Kyberrikostutkinnan johtaminen salaisten keinojen avulla
Limnell, Aku (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023112732069
https://urn.fi/URN:NBN:fi:amk-2023112732069
Tiivistelmä
Suomen poliisi käyttää kyberrikollisuudesta jaottelua, jonka mukaan kyberrikollisuus voidaan jakaa tietojärjestelmään kohdistuviin ja tietojärjestelmää hyväksikäyttäviin rikoksiin. Tässä tutkimuksessa tutkimuskohteena olivat ns. ydinkyberrikokset, joista säädetään rikoslain (39/1889, RL) 38 luvussa (tieto- ja viestintärikokset) sekä datavahingosta (RL 35:3) ja vaaran aiheuttamista tietojenkäsittelylle (RL 34:9a).
Digitaalinen toimintaympäristö kytkeytyy kyberrikollisuuteen ja kyberrikostorjuntaan, koska ympäristö toimii olennaisena osana rikollisten palveluteollisuutta, järjestäytynyttä rikollisuutta sekä valtioihin kytkeytyvänä toimintana. Kyberrikollisuuden vaikutukset ulottuvat yksittäisten henkilöiden ja organi-saatioiden lisäksi kansalliseen turvallisuuteen ja yhteiskunnan elintärkeisiin toimintoihin. Kyberrikostilastot eivät kerro täyttä totuutta nykytilanteesta, vaan vaikka juttumäärien ollessa pieniä, voivat juttukokonaisuudet olla laajempia ja vaativampia selvittää.
Tutkimuksessa pyritään hankkimaan tietoa kyberrikostutkinnan johtamisesta, ja sitä kautta yhdenmukaistaa ja kehittää kyberrikostutkinnan johtamista. Tutkimuksella tavoitellaan tietoa siitä, millä tavalla kyberrikostutkintaa johdetaan ja mitä rikostutkinnan erityispiirteissä tulisi ottaa huomioon tutkinnanjohtajan näkökulmasta. Tutkimuksen ensisijaisena kohderyhmänä ovat kyberrikostutkinnan tutkinnanjohtajat.
Tutkimuksen teoreettinen viitekehys muodostuu kyberrikollisuudesta ilmiönä, kyberrikosten ja rikos-tutkinnan sääntelystä sekä kyberrikostutkinnan johtamisesta. Tutkimusmenetelmänä hyödynnettiin kirjallisuuskatsausta, jonka avulla muodostettiin tietopohja tutkimukselle. Opinnäytetyö toteutettiin myös kvalitatiivisella tutkimusotteella ja aineistoa kerättiin asiantuntijahaastatteluilla. Haastattelutuloksia hyödynnettiin tutkimuksen salassa pidettävässä osiossa. Opinnäytetyön salassapito ja turvallisuusluokka perustuvat tutkimuslupapäätökseen 23.11.2022 (POL-2022-120290), 20.04.2023 (POL-2023-27288) ja 4.5.2023 (POL-2023-30903).
Tutkimuksessa havaitaan, että kyberrikostutkinnan johtamisen viitekehys koostuu useista elemen-teistä, joihin kytkeytyvät turvallisuuden lisäksi eri johtamisalueita kyber- ja tietoturvallisuudesta sekä poliisin johtamisalueista. Tutkinnanjohtajan tulisi ymmärtää resilienssiajattelun kaltainen lähestymistapa osana kyberrikostorjuntaa sekä uhkien ja haavoittuvuuksien vaikutukset. Kyberrikostutkintaan kytkeytyy vahvasti digitaalinen forensiikka, koska rikoksen tapahtumapaikka sijaitsee digitaalisessa ympäristössä, mikä aiheuttaa attribuutiohaasteen lisäksi vaatimuksia riittävälle ymmärrykselle tietotekniikasta. Yhtenä keskeisenä havaintona tulisi harkittavaksi strategisen tason kyberasiakirjojen päi-vittäminen sekä sisäministeriön tai poliisin hallinnonalan oman kyberstrategian laatiminen toiminnan ja suuntalinjojen selkeyttämiseksi.
Kyberrikostutkinta edellyttää tiivistä viranomaisyhteistyötä ja monipuolista ymmärrystä muiden viran-omaisten rooleista ja tiedon tarpeista sekä toiminnan yhteensovittamisesta. Kyberrikostorjunta on tärkeää kokonaisturvallisuuden ja sisäisen turvallisuuden näkökulmasta. Tutkinnanjohtajalla on oltava riittävä ymmärrys kyberrikosten ja rikostutkinnan sääntelystä eli rikosten tunnusmerkistöistä ja ylipäätään kyberrikosten tutkinnassa sovellettavista toimivaltasäännöksistä. Edellä mainitun osalta on tärkeää tehdä tiivistä esitutkintayhteistyötä. Kyberrikostutkintaan kytkeytyy vahvasti kansainvälinen ulottuvuus, mikä edellyttää osaamista tiedonsaanti- ja oikeusapupyyntöjen lähettämisestä ja toteuttamisesta ulkomailla.
Kyberrikostutkinnan tärkeimpänä tehtävänä on selvittää, mikä rikos on tapahtunut, missä se on tapahtunut ja teko-olosuhteet sekä mahdollinen tekijä tai tekijätaho. Tämä edellyttää osaamista ja ym-märrystä, jotta tehokkaalla kyberrikostorjunnalla kyetään estämään kyberrikollisuutta ja sen houkuttelevuutta. Tehokas kyberrikostutkinta vaikuttaa yleiseen luottamukseen poliisin kyvykkyydestä tutkia kyberrikoksia. Den finska polisen använder en klassificering av cyberbrott, vars cyberbrott kan delas in i brott som riktar sig till datanätsbundna brott och brott som utnyttjar informationssystem. I denna studie behand-las cyberbrott, som regleras i strafflagen (39/1889, SL), 38 kap. (informations- och kommunikationsbrott), dataskadegörelse (SL 35:3) samt orsakande av fara för informationsbehandling (SL 34:9a).
Den digitala verksamhetsmiljön är kopplad till cyberbrottslighet och förebyggande av cyberbrottslighet, eftersom miljön fungerar som en väsentlig del av den kriminella Crime-as-a-Service-affärsmodell, organiserad brottslighet och som en verksamhet kopplad till stater. Effekterna av cyberbrottslighet sträcker sig bortom individer och organisationer inom nationell säkerhet och sam-hällets vitala funktioner. Statistiken berörande cyberbrottslighet säger inte hela sanningen om nuläget. Även när antalet ärenden är få, kan helheten av ärenden vara mer omfattande och mer krävande att utreda.
Syftet med forskningen är att inhämta information om ledning av cyberbrottsutredningar och därige-nom harmonisera och utveckla handläggningen av cyberbrottsutredningar. Målsättningen med forskningen är att söka information om hur en cyberbrottsutredning går till och vad som bör tas i beaktande i en brottsutrednings karakteristikum från utredningsledarens synpunkt. Studiens primära målgrupp är utredningsledaren i en cyberbrottsutredning.
Studiens teoretiska ram består av cyberbrottslighet som fenomen, reglering av cyberbrottslighet och brottsutredning samt ledning av cyberbrottsutredning. Som utredningsmetod användes litteraturöversikten, för att skapa en kunskapsbas för forskningen. Studien genomfördes även med ett kvalitativt forskningsurval och materialet samlades in genom expertintervjuer. Intervjuresultaten användes i den sekretessbelagda delen av studien. Slutarbetets sekretessbelagda material är baserat på beslutet av forskningstillstånden 23.11.2022 (POL-2022-120290), 20.04.2023 (POL-2023-27288) och 4.5.2023 (POL-2023-30903).
I studien har det konstaterats att referensramen för att leda en cyberbrottsutredning består av flera moment. Förutom säkerhet, så kopplas det till olika ledningsområden från cyber- och informationssäkerhet samt till polisens ledningsområden. Utredningsledaren bör förstå ett tillvägagångssätt där resilienstänkande är som en del av bekämpning av cyberbrottslighet och effekterna av hot och sårbarheter. Digital forensik är starkt kopplad till cyberbrottsutredning, eftersom brottsplatsen är belägen i en digital miljö, vilket kräver förutom attributionsutmaningen, en tillräcklig förståelse för informationsteknologi. En av de viktigaste iakttagelserna bör vara uppdateringen av dokumenten på den cyber-strategiska nivån och utarbetandet av inrikesministeriets eller polisförvaltningens egen cyberstrategi för att förtydliga verksamheten och riktlinjerna.
En cyberbrottsutredning kräver ett tätt myndighetssamarbete, en mångsidig förståelse för andra myndigheters roller och informationsbehov samt samordning av verksamheten. Från övergripande säkerhetens och inre säkerhetens synvinkel är cyberbrottsbekämpningen viktig. Utredningsledaren bör ha tillräcklig förståelse för regleringen av cyberbrott och brottsutredning – om rekvisit och finsk straffrättslig jurisdiktion. Beträffande det tidigare nämnda är det viktigt med ett nära förundersök-ningssamarbete. Cyberbrottsutredningen har en stark internationell dimension, vilket kräver expertis i att leverera och genomföra förfrågningar berörande information och juridisk rättshjälp utomlands.
Den viktigaste uppgiften för en cyberbrottsutredning är att utreda vilket brott som har inträffat, var det har inträffat och omständigheterna kring brottet samt eventuell gärningsman eller gärningsaktör. Detta kräver kunskap och förståelse för att kunna bekämpa cyberbrottslighet och dess attraktivitet med ett effektivt förebyggande av cyberbrott. En effektiv cyberbrottsutredning påverkar allmänhetens förtroende för polisens möjligheter att utreda cyberbrott. According to the most commonly used division by The Finnish Police, the term cybercrime can be divided into so-called cyber-dependent and cyber-enabled crime types. The focus of this research and thesis is in the so-called core cybercrimes. These crimes are those mentioned in the Finnish Criminal Code (39/1889, later CC) as Data and Communications Offences (Chapter 38), Criminal Damage to Data (CC 35:3a-c) as well as Criminal Computer Mischief (CC 34:9a).
An essential component to preventing cybercrime is the digital environment as a whole. This is due to the fact, that the digital environment is the key element of the Crime-as-a-Service industry. This criminal services industry as well as the organized crime and state-related activities form the cybercrime environment. The impacts of the cybercrime extend from the individual persons to organizations and national security as well as the vital functions of the society. Although the cybercrime environment can to some extend be evaluated using the crime statistics, this is not the entire truth. When assessing the cybercrime cases, the number of the individual cases may be low, but the cases are often wide and demanding to investigate.
The aim of this research and thesis is to gain knowledge of the modern leadership of the cybercrime investigation. With this knowledge it is possible to standardize and develop the cybercrime investigation process. Another goal is to gather knowledge to support the leadership of the cybercrime inves-tigations and special requirements of this field. Primary target group for the gained knowledge and this thesis are the Heads of the Investigation (Investigator in Charge) in the cybercrime related processes.
Theoretical framework of this research and thesis are formed of the phenomenon of the cybercrime, regulation environment and leadership of cybercrime investigation. Used research methods included study of the available literature as basis for research. Relevant parts of the methods are qualitative research approach and expert interviews. The data collected by using the above-mentioned methods form this study. As this thesis is partially confidential, the expert interview results are used in the confidential part of this study. The confidential and security class of the academic work are based on the research decisions 23.11.2022 (POL-2022-120290), 20.04.2023 (POL-2023-27288) and 4.5.2023 (POL-2023-30903).
One of the key findings of this research and thesis is, that the cybercrime investigation framework is composed of several elements. These elements include overall security and various leadership areas for both cyber-security and information-security as well as police investigation leadership. The Investigator in Charge should be able to understand the resilience approach as part of cybercrime prevention and the impact of threats and vulnerabilities. Since the place of cybercrime is digital environ-ment, the investigation is strongly linked to digital forensics. Alongside the so-called attribute challenges, this poses requirements for sufficient understanding of the information technology knowledge area. Therefore, according to this research and thesis, there is a clear need to update the cyberstrategy documents at a national level. Additionally, there is a need to come up with own cyberstrategy for Finnish Ministry of the Interior as well as Finnish Police to enable a more consistent activities and clarified guidelines going forward.
Prerequisite for successful cybercrime investigation is well functioning co-operation within the rele-vant authorities. There is a need for versatile understanding of other authorities’ roles and operations, as well as coordination of joint activities. Prevention of cybercrime is essential part of comprehensive and internal security. The Investigator in Charge must have sufficient understanding and knowledge of the cybercrime and criminal investigation regulation. This means understanding the big picture in Finland’s criminal jurisdiction and constitution of criminal offences. The need for well-functioning co-operative preliminary investigation is essential. Cybercrime is strongly linked to international dimensions and this creates the need for skilled requesting of information and legal assistance abroad.
The most important task for cybercrime investigation is to clarify which criminal offence has taken place and what is the place of that crime. Also, the essential part of the investigation is to find out the circumstances and the possible perpetrator or actor. This requires knowledge and understanding of the expertise area. Efficient cybercrime prevention can enable fewer cybercrimes and decrease the profitability and attractiveness of cybercrime. If the police has the capability to efficiently investigate and prevent cybercrime, this will enhance the overall trust in the police.
Digitaalinen toimintaympäristö kytkeytyy kyberrikollisuuteen ja kyberrikostorjuntaan, koska ympäristö toimii olennaisena osana rikollisten palveluteollisuutta, järjestäytynyttä rikollisuutta sekä valtioihin kytkeytyvänä toimintana. Kyberrikollisuuden vaikutukset ulottuvat yksittäisten henkilöiden ja organi-saatioiden lisäksi kansalliseen turvallisuuteen ja yhteiskunnan elintärkeisiin toimintoihin. Kyberrikostilastot eivät kerro täyttä totuutta nykytilanteesta, vaan vaikka juttumäärien ollessa pieniä, voivat juttukokonaisuudet olla laajempia ja vaativampia selvittää.
Tutkimuksessa pyritään hankkimaan tietoa kyberrikostutkinnan johtamisesta, ja sitä kautta yhdenmukaistaa ja kehittää kyberrikostutkinnan johtamista. Tutkimuksella tavoitellaan tietoa siitä, millä tavalla kyberrikostutkintaa johdetaan ja mitä rikostutkinnan erityispiirteissä tulisi ottaa huomioon tutkinnanjohtajan näkökulmasta. Tutkimuksen ensisijaisena kohderyhmänä ovat kyberrikostutkinnan tutkinnanjohtajat.
Tutkimuksen teoreettinen viitekehys muodostuu kyberrikollisuudesta ilmiönä, kyberrikosten ja rikos-tutkinnan sääntelystä sekä kyberrikostutkinnan johtamisesta. Tutkimusmenetelmänä hyödynnettiin kirjallisuuskatsausta, jonka avulla muodostettiin tietopohja tutkimukselle. Opinnäytetyö toteutettiin myös kvalitatiivisella tutkimusotteella ja aineistoa kerättiin asiantuntijahaastatteluilla. Haastattelutuloksia hyödynnettiin tutkimuksen salassa pidettävässä osiossa. Opinnäytetyön salassapito ja turvallisuusluokka perustuvat tutkimuslupapäätökseen 23.11.2022 (POL-2022-120290), 20.04.2023 (POL-2023-27288) ja 4.5.2023 (POL-2023-30903).
Tutkimuksessa havaitaan, että kyberrikostutkinnan johtamisen viitekehys koostuu useista elemen-teistä, joihin kytkeytyvät turvallisuuden lisäksi eri johtamisalueita kyber- ja tietoturvallisuudesta sekä poliisin johtamisalueista. Tutkinnanjohtajan tulisi ymmärtää resilienssiajattelun kaltainen lähestymistapa osana kyberrikostorjuntaa sekä uhkien ja haavoittuvuuksien vaikutukset. Kyberrikostutkintaan kytkeytyy vahvasti digitaalinen forensiikka, koska rikoksen tapahtumapaikka sijaitsee digitaalisessa ympäristössä, mikä aiheuttaa attribuutiohaasteen lisäksi vaatimuksia riittävälle ymmärrykselle tietotekniikasta. Yhtenä keskeisenä havaintona tulisi harkittavaksi strategisen tason kyberasiakirjojen päi-vittäminen sekä sisäministeriön tai poliisin hallinnonalan oman kyberstrategian laatiminen toiminnan ja suuntalinjojen selkeyttämiseksi.
Kyberrikostutkinta edellyttää tiivistä viranomaisyhteistyötä ja monipuolista ymmärrystä muiden viran-omaisten rooleista ja tiedon tarpeista sekä toiminnan yhteensovittamisesta. Kyberrikostorjunta on tärkeää kokonaisturvallisuuden ja sisäisen turvallisuuden näkökulmasta. Tutkinnanjohtajalla on oltava riittävä ymmärrys kyberrikosten ja rikostutkinnan sääntelystä eli rikosten tunnusmerkistöistä ja ylipäätään kyberrikosten tutkinnassa sovellettavista toimivaltasäännöksistä. Edellä mainitun osalta on tärkeää tehdä tiivistä esitutkintayhteistyötä. Kyberrikostutkintaan kytkeytyy vahvasti kansainvälinen ulottuvuus, mikä edellyttää osaamista tiedonsaanti- ja oikeusapupyyntöjen lähettämisestä ja toteuttamisesta ulkomailla.
Kyberrikostutkinnan tärkeimpänä tehtävänä on selvittää, mikä rikos on tapahtunut, missä se on tapahtunut ja teko-olosuhteet sekä mahdollinen tekijä tai tekijätaho. Tämä edellyttää osaamista ja ym-märrystä, jotta tehokkaalla kyberrikostorjunnalla kyetään estämään kyberrikollisuutta ja sen houkuttelevuutta. Tehokas kyberrikostutkinta vaikuttaa yleiseen luottamukseen poliisin kyvykkyydestä tutkia kyberrikoksia.
Den digitala verksamhetsmiljön är kopplad till cyberbrottslighet och förebyggande av cyberbrottslighet, eftersom miljön fungerar som en väsentlig del av den kriminella Crime-as-a-Service-affärsmodell, organiserad brottslighet och som en verksamhet kopplad till stater. Effekterna av cyberbrottslighet sträcker sig bortom individer och organisationer inom nationell säkerhet och sam-hällets vitala funktioner. Statistiken berörande cyberbrottslighet säger inte hela sanningen om nuläget. Även när antalet ärenden är få, kan helheten av ärenden vara mer omfattande och mer krävande att utreda.
Syftet med forskningen är att inhämta information om ledning av cyberbrottsutredningar och därige-nom harmonisera och utveckla handläggningen av cyberbrottsutredningar. Målsättningen med forskningen är att söka information om hur en cyberbrottsutredning går till och vad som bör tas i beaktande i en brottsutrednings karakteristikum från utredningsledarens synpunkt. Studiens primära målgrupp är utredningsledaren i en cyberbrottsutredning.
Studiens teoretiska ram består av cyberbrottslighet som fenomen, reglering av cyberbrottslighet och brottsutredning samt ledning av cyberbrottsutredning. Som utredningsmetod användes litteraturöversikten, för att skapa en kunskapsbas för forskningen. Studien genomfördes även med ett kvalitativt forskningsurval och materialet samlades in genom expertintervjuer. Intervjuresultaten användes i den sekretessbelagda delen av studien. Slutarbetets sekretessbelagda material är baserat på beslutet av forskningstillstånden 23.11.2022 (POL-2022-120290), 20.04.2023 (POL-2023-27288) och 4.5.2023 (POL-2023-30903).
I studien har det konstaterats att referensramen för att leda en cyberbrottsutredning består av flera moment. Förutom säkerhet, så kopplas det till olika ledningsområden från cyber- och informationssäkerhet samt till polisens ledningsområden. Utredningsledaren bör förstå ett tillvägagångssätt där resilienstänkande är som en del av bekämpning av cyberbrottslighet och effekterna av hot och sårbarheter. Digital forensik är starkt kopplad till cyberbrottsutredning, eftersom brottsplatsen är belägen i en digital miljö, vilket kräver förutom attributionsutmaningen, en tillräcklig förståelse för informationsteknologi. En av de viktigaste iakttagelserna bör vara uppdateringen av dokumenten på den cyber-strategiska nivån och utarbetandet av inrikesministeriets eller polisförvaltningens egen cyberstrategi för att förtydliga verksamheten och riktlinjerna.
En cyberbrottsutredning kräver ett tätt myndighetssamarbete, en mångsidig förståelse för andra myndigheters roller och informationsbehov samt samordning av verksamheten. Från övergripande säkerhetens och inre säkerhetens synvinkel är cyberbrottsbekämpningen viktig. Utredningsledaren bör ha tillräcklig förståelse för regleringen av cyberbrott och brottsutredning – om rekvisit och finsk straffrättslig jurisdiktion. Beträffande det tidigare nämnda är det viktigt med ett nära förundersök-ningssamarbete. Cyberbrottsutredningen har en stark internationell dimension, vilket kräver expertis i att leverera och genomföra förfrågningar berörande information och juridisk rättshjälp utomlands.
Den viktigaste uppgiften för en cyberbrottsutredning är att utreda vilket brott som har inträffat, var det har inträffat och omständigheterna kring brottet samt eventuell gärningsman eller gärningsaktör. Detta kräver kunskap och förståelse för att kunna bekämpa cyberbrottslighet och dess attraktivitet med ett effektivt förebyggande av cyberbrott. En effektiv cyberbrottsutredning påverkar allmänhetens förtroende för polisens möjligheter att utreda cyberbrott.
An essential component to preventing cybercrime is the digital environment as a whole. This is due to the fact, that the digital environment is the key element of the Crime-as-a-Service industry. This criminal services industry as well as the organized crime and state-related activities form the cybercrime environment. The impacts of the cybercrime extend from the individual persons to organizations and national security as well as the vital functions of the society. Although the cybercrime environment can to some extend be evaluated using the crime statistics, this is not the entire truth. When assessing the cybercrime cases, the number of the individual cases may be low, but the cases are often wide and demanding to investigate.
The aim of this research and thesis is to gain knowledge of the modern leadership of the cybercrime investigation. With this knowledge it is possible to standardize and develop the cybercrime investigation process. Another goal is to gather knowledge to support the leadership of the cybercrime inves-tigations and special requirements of this field. Primary target group for the gained knowledge and this thesis are the Heads of the Investigation (Investigator in Charge) in the cybercrime related processes.
Theoretical framework of this research and thesis are formed of the phenomenon of the cybercrime, regulation environment and leadership of cybercrime investigation. Used research methods included study of the available literature as basis for research. Relevant parts of the methods are qualitative research approach and expert interviews. The data collected by using the above-mentioned methods form this study. As this thesis is partially confidential, the expert interview results are used in the confidential part of this study. The confidential and security class of the academic work are based on the research decisions 23.11.2022 (POL-2022-120290), 20.04.2023 (POL-2023-27288) and 4.5.2023 (POL-2023-30903).
One of the key findings of this research and thesis is, that the cybercrime investigation framework is composed of several elements. These elements include overall security and various leadership areas for both cyber-security and information-security as well as police investigation leadership. The Investigator in Charge should be able to understand the resilience approach as part of cybercrime prevention and the impact of threats and vulnerabilities. Since the place of cybercrime is digital environ-ment, the investigation is strongly linked to digital forensics. Alongside the so-called attribute challenges, this poses requirements for sufficient understanding of the information technology knowledge area. Therefore, according to this research and thesis, there is a clear need to update the cyberstrategy documents at a national level. Additionally, there is a need to come up with own cyberstrategy for Finnish Ministry of the Interior as well as Finnish Police to enable a more consistent activities and clarified guidelines going forward.
Prerequisite for successful cybercrime investigation is well functioning co-operation within the rele-vant authorities. There is a need for versatile understanding of other authorities’ roles and operations, as well as coordination of joint activities. Prevention of cybercrime is essential part of comprehensive and internal security. The Investigator in Charge must have sufficient understanding and knowledge of the cybercrime and criminal investigation regulation. This means understanding the big picture in Finland’s criminal jurisdiction and constitution of criminal offences. The need for well-functioning co-operative preliminary investigation is essential. Cybercrime is strongly linked to international dimensions and this creates the need for skilled requesting of information and legal assistance abroad.
The most important task for cybercrime investigation is to clarify which criminal offence has taken place and what is the place of that crime. Also, the essential part of the investigation is to find out the circumstances and the possible perpetrator or actor. This requires knowledge and understanding of the expertise area. Efficient cybercrime prevention can enable fewer cybercrimes and decrease the profitability and attractiveness of cybercrime. If the police has the capability to efficiently investigate and prevent cybercrime, this will enhance the overall trust in the police.