Tietomurrot ja kyberrikollisuussääntely terveydenhuollon tietojärjestelmissä
Lamminen, Katariina (2023-06-18)
Tietomurrot ja kyberrikollisuussääntely terveydenhuollon tietojärjestelmissä
(18.06.2023)
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
suljettu
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe2023073192107
https://urn.fi/URN:NBN:fi-fe2023073192107
Tiivistelmä
Tutkielmani aiheena on tietomurrot ja kyberrikollisuussääntely terveydenhuollon tietojärjestelmissä. Tietomurroista säännellään kansallisella tasolla rikoslain 38:8-8a kohdissa. Tutkin tietomurtojen määritelmää rikoslaissa, sekä kansainvälisesti eri lainsäädäntöjä vertaillen. Olen rajannut tutkimusaiheeni koskemaan vain terveydenhuoltoon kohdistuvia tietomurtoja. Käsittelen yksinomaan tietojärjestelmiin kohdistuneita, jo tapahtuneita tietomurtoja ja niiden rikosoikeudellista sääntelyä.
Ensimmäinen tutkimuskysymykseni tarkastelee kansallisen sääntelyn riittävyyttä terveydenhuollon tietojärjestelmissä jo tapahtuneiden tietomurtojen osalta. Toinen tutkimuskysymys arvioi erilaisia muutosehdotuksia, jotta terveydenhuoltoon kohdistuvia tietomurtoja pystyttäisiin kriminalisoimaan tehokkaammin. Viimeisenä tutkimuskysymyksenäni on EU-ja kansainvälisen sääntelyn riittävyyden arviointi Suomea velvoittavin osin.
Tutkimusmenetelmäni on oikeusdogmaattinen, analysoin nykyistä oikeutta ja havainnoin sen sisältöä. Lisäksi vertailen eri maiden tietomurtoihin liittyvää rikoslainsäädäntöä. Vastaan tutkimuskysymyksiini oikeuskirjallisuuden, lainsäädännön ja virallislähteiden avulla. Esittelen myös relevanttia oikeuskäytäntöä tietomurtojen käsittelystä tuomioistuimissa.
Tarkastelen rikoslakia kriittisesti, ja pohdin mahdollisia muutostarpeita, jotta lainsäädäntö vastaisi paremmin nykypäivän kyberhaasteisiin. Tietomurtojen törkeässä tekomuodossa on otettu huomioon järjestäytynyt rikollisuus, teon erityinen suunnitelmallisuus sekä törkeyden kokonaisarviointi. Loukattujen oikeushyvien huomioon ottaminen puuttuu tietomurtoja käsittelevästä lainsäädännöstä, eikä yhteiskunnan toiminnan kannalta kriittisiä osa-alueita ole otettu huomioon rikoslaissa tietomurron tunnusmerkistössä.
Tutkimukseeni nojaten, voidaan todeta nykyisen rikoslainsäädännön olevan suppeaa tietomurtojen määritelmän osalta, ja uhrit tulisi ottaa huomioon teon tunnusmerkistössä. EU-lainsäädännöllä on annettu eräänlaisia minimivaatimuksia, sekä suosituksia koskien tietomurtosääntelyä. Kuitenkin sääntely näyttäytyy sirpaleisena, eikä terveydenhuollon kyberturvallisuusvaatimuksia olla saatu harmonisoitua halutulle tasolle. Suomen tuoreen Nato-jäsenyyden myötä tutkin myös tietomurtojen määritelmää Pohjois-Atlantin sopimuksessa ja muuta sodankäyntiä koskevaa lainsäädäntöä. Tällä hetkellä tietomurtoja ei ole sisällytetty sopimuksiin lainkaan.
Rikoslaissa tietomurron törkeää tunnusmerkistöä tulisi muuttaa niin, että lainsoveltajan pitäisi ottaa huomioon teon erityisen vaarallinen luonne, vahingon vakavuus sekä vahingon suuri määrä. Lainsäädännöllä tulisi antaa laajempaa suojaa sen suojelemille oikeushyville, tarkoittaen yhteiskunnan kriittistä infrastruktuuria terveydenhuollon tietojärjestelmien osalta, sekä tietomurron uhreja yleisesti.
Ensimmäinen tutkimuskysymykseni tarkastelee kansallisen sääntelyn riittävyyttä terveydenhuollon tietojärjestelmissä jo tapahtuneiden tietomurtojen osalta. Toinen tutkimuskysymys arvioi erilaisia muutosehdotuksia, jotta terveydenhuoltoon kohdistuvia tietomurtoja pystyttäisiin kriminalisoimaan tehokkaammin. Viimeisenä tutkimuskysymyksenäni on EU-ja kansainvälisen sääntelyn riittävyyden arviointi Suomea velvoittavin osin.
Tutkimusmenetelmäni on oikeusdogmaattinen, analysoin nykyistä oikeutta ja havainnoin sen sisältöä. Lisäksi vertailen eri maiden tietomurtoihin liittyvää rikoslainsäädäntöä. Vastaan tutkimuskysymyksiini oikeuskirjallisuuden, lainsäädännön ja virallislähteiden avulla. Esittelen myös relevanttia oikeuskäytäntöä tietomurtojen käsittelystä tuomioistuimissa.
Tarkastelen rikoslakia kriittisesti, ja pohdin mahdollisia muutostarpeita, jotta lainsäädäntö vastaisi paremmin nykypäivän kyberhaasteisiin. Tietomurtojen törkeässä tekomuodossa on otettu huomioon järjestäytynyt rikollisuus, teon erityinen suunnitelmallisuus sekä törkeyden kokonaisarviointi. Loukattujen oikeushyvien huomioon ottaminen puuttuu tietomurtoja käsittelevästä lainsäädännöstä, eikä yhteiskunnan toiminnan kannalta kriittisiä osa-alueita ole otettu huomioon rikoslaissa tietomurron tunnusmerkistössä.
Tutkimukseeni nojaten, voidaan todeta nykyisen rikoslainsäädännön olevan suppeaa tietomurtojen määritelmän osalta, ja uhrit tulisi ottaa huomioon teon tunnusmerkistössä. EU-lainsäädännöllä on annettu eräänlaisia minimivaatimuksia, sekä suosituksia koskien tietomurtosääntelyä. Kuitenkin sääntely näyttäytyy sirpaleisena, eikä terveydenhuollon kyberturvallisuusvaatimuksia olla saatu harmonisoitua halutulle tasolle. Suomen tuoreen Nato-jäsenyyden myötä tutkin myös tietomurtojen määritelmää Pohjois-Atlantin sopimuksessa ja muuta sodankäyntiä koskevaa lainsäädäntöä. Tällä hetkellä tietomurtoja ei ole sisällytetty sopimuksiin lainkaan.
Rikoslaissa tietomurron törkeää tunnusmerkistöä tulisi muuttaa niin, että lainsoveltajan pitäisi ottaa huomioon teon erityisen vaarallinen luonne, vahingon vakavuus sekä vahingon suuri määrä. Lainsäädännöllä tulisi antaa laajempaa suojaa sen suojelemille oikeushyville, tarkoittaen yhteiskunnan kriittistä infrastruktuuria terveydenhuollon tietojärjestelmien osalta, sekä tietomurron uhreja yleisesti.