitsaks ja leidis, et
vastava nude rakendamine thendaks ebamistlikku tendamiskoormist kriminaalsdistuste
esitamisel ning kokkuvttes muudaks kogu artikli 6 praktikas kohaldamatuks.
Tarkvara funktsionaalsuse mitmetahulisuse tttu on autor kahtleval seisukohal,
kas KarS 208 mttes karistatavuse phistamise eesmrgil he vi teise arvutiprogrammi
sildistamine nuhkvaraks, pahavaraks vi arvutiviiruseks, on pikas perspektiivis jtkusuutlik.
Oskusliku kasutaja kes vib pealtnha kahjutu ja heauskselt loodud programmi abil toime
panna kberrnde. Samamoodi on kberrndeks spetsiaalselt kirjutatud tarkvara sageli
vimalik kasutada seaduslikel eesmrkidel niteks vrguliikluse analsitriistana.
Erialakirjanduses muutuvad arutelud n heavara ja pahavara (goodware vs badware)
eristamise kriteeriumitest jrjest aktuaalsemaks. Tuntakse ka juhtumeid, kus muidu praktilisi
omadusi eviva tarkvara sisse on peidetud funktsionaalsus, mis kivitub teatud tingimuste
saabudes vi kaugjuhtimise teel vimaldab ssteemi kahjustamist, andmete salajast
edastamist vmt.87
Unustada ei tohi, et lisaks nuhkvarale, pahavarale ja arvutiviirustele
84
L. Tankler. Maailmakuulsa kberptina vahi all: Vladimir Tatini esimene snavtt.- Eesti Pevaleht 28.03.2012, arvutivrgus kttesaadav http://www.epl.ee/news/eesti/maailmakuulsa-kuberpatina-vahi-all-vladimir-tsastsini-esimene-sonavott.d?id=64127905 (18.05.2013) 85
Kberkuritegudes sdistatav Tatin end kohtus sdi ei tunnistanud.- www.delfi.ee uudised 01.04.2013, arvutivrgus kttesaadav http://www.delfi.ee/news/paevauudised/110_112/kuberkuritegudes-suudistatav-tsastsin-end-kohtus-suudi-ei-tunnistanud.d?id=65906250, (18.05.2013) 86
Convention on Cybercrime Protocol on Xenophobia and Racism and Explanatory Report. Committee of Ministers of the Council of Europe at its 109th Session, 8 Nov 2001, lk 80 87
R. W. Taylor, T. J. Caeti, D. K. Loper, E. J. Fritsch, J. Liederbach. Digital Crime and Digital Terrorism. PearsonEducation Inc., Upper Saddle River, New Jersey 2006, lk 159-161
-
34
eristatakse veel hallvara (grayware), mida ei saa paigutada hessegi KarS -s 208 nimetatud
pahavara kategooriasse.
Olukord, kus steokoosseisus kasutatavad definitsioonid ei ole lpuni selged,
muudab igusvastase teo toimepanija sdimistmise kui mitte vimatuks, siis vhemalt
rmiselt keeruliseks. Sdistatava seisukohalt on kahtlemata ahvatlev apelleerida in dubio
pro reo phimttele ning paluda tlgendada kik kahtlused enda kasuks. Tsiasi, et
kbermaailmas teedrajavas Eestis ei ole tnaseni kohtupraktikat KarS 208 rakendamisel, on
kas nnelik juhus vi peitub siin taga prokuratuuri soovimatus testida selgelt piiritlemata
koosseisu rakendatavust kohtus. Igal juhul oleks seadusandjal phjust kaaluda KarS 208
objektiivse koosseisu tiendamist teo eesmrgiga, lbi mille oleks vimalik hinnata
toimepanija teadlikkust levitatava tarkvara kahjulikest omadustest.
3.3.3 Jlitustegevus
Punktis 3.3.1 ksitletud Riigikohtu lahendi pinnalt vib jreldada, et Riigikohus on
sidunud miste ebaseaduslik KarS 207 kontekstis omaniku vi valdaja nusoleku
puudumise vi t- vi ametivolituste puudumise vi siseriiklikest igusaktidest tuleneva
mandaadi puudumisega. Kuna lejnud arvutikuritegude paragrahvid (KarS -d 206, 213,
217) kasutavad oma objektiivses koossisus sama mratlust, on autor seisukohal, et terminil
ebaseaduslik on arvutikuritegude koosseisudes lbivalt sama thendus.
Sellest tulenevalt jb arusaamatuks, miks ei sisalda Kars 208 koosseis mratlust
ebaseaduslik.
Tnaseks on olukord muutunud ning vajadus kidelda pahavara on omandamas ha
kriitilisemat thtsust. Tulenevalt karistusseadustiku 208 snastusest vib
iguskaitseasutustel praktikas tekkida probleeme niteks kriminaalasjade menetlemisel. Ts
on varasemalt viidatud meedias levinud informatsioonile nuhkvara kasutamisest erinevate
riikide iguskaitseorganite poolt. Eelkige ongi KarS 208 tnane snastus potentsiaalses
konfliktis jlitusasutuste vimaliku sooviga kasutada nuhkvara kurjategijate suhtluse
jlgimisel arvutissteemis. Paratamatult tstatub ksimus niisugusel viisil kogutud teabe
seaduslikkusest ja hilisemast kasutamise vimalikkusest kohtumenetluses.
Julgeolekuasutuste seaduse 2 kohaselt on julgeolekuasutuste tegevuse eesmrk
tagada riigi julgeolek phiseadusliku korra psimisega mittesjaliste ennetavate vahendite
kasutamise abil ning julgeolekupoliitika kujundamiseks ja riigikaitseks vajaliku teabe
-
35
kogumine ja ttlemine. Vastavalt sama seaduse -le 25 lg 2 vib julgeolekuasutus oma
pdevuse piires kuriteo tkestamiseks piirata isiku igust snumi saladusele, kui on olemas
piisavad andmed ettevalmistatava vi toimepandava kuriteo kohta. 88
Kaitsepolitseiameti poolt teabe varjatud kogumisel kasutatavad meetodid ja
vahendid ning teabetoimiku pidamise ja silitamise korra 1 lg 1 p 2 kohaselt teostab
Kaitsepolitseiamet isiku iguse piiramisel snumi saladusele tiesti salajaste meetodite ja
vahendite kasutamisega telegraafi, telefoni vi muu tehnilise sidekanali kaudu edastatava
snumi vi muu teabe pealtkuulamist, -vaatamist vi salvestamist, kasutades vastavaid
tehnilisi vahendeid vi vastavalt kohaldatud tehnoloogiaid ning 1 lg 1 p 3 kohaselt
muul viisil edastatava teabe pealtkuulamist, -vaatamist vi salvestamist, paigaldades selleks
vajalikke tehnilisi vahendeid.89
Nimetatud korra 1 like 2 kohaselt hlmab telegraafi, telefoni vi muu tehnilise
sidekanali kaudu edastatava snumi vi muu teabe pealtkuulamine, -vaatamine vi
salvestamine kiki audio-video, telekommunikatsioonivrgu signaalide vi kosmoseside
edastamise liike.90
Eelnevalt oli teises peatkis toodud vlja FinFisheri-nimelise nuhkvara
kasutamise kahtlus muuhulgas ka Eesti uurimisorganite poolt. Nimetatud nuhkvara vimaldab
silma peal hoida kurjategijate meilivahetusel, saades selliselt ka olulist informatsiooni
toimepandavatest kuritegudest vi nende ettevalmistamisest ning vimaldades sellisel juhul
kuritegusid ennetada. Kuna vastavalt Kaitsepolitseiameti poolt teabe varjatud kogumisel
kasutatavad meetodid ja vahendid ning teabetoimiku pidamise ja silitamise korrale on teabe
hankimise meetodid tiesti salajased, ei ole ka vimalik teha jreldust, millisel viisil
uurimisasutus oma tegevust organiseerib ja milliseid vahendeid kasutades teavet saab. Kll
aga kui tuvastada meilivestlust jlgides kuriteo toimepanemine vi ettevalmistamine, eeldab
see vrasse arvutissteemi tungimist ning sinna nuhkvara paigaldamist. Nuhkvara levitamine
on aga KarS 208 jrgi karistatav, vaatamata antud tegevuse eesmrgile.
Olukorda riigi seisukohast hinnates, tuleb kahtlemata arvesse vtta riigi kohustust
tagada oma kodanike turvalisus ning sellest tulenevat igust piirata proportsionaalsel mral
88
Julgeolekuasutuste seadus.- RT I, 2001, 7, 17... RT I, 26.03.2013, 15, arvutivrgus kttesaadav https://www.riigiteataja.ee/akt/126032013015 (26.04.2013) 89
Kaitsepolitseiameti poolt teabe varjatud kogumisel kasutatavad meetodid ja vahendid ning teabetoimiku pidamise ja silitamise kord.-RT I, 07.02.2013, 9, vastu vetud 06.06.2001 nr 76, arvutivrgus kttesaadav https://www.riigiteataja.ee/akt/107022013009 (26.04.2013) 90
op. cit., (26.04.2013)
-
36
isikute phiigusi. Euroopa Inimiguste kohus oma 6. mrtsi 2012 otsuses Leas vs Eesti
(59577/08) on elnud, et mis tahes kriminaalmenetluses vib esineda vistlevaid huvisid, nt
riigi julgeolek vi vajadus kaitsta tunnistajaid kttemaksu eest vi hoida saladuses politsei
meetodeid kuriteo uurimisel, mida tuleb arvestada sdistatava iguste vastukaaluna.91
T autori seisukohast ei ole siiski kriminaalmenetluse seadustikus ja muudes
vastavates igusaktides nimetamata meetodite rakendamine ko