Tietomurto - Vahingonkorvaus - Korvauksen sovittelu

Diaarinumero:	R2001/678
Esittelypäivä:	8.11.2002
Taltio:	811
Antopäivä:	8.4.2003

Kysymys tietomurron yrityksen tunnusmerkistön täyttymisestä.

Kysymys myös vahingonkorvauksen sovittelemisesta.
RL 38 luku 8 §
VahL 2 luku 1 § 2 mom
VahL 2 luku 2 §

Virallinen syyttäjä vaati A:lle rangaistusta tietomurron yrityksestä seuraavasti:

A oli 23.11.1998 Helsingissä yrittänyt murtaa turvajärjestelyn tunkeutuakseen oikeudettomasti Osuuspankkikeskus-OPK osuuskunnan tietojärjestelmään. A oli suorittanut niin sanotun porttiskannauksen eli erityistä tietokoneohjelmaa käyttämällä skannannut läpi osuuskunnan internetiin yhteydessä olevan verkon kaikki osoitteet tarkoituksin löytää avoimia välityspalvelimia. Skannaus ei ollut läpäissyt osuuskunnan tietojärjestelmän palomuuria. Mikäli A olisi löytänyt avoimen välityspalvelun, hän olisi sitä kautta kyennyt saamaan jatkoyhteyden internetiin niin, että yhteys olisi näyttänyt tulleen tästä välityspalvelimesta.

Osuuskunta, joka yhtyi syyttäjän syytteeseen, vaati, että A velvoitetaan suorittamaan vahingonkorvaukseksi osuuskunnalle rikoksen selvittämiseen käytetyn henkilökunnan säännönmukaisina palkkakustannuksina sekä ulkopuolisista asiantuntijaselvityksistä aiheutuneina kustannuksina selvitystyöhön käytetyltä ajalta yhteensä 40 000 markkaa. Osuuskunnan kanssa samaan konserniin kuuluva yhtiö, jonka vastuulla osuuskunnan tietojärjestelmien toiminta oli ollut, on vaatinut A:n velvoittamista suorittamaan sille vastaavasti vahingonkorvauksia yhteensä 110 000 markkaa.

Tietosuojavaltuutetulle on varattu tilaisuus tulla kuulluksi.

A kiisti syytteen sekä vahingonkorvausvaatimukset paitsi perusteiltaan myös määriltään.

Käräjäoikeus totesi seuraavien seikkojen tukevan syytettä. Jutussa todistajana kuultu rikoskomisario oli kertonut, että syytteessä tarkoitettu porttiskannaus oli tehty A:n koneen osoitteesta ja että A:n laitteista oli löytynyt porttiskannauksen toteuttamiseen soveltunut ohjelma. Asiaa tutkittaessa ei ollut tullut viitteitä siitä, että koneen IP-osoite olisi väärennetty tai että joku muu olisi käyttänyt A:n koneessa ollutta välityspalvelinohjelmaa. A:n kone oli sisältänyt lisäksi huomattavia määriä listoja, joissa oli ollut porttiskannauksella kerättyä tietoa tai porttiskannaukseen käytettävää tietoa. A:n koneelta ei ollut löydetty jälkiä luvattomista käyttäjistä. Tästä huolimatta käräjäoikeus, kun asiassa ei ollut selvitetty puhelinnumeroa, mistä yhteydenotot olivat tulleet, piti kuitenkin mahdollisena, että joku muu kuin A oli syytekohdassa kerrotuin tavoin ottanut yhteyden osuuskunnan tietojärjestelmään saaden näyttämään siltä, että yhteys oli tullut A:n koneelta. Sen vuoksi käräjäoikeus hylkäsi syytteen tietomurron yrityksestä ja siihen perustuvat korvausvaatimukset.

Käräjäoikeus tuomitsi A:n muusta hänen syykseen luetusta rikoksesta (tietoliikenteen häirintä) sakkorangaistukseen.

Asian ovat ratkaisseet käräjätuomari Arja Maunula sekä lautamiehet Tea Nieminen, Rauli Snällström ja Ismo Virtanen.

Virallinen syyttäjä, osuuskunta ja yhtiö valittivat hovioikeuteen.

Hovioikeus katsoi selvitetyksi, että A oli syyllistynyt siihen tietomurron yritykseen, josta hänelle oli vaadittu rangaistusta. Perusteluinaan hovioikeus lausui seuraavan:

Syytteessä oli kuvattu teko, jossa tekijä oli pyrkinyt selvittämään mahdollisuutta tunkeutua suojattuun tietojärjestelmään, ja edelleen oli kuvattu se, että tekijä olisi tunkeutunut tietojärjestelmään, jos mahdollisuus olisi löytynyt. Tässä tapauksessa teko oli jäänyt siihen, ettei tuollaista mahdollisuutta ollut löytynyt. Syytteessä mainittu porttiskannaus ja siihen liittyvä tekijän tarkoitus tunkeutua suojattuun järjestelmään tilaisuuden löytyessä oli tietomurron yritys.

Oli riidatonta, että kysymyksessä oleva yhteys oli tullut A:n koneen IP -osoitteella. A on kertonut, että hän oli mielenkiinnon vuoksi tehnyt aikaisemmin porttiskannauksia. A ei kuitenkaan ollut tiennyt, että hän olisi nyt skannannut osuuskunnan verkon. Joku muu oli saattanut väärentää IP-osoitteen ja tehdä porttiskannauksen siten, että oli näyttänyt siltä, että yhteys olisi tullut A:n koneelta.

Vaikka tutkinnassa oli jätetty selvittämättä, mistä puhelinnumerosta yhteys oli tullut, oli jutussa kuullun kahden todistajan kertomuksista pääteltävissä, että oli epätodennäköistä, että yhteys olisi tullut muualta kuin A:n koneelta. A:lla, joka oli kertonut joskus tehneensä kyseisen kaltaisia porttiskannauksia, oli ollut koneellaan sellainen ohjelmisto, jolla kyseinen teko oli voitu tehdä.

Hovioikeus katsoi näytetyksi, että A oli tehnyt syytteessä tarkoitetun skannauksen. Ei ollut uskottavaa, että A olisi tehnyt skannauksen muussa tarkoituksessa kuin että hän olisi myös tunkeutunut tietojärjestelmään, jos sellainen mahdollisuus olisi löytynyt. A:n teko täytti siten tietomurron yrityksen tunnusmerkistön.

A:n tekemän rikoksen luonteen perusteella oli selvää, että osuuskunnan ja yhtiön oli ollut ryhdyttävä selvittämään tapahtunutta. Selvityskustannukset olivat A:n rikoksellaan aiheuttamia vahinkoja. Kun vahingon määrä ei ollut tarkasti selvitettävissä, mutta oli selvää, että vahinkoa oli aiheutunut, vahingon määrä oli arvioitava.

Hovioikeus arvioi, että A oli aiheuttanut osuuskunnalle 20 000 ja yhtiölle 55 000 markan määräisen vahingon.

A:ta voitiin pitää atk-alan asiantuntijana. A:n oli toiminnassaan täytynyt ottaa huomioon, että hän voi menettelyllään aiheuttaa suurtakin vahinkoa, vaikkei hän olisikaan ollut tietoinen siitä, kenen verkon hän skannasi. Näin ollen ei ollut aihetta sovitella korvauksia.

Tämän vuoksi hovioikeus tuomitsi A:n, joka oli syntynyt vuonna 1981, rikoslain 38 luvun 8 §:n 1 ja 3 momentin ja 3 luvun 2 §:n nojalla nuorena henkilönä tietomurron yrityksestä ja hänen syykseen luetuista muista rikoksista (tietoliikenteen häirintä ja tietomurron yritys) yhteiseen sakkorangaistukseen ja velvoitti A:n suorittamaan vahingonkorvaukseksi osuuskunnalle 20 000 ja yhtiölle 55 000 markkaa korkoineen.

Asian ovat ratkaisseet hovioikeuden jäsenet Päivi Hirsikangas, Peter Sandholm (eri mieltä) ja Teppo Hurme.

Eri mieltä ollut hovioikeudenneuvos Sandholm lausui A:n maksettaviksi tuomittujen vahingonkorvausten osalta seuraavaa: A oli porttiskannaukseksi kutsutulla menettelyllä yrittänyt löytää aukkoja osuuskuntaryhmän tietoturvajärjestelmän niin sanotussa palomuurissa ja tällä hänen syykseen tietomurron yrityksenä luetulla menettelyllä aiheuttanut osuuskunnalle hovioikeuden 20 000 markaksi arvioiman ja järjestelmää ylläpitäneelle yhtiölle 55 000 markaksi arvioidun vahingon. A:n sinänsä kiistattomasta atk-alan asiantuntemuksesta huolimatta ei ollut näytetty, että A:n, palomuurin tarkoitus huomioon ottaen, oli täytynyt ottaa huomioon että hänen menettelystään aiheutuisi näille yhteisöille selvitystyön muodossa suuria vahinkoja. Ei siten ollut estettä sovitella korvauksia vahingonkorvauslain 3 luvun 2 §:n nojalla. Teon laatuun, A:n ikään ja varallisuusoloihin sekä vahingon kärsineiden asemaan katsoen Sandholm harkitsi kohtuulliseksi korvauksen määräksi osuuskunnalle 10 000 ja yhtiölle 25 000 markkaa. Muilta osin Sandholm oli samaa mieltä kuin enemmistö.

A:lle myönnettiin valituslupa. Valituksessaan A vaati, että häntä vastaan ajettu syyte ja vahingonkorvausvaatimus hylätään. Lisäksi A vaati, että tuomittua vahingonkorvausta joka tapauksessa sovitellaan.

Virallinen syyttäjä vastasi valitukseen.

Osuuskunta antoi siltä pyydetyn vastauksen.

Hovioikeuden toteamin perustein on selvitetty, että A on tietokoneohjelman (niin sanottu skannausohjelma) avulla skannannut läpi osuuskunnan internetiin yhteydessä olevan verkon kaikki osoitteet tarkoituksin löytää avoimia välityspalvelimia, mutta skannaus ei ole läpäissyt osuuskunnan tietojärjestelmän niin sanottua palomuuria.

Rikoslain 38 luvun 8 §:n 1 momentin mukaan se, joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja, taikka sellaisen järjestelmän erikseen suojattuun osaan, on tuomittava rangaistukseen tietomurrosta. Saman pykälän 3 momentin mukaan myös yritys on rangaistava.

A on katsonut, ettei hän ole voinut syyllistyä tietomurron yritykseen, koska skannauksella ei yritetä tunkeutua järjestelmään väkisin vaan pelkästään todeta avoimet palvelut. Järjestelmään pääseminen tällä tavoin ei myöskään edellytä turvajärjestelyjen murtamista, koska se ei edellytä minkään salaisen tunnuksen tai tiedon käyttämistä.

Kuten edellä mainittua lainkohtaa koskevassa hallituksen esityksessä (HE 94/1993 vp.) todetaan, tietojärjestelmään tunkeutumiselle ei edellytetä mitään erityistä tarkoitusta. Säännös soveltuu siten myös urheilumielessä tapahtuvaan tunkeutumiseen. Tietomurron yrityksen rangaistavuus taas on tarkoitettu helpottamaan puuttumista tietojärjestelmien luotettavuuden ja turvallisuuden kannalta huolestuttavaan käyttäjätunnusten tai muiden turvajärjestelyjen järjestelmälliseen selvittämiseen. Rangaistavaksi on saatettu jo se, että tekijä yrittää selvittää tietojärjestelmää turvaavan käyttäjätunnuksen tai murtaa muun turvajärjestelyn, jos teko tehdään tarkoituksella tunkeutua oikeudettomasti tietojärjestelmään. Ilmaisua murtaa on käytetty säännöksessä kielikuvana ilmaisemaan sitä, että turvajärjestelyn läpäisyn täytyy olla luvatonta.

Porttiskannaus on toimenpide, jonka avulla pyritään selvittämään tietojärjestelmän eri tietoliikenneporteissa toimivia ohjelmia ja käyttöjärjestelmiä sekä niiden haavoittuvuutta. Tavanomaisesti porttiskannaus suoritetaan käyttäen hyväksi tätä varten laadittua ohjelmaa, joka voi - käytetystä ohjelmasta riippuen - esimerkiksi palauttaa raportin skannauksen kohteena olevasta koneesta, sen tietoliikenneporteista, ohjelmistoista ja niiden tiedetyistä tietoturva-aukoista. Porttiskannausohjelmaa voidaan käyttää luvallisessa tarkoituksessa esimerkiksi tietojärjestelmän turvallisuusjärjestelyjen selvittämiseen.

Porttiskannausohjelmalla on näin ollen mahdollista järjestelmällisesti selvittää tietojärjestelmän mahdollisia aukkoja ja sen heikkoja kohtia. Toimenpiteen avulla kyetään saamaan tietoja, jotka mahdollistavat myös luvattoman pääsyn kohteena olevaan järjestelmään. Ohjelmaa käyttämällä hankitun tiedon avulla voidaan siten laissa tarkoitetuin tavoin murtaa tietojärjestelmän turvajärjestely. Kuten lain esitöissä todetaan jo se, että yrittää hankkia tällaisen luvattoman pääsyn järjestelmään mahdollistavan tiedon, on rangaistavaa, jos se tehdään tarkoituksella oikeudettomasti tunkeutua tietojärjestelmään.

A on kiistänyt, että hänen tarkoituksensa olisi ollut tunkeutua osuuskunnan tietojärjestelmään. A:n mukaan hänen tarkoituksenaan on ollut internetissä liikkuessaan tällä tavoin etsiä joko avointa välityspalvelinta tai muuta kiinnostavaa. Korkein oikeus toteaa, ettei luvallisesti avoimien palvelinten tai palvelujen etsintään internetissä tarvita tällaista ohjelmaa. Skannausohjelman ominaisuuksien vuoksi ei ole muutoinkaan uskottavaa, että A olisi käyttänyt ohjelmaa ensisijaisesti tässä tarkoituksessa. Kun kyseessä olevan tietojärjestelmän skannaaminen on ollut järjestelmällistä eikä ole uskottavaa, että tällaisen skannauksen kautta saatavalla tiedolla olisi ollut A:lle käyttöä muussa tarkoituksessa kuin luvattomasti tietojärjestelmään pyrittäessä, Korkein oikeus katsoo, että A on suorittanut skannauksen tarkoituksin sen kautta saatavan tiedon avulla oikeudettomasti tunkeutua tietojärjestelmään. Näin ollen A on syyllistynyt hovioikeuden hänen syykseen lukemaan osuuskunnan tietojärjestelmään kohdistuneeseen tietomurron yritykseen.

A, joka on teon hetkellä ollut 17-vuotias, on vaatinut korvauksia soviteltavaksi ottaen huomioon teon laatu sekä hänen ikänsä ja varallisuusolonsa ja vahingon kärsineiden varallisuusasema.

Vahingonkorvauslain 2 luvun 1 §:n 2 momentin mukaan vahingonkorvausta voidaan sovitella, jos korvausvelvollisuus harkitaan kohtuuttoman raskaaksi ottaen huomioon vahingonaiheuttajan ja vahingonkärsineen varallisuusolot ja muut olosuhteet. Jos vahinko on aiheutettu tahallisesti, on kuitenkin täysi korvaus tuomittava, jollei erityisistä syistä harkita kohtuulliseksi alentaa korvausta. Jos vahingon on aiheuttanut kahdeksaatoista vuotta nuorempi, on hän saman luvun 2 §:n mukaan velvollinen korvaamaan siitä määrän, joka hänen ikäänsä ja kehitystasoonsa, teon laatuun, vahingon aiheuttajan ja vahingon kärsineen varallisuusoloihin sekä muihin olosuhteisiin katsoen harkitaan kohtuulliseksi.

A:n vetoamista seikoista hänen ikänsä ja varallisuusolonsa puoltavat korvausten sovittelemista. Harkintaperusteita ovat kuitenkin myös A:n kehitystaso, teon laatu ja muut tekoon liittyvät olosuhteet.

A on nuoresta iästään huolimatta kokenut tietokonealan harrastaja ja hän on tahallaan yrittänyt tunkeutua toisen tietojärjestelmään. Sillä, että hän ei ole tiennyt kohteena olevan juuri osuuskunnan tietojärjestelmä, ei ole tässä suhteessa merkitystä. A:n on täytynyt kokemuksensa ja tietojensa perusteella ymmärtää, että jo pelkkä tunkeutuminen tietojärjestelmään aiheuttaa vahinkoa, vaikka tietojärjestelmän tietoja ei tunkeutumisen yhteydessä kopioida, muuteta tai hävitä. Sanottu koskee myös tietojärjestelmään tunkeutumisen yritystä. Vahinko ilmenee tietoturvallisuuskustannusten nousuna, joista keskeisimpiä ovat turvajärjestelyjen uudistaminen, tietoturvallisuusjärjestelmän lisääntynyt valvontatarve ja sen selvittäminen, onko ilmi tullut tietojärjestelmään tunkeutuminen ollut harmitonta vai onko tietojärjestelmää vahingoitettu, muutettu tai kopioitu.

Tässä tapauksessa osuuskunnalle tietojärjestelmän omistajana ja yhtiölle tietojärjestelmän hoitajana rikoksen selvittämiseen käytetyn henkilökunnan palkoista ja ulkopuolisten asiantuntijoiden käyttämisestä aiheutuneet kustannukset ovat tyypillisesti ja ennalta-arvattavasti tietojärjestelmään tunkeutumisesta tai sen yrittämisestä aiheutuvaa vahinkoa, jonka A on velvollinen korvaamaan.

Ottaen huomioon tietoturvallisuuden tärkeyden, teon tahallisuuden ja laadun sekä sen, että A:n teon tehdessään on kyennyt ymmärtämään siitä aiheutuvan vahingonvaaran, Korkein oikeus katsoo, ettei vahingonkorvauksia ole perusteltua tässä tapauksessa sovitella. Sen vuoksi ja kun jutussa ei ole muutoinkaan esitetty sellaisia erityisiä seikkoja, jotka lain mukaan voisivat olla aiheena korvausten kohtuullistamiselle, A on velvollinen korvaamaan aiheuttamansa vahingon kokonaisuudessaan.

Hovioikeuden tuomion lopputulosta ei muuteta.

Asian ovat ratkaisseet oikeusneuvokset Anja Tulenheimo-Takki, Riitta Suhonen, Markku Arponen, Gustav Bygglin ja Pasi Aarnio. Esittelijä Sari Ruokojärvi.