Keskkriminaalpolitsei juures sel aastal avatud küberkuritegude büroo juht Oskar Gross kirjutab arvamusloos, et Eesti seadusandlus on kohati algelisem kui tegelik küberkuritegevus. Seetõttu võib juhtuda kentsakas olukord, kus lihtsa parooliga nagu "1234" kaitstud konto häkkimine polegi justkui kuritegu.Autor väljendab artiklis isiklikke seisukohti.
Seoses vähese kohtupraktikaga on Eestis ja tegelikult ka kogu maailmas küberkuritegevusega seotud õigusloome alles arendamisel. Seetõttu peame olema just praegustel hetkedel äärmiselt hoolikad küsimustes, mis fundamentaalsel tasemel defineerivad meie juriidilise käsitluse arvutiterminoloogiast.
Viimases karistusseadustiku kommenteeritud väljaandes üritatakse võrdlemisi julgelt defineerida juriidiline käsitlus arvutisüsteemide paroolidest ning paroolide taastamiseks kasutatavatest turvaküsimustest ning lõpptulemus on mitmes mõttes probleemne.
Arvutikuritegevusega on seotud üks oluline paragrahv, mille eesmärk on reguleerida, millistel juhtudel on arvutisüsteemil ligipääs kriminaalne ja millisel juhul mitte ning selleks on paragrahv §217 „Arvutisüsteemile ebaseadusliku juurdepääsu hankimine“. Paragrahvi selgitamisel kommentaarides on öeldud, et koosseisupäraseks kaitsevahendiks ei saa lugeda ülilihtsaid salasõnu, nt „admin“, „123456“ või „qwerty,“ sest selliseid võib ründaja ise ära arvata või leida Internetis leiduvatest halvimate salasõnade edetabelitest./…/“.
Lühidalt öeldes ütlevad selle paragrahvi kommentaarid: „Kui sul on nõrk parool, on sinu kontole sisenemine ja juurdepääsu hankimine sinu andmetele lubatud“.
Uks, mis polegi lukus
See käsitlus tekitab mitu probleemi. Esiteks väidab kommentaar, et kaitsevahend peab tagama tegeliku kaitse. Kuid selleks, et see oleks mõõdetav, tuleks defineerida, mille suhtes peab see kaitse eksisteerima. Kui võrrelda käsitlust ukselukuga, siis selline korteriuks, mille lukku on ülilihtne muukida kirjaklambriga, ei olegi tegelikult lukustatud ning sellisesse korterisse sisenemine ei olekski nagu kuritegu. Parooli võtmes aga pole lihtsus üheselt mõõdetav. Näiteks, kui isiku parool sisaldab triviaalseid andmeid inimese elu kohta (nt esimese koera nimi), siis kas ka see parool kuulub ülilihtsate või lihtsate valdkonda? Samuti võiks arvata, et parooli tugevuse faktoriks on sellisel juhul nime keerukus ja selle sagedus: näiteks kui parooliks on "pauka", on parool ebaturvaline (lühike ja levinud), kuid "rexonaator" oleks juba üsna keerulisem, sest koera nimi on pikem ja pigem haruldane.
Selliste definitsioonide ja kitsenduste tegemine põhimõttelistes küsimustes suunab vaidlused valesse kohta. Paragrahvi eesmärk on ju tegelikult lihtsas keeles öelda, et me ei tohiks omandada ligipääsu andmetele, mis ei ole mõeldud meie silmadele. Kui keegi tungib meie korterisse sisse, siis meid ju ei huvita kui tehniliselt keeruline see kurjategija jaoks oli, vaid oluline on fakt, et meie privaatsust on rikutud.
Samuti §266 (omavoliline sissetung) ei eelda koosseis mingi kaitsevahendi eemaldamist. Vaidlused peaksid olema selle üle, millises ulatuses on kurjategija kannatanu privaatsust rikkunud, mitte koormama kohtuid tehnilise küsimusega, kust jookseb keerulise, lihtsa ja ülilihtsa parooli piir.
Seadus süüdistab ohvrit
Samuti on hirmutav kommentaaride viimane lause, mis viitab halvimate sõnade edetabelile. Ilmselt on see lause kirjutatud muigega näol, et ironiseerida selle üle, kuidas inimestel on lihtsad paroolid. Paraku on selle lause taga rohkem kui esmapilgul tundub – halbade paroolide edetabelid koostataksevõttes arvesse paroolide lihtsust ning nende sagedust.
Praegune regulatsioon loob olukorra, kus suurem osa internetikontodest on põhimõtteliselt läbikäiguhoovid – kõigil on õigus nendesse kontodesse siseneda ning seal olevad andmeid vaadata. Tagatipuks on ka tegu ohvri süüdistamisega, kes ennast piisavalt ei kaitsnud. Selle loogika järgi ei peaks me ka kustutama maju, kuhu polnud paigaldatud suitsuandurit.
Analoogset analüüsi pakuvad kommentaarid ka turvaküsimuste teemal, kus „/…/Kui esitatakse küsimus, mille vastus on kergesti ära arvatav (utreeritult „Mis soost te olete“), ei saa sedagi pidada piisavaks kaitseks./…/“. Kui käesolev näide on toodud, utreeritult siis laias laastus kajastavad kommentaarid seisukohta, et isegi keerulisem turvaküsimus ei pruugi olla piisavalt turvaline.
Siinkohal sooviksin rõhutada aga seda, et jõudmaks üldse turvaküsimuse faasini, peab sissetungija meelekindlalt ja korduvalt süsteemile ütlema, et ta ei teakonto parooli ja ta tahab identifitseerida ennast konto omanikuna. Kuidas määratleda lihtsaid ja keerulisi küsimusi on taaskord suur küsimärk ja tõenäoliselt ei oskaks ka kommentaaride autor ise siia piiri tõmmata.
Ühtlasi, selline käsitlus loob olukorra, kus kurjategija võib karistust kartmata omandada ligipääsu kontole, mille parool on tugev, kuid turvaküsimus on nõrk. Kui parooli puhul võib veel keegi nõrgalt argumenteerida, et ta „nalja pärast proovis, kas 1234 töötab“, siis turvaküsimusele vastamise proovimine on igast nurgast vaadates tahtlik katse omandada ligipääsu kontole.
Politsei soovitab kindlasti kõigil kasutada raskesti ära arvatavaid paroole. Kuidas endale turvaline parool luua, selle kohta on kirjutatud arvukalt artikleid. Tasub kasvõi heita pilk peale tulemustele, mida annab Google otsingusõnale „turvaline parool“
Oleme kõik kokku puutunud olukorraga, kus arvuti ütleb, et parool on liiga lühike või ei sisalda numbreid. Kuigi tihti tundub see kiusuna, siis tegelikult on see ikka selleks, et teid ennast kaitsta. Kaitsta pahalaste eest ning tänase karistusseadustiku kommenteeritud väljaandes toodule mõeldes ka täna kehtiva karistusseadustiku eest. Tasub olla eriti hoolikas, sest praegu võib "ülilihtne"parool teid ka kohtus alt vedada.
Avafoto: PPA
