Tietokone-lehti 6/2003

Porttiskannaus voi käydä kalliiksi

Korkein oikeus vahvisti huhtikuussa hovioikeuden päätöksen, joka puhuttaa tietokoneväkeä vielä pitkään. Nuori mies tuomittiin sakkoihin ja 12 500 euron vahingonkorvauksiin Osuuspankin verkon porttiskannauksesta.

Oikeuden päätös herättää tietokoneväen huomaamaan, miten tiukasti laki suhtautuu tietoverkossa tapahtuviin rikoksiin silloinkin, kun ne jäävät yrityksen tai pelkän uteliaan testaamisen asteelle.

Päätös herättää kysymyksen syytetyn oikeusturvasta. Miten porttiskannauksen kaltainen temppu voidaan kuvata niin, että tekniikan suhteen ummikko tuomarikin sen ymmärtää?

Kun on kyse korvauksista, uskooko oikeus sokeasti pankin esittämiä vaatimuksia ilman, että niitä täytyy riittävästi perustella?

Porttiskannauksen anatomia

Porttiskannaus on toimenpide, jolla selvitetään verkkoon näkyvän kohdejärjestelmän toimintaa. Skannaamalla kartoitetaan, mihin kyselyihin järjestelmä vastaa. Tästä voidaan päätellä, mitä palveluita ja ohjelmia kohteessa pyörii.

Tavallinen nettikäyttäjä ei tee tiedolla mitään. Porttiskannausta käytetäänkin yleensä tulevan tietomurron valmisteluun. Se vastaa tilannetta, jossa murtovaras kiertää talon ympäri laskien ovet ja ikkunat, mahdollisesti jopa kokeillen, olisiko jokin niistä unohtunut auki.

Yleensä porttiskannaus kilpistyy palomuuriin, jonka tehtävänä on torjua niin skannaukset kuin varsinaiset murtoyrityksetkin. Näin kävi tässäkin tapauksessa. Käräjäoikeuden päätöksessä sanotaan suoraan, että "skannaus ei ollut läpäissyt osuuskunnan tietojärjestelmän palomuuria".

Tästä huolimatta pankki esitti tapahtuman selvittelystä suuret korvausvaatimukset. Korkein oikeus katsoi, että tapaus aiheutti pankille kuluja "tietoturvallisuuskustannusten nousuna" ja "järjestelmän lisääntyneenä valvontatarpeena", eikä suostunut syytetyn anomaan korvausten kohtuullistamiseen.

Perustelu on käsittämätön, sillä pankin kaltaisen organisaation on joka tapauksessa huolehdittava tietoturvastaan.

Päätöksen soveltaminen reaalimaailmaan merkitsisi sitä, että pankki voisi vaatia korvauksia henkilöiltä, jotka tarttuvat pankin oveen iltaisin tai viikonloppuisin. Ovien lukituksesta ja vartiointiliikkeen kierroksesta koituvat kustannukset voitaisiin sälyttää niiden henkilöiden niskaan, jotka kokeilevat ovea normaalin aukioloajan ulkopuolella ­ ikään kuin pankin ei muutoin pitäisi lukita niitä.

Jos ohikulkija rikkoo ikkunan ja tunkeutuu sisään, aiheuttaen hälytyksen vartiointiliikkeessä, kustannusten periminen tekijältä on aivan oikein. Nyt syytetty pantiin maksamaan tapauksesta pankille koituneet selvittelykustannukset, vaikka selvityksen lopputulos oli se, ettei mitään vahinkoa ollut tapahtunut.

Mikäli pankin tietoturvajärjestelyt ovat niin heikkoja, että pelkkä porttiskannaus aiheuttaa kymmenen tuhannen euron selvityskulut, turvajärjestelyjä sietääkin parantaa. Niin skannauksia kuin tietomurron yrityksiäkin tapahtuu satoja vuorokaudessa.

Tietomurto yllättää tekijänsä

Jos tietomurron käsite ei ole vielä kirkastunut it-väelle, nyt on korkea aika tutustua lakiin. Yrityskin käyttää tietojärjestelmää luvatta on rangaistavaa riippumatta siitä, miten yritys tehdään, tai mikä sen tarkoitus on.

Murron ei tarvitse tapahtua hienolla hakkeritekniikalla. Rikoksen tunnusmerkistö täyttyy jo käytettäessä toisen henkilön käyttäjätunnusta ja salasanaa ilman lupaa. Jopa pelkkä salasanan arvailu voidaan tulkita murron yritykseksi.

Laki on yllättävän ankara, kun sitä vertaa reaalimaailmaan. Vaikka esimerkiksi autovarasta voitaisiin rankaista pelkästä autonovien kokeilusta, käytännössä niin ei tapahdu. Vasta sitten, kun varkauksia alkaa olla lukuisia, nuori tuomitaan ehdolliseen vankeuteen, joka on useimpien mielestä yhtä tyhjän kanssa.

Rikoksia ja rangaistuksia on vaikea verrata keskenään. Samaisen huhtikuun lopussa käräjäoikeus tuomitsi paljon julkisuutta saaneen Jussi Ahteen 600 euron sakkoihin kokaiinin, amfetamiinin ja hasiksen käytöstä sekä vähäisen kokaiinimäärän välittämisestä kahdelle muulle henkilölle.

Yleinen mielipide piti rangaistusta lievänä, olihan kyse sentään huumeista, joiden käytöllä syytetty suorastaan ylpeili televisiossa nähdyssä kotivideossa. Tietomurron yritykseen verrattuna rangaistus onkin naurettava.

Ratkaiseva ero on seurausta vahingonkorvauksista ja oikeudenkäyntikuluista, jotka saattavat langeta syytetyn maksettaviksi.

Salatut elämät tv-sarjassa Aamu sai hiljattain maksettavakseen 86 000 euron korvaukset tuhoamastaan laboratoriosta. Teko ja siitä seuraava vahinko oli konkreettinen ja siksi helppo nähdä.

Tietomurtajan on vaikea mieltää, että kotona tietokonetta naputtelemalla voi saada aikaan paljon pahempaa jälkeä. Pari vuotta sitten jyväskyläläinen TCB-hakkeri tuomittiin ehdollisen viiden kuukauden vankeuden ohella maksamaan vahingonkorvauksia ja oikeudenkäyntikuluja 450 000 markan edestä.

Lukuisten tietomurtojen selvittely ja järjestelmien puhdistaminen aiheutti uhreille suuret kustannukset, vaikkei TCB tarkoituksella tuhonnutkaan mitään.

Rangaistus vahingonkorvauksineen voi tulla, vaikka murto jäisi pelkäksi yritykseksi.

<takaisin