Kiberdrošības eksperts pret valsts aparātu (2. daļa): Valsts policijas jaunais paziņojums un izmeklēšanas juridiskie strupceļi
✔️ Pēc mūsu iepriekšējās juridiskās analīzes, kas izraisīja plašu rezonansi sabiedrībā un IT nozarē, Valsts policija ir nākusi klajā ar precizējošu paziņojumu par kiberdrošības pētnieka Elvisa Strazdiņa iesaisti AS "Latvijas valsts meži" (LVM) kiberuzbrukuma izmeklēšanā. Lai gan policija mēģina kliedēt sabiedrības bažas, norādot, ka eksperts netiek vajāts par informācijas publiskošanu, sniegtā informācija par viņam inkriminētajiem Krimināllikuma (KL) pantiem un piemērotajām procesuālajām darbībām liek uzdot vēl vairāk jautājumu. Kā advokātu birojs, izvērtējot jaunāko iestāžu pozīciju caur krimināltiesību un tiesu prakses prizmu, secinām: izvēlētā juridiskā konstrukcija pret IT speciālistu ir ārkārtīgi vāja, pretrunīga un draud radīt bīstamu precedentu visai kiberdrošības nozarei Latvijā.
✔️ Ko atklāj jaunais policijas paziņojums? Saskaņā ar iestādes paziņojumu, E. Strazdiņam nav sākts atsevišķs kriminālprocess, bet viņam jau esošajā lietā piemērots statuss – "persona, pret kuru sākts kriminālprocess". Policija uzsver, ka eksperts sadarbojas un nav aizturēts, taču vienlaikus atzīst, ka viņa dzīvesvietā veikta kratīšana un izņemta viena ierīce (visticamāk, viņa darba instruments).
Būtiskākais ir policijas lēmums pamatot savas darbības ar diviem Krimināllikuma pantiem: KL 243. panta 5. daļa – automatizētas datu apstrādes sistēmas darbības apzināta traucēšana, kas saistīta ar valsts drošību vai ekonomiku. KL 279. panta 1. daļa – patvarība (darbojoties LVM vārdā bez pilnvaras un sazinoties ar hakeri), ja tās rezultātā radīts būtisks kaitējums. Mūsu ieskatā šāda apsūdzības pozīcija neiztur juridisku kritiku un dod pamatu dzelžainai aizstāvībai.
✔️ 1. Juridiskais absurds par "sistēmas traucēšanu" (KL 243. panta 5. daļa) Kvalificēt kiberdrošības pētnieka darbības pēc KL 243. panta 5. daļas nozīmē pilnībā ignorēt noziedzīgā nodarījuma objektīvo pusi. Šis pants paredz atbildību par apzinātu un reālu iejaukšanos datorsistēmas darbībā – piemēram, datu dzēšanu, šifrēšanu vai piekļuves bloķēšanu. Fakti ir neapgāžami: LVM infrastruktūru uzlauza, nošifrēja un tās darbību paralizēja naidīgi kibernoziedznieki (kā publiski izskanējis, izmantojot gadiem vecu ievainojamību). E. Strazdiņš netraucēja LVM sistēmu. Viņš ārpus tās, izmantojot kiberizlūkošanas (Threat Intelligence) metodes, uzsāka saraksti ar noziedzniekiem jau pēc uzbrukuma, lai noskaidrotu patiesos apmērus. Sarakstīšanās ar hakeri tiešsaistē tehniski un juridiski nav valsts mēroga datorsistēmas darbības traucēšana. Mēģinājums pētniekam inkriminēt pantu, kas pēc būtības domāts pašiem kiberuzbrucējiem, demonstrē izmeklētāju vēlmi izmantot smagus KL pantus, visticamāk, lai formāli pamatotu tiesneša sankcijas saņemšanu kratīšanai.
✔️ 2. Patvarība un "būtiskā kaitējuma" slieksnis (KL 279. panta 1. daļa). Policija paziņojumā norāda, ka eksperts "patvaļīgi un nesankcionēti" uzdevies par LVM pārstāvi sarunās par izpirkuma maksu. Taču Krimināllikuma 279. panta obligāts un neapejams priekšnoteikums ir būtiska kaitējuma radīšana (Likuma "Par Krimināllikuma spēkā stāšanās un piemērošanas kārtību" 23. pants). Ko reāli izdarīja eksperts? Viņš uzdeva hakeriem jautājumus un noskaidroja slēpto faktu – izpirkuma maksu. Viņš nepārskaitīja valsts naudu, neuzņēmās LVM vārdā saistošas juridiskas saistības un neiznīcināja pierādījumus. Latvijas Republikas Augstākās tiesas (Senāta) judikatūra ir nelokāma: ar abstraktiem pieņēmumiem, ka rīcība "varēja ietekmēt izmeklēšanu" vai radīja valsts iestādēm reputācijas neērtības, krimināltiesībās nepietiek. Būtiskam kaitējumam ir jābūt reālam, iestājušamies un objektīvi pierādāmam (piemēram, ievērojams mantisks zaudējums). Ja prokuratūra nespēs neapgāžami pierādīt, kā tieši eksperta sarakste neatgriezeniski iznīcināja izmeklēšanu, patvarības sastāvs nav konstatējams.
✔️ Sabiedrības intereses un "Neo" lietas mācības. Šī lieta aizvien skaidrāk iezīmē paralēles ar vēsturisko "Neo" (Ilmāra Poikāna) lietu. Arī toreiz valsts sākotnējā reakcija pret VID sistēmas drošības caurumu atklājēju bija represīva. Taču Senāts toreiz atstāja spēkā attaisnojošu spriedumu daļā par datu ieguvi, tieši norādot, ka formāls pārkāpums bez būtiska kaitējuma nerada kriminālatbildību, īpaši, ja jāsver sabiedrības intereses.
✔️ Kā sabiedrībai – valsts kapitālsabiedrības patiesajam saimniekam – mums ir leģitīma, no Eiropas Cilvēktiesību tiesas prakses izrietoša interese zināt uzbrukuma mērogus un to, vai kritiskā infrastruktūra ir bijusi atbilstoši aizsargāta. Pētnieka nolūks nebija iedzīvoties, bet gan informēt sabiedrību. Šāda rīcība pēc būtības atbilst Trauksmes celšanas likuma mērķim – pasargāt personas, kas ceļ trauksmi par informācijas sistēmu drošības apdraudējumu. Kā papildu aizstāvības instruments šajā lietā izmantojams arī Krimināllikuma 32. pants (Galējā nepieciešamība) – proti, formālais kaitējums, iejaucoties komunikācijā bez saskaņojuma, ir nesalīdzināmi mazāks par novērsto kaitējumu un sabiedrības ieguvumu, izgaismojot kritisku valsts iestāžu drošības deficītu.
✔️ Bīstams "atvēsinošais efekts" IT nozarei. ai gan policija paziņojumā ierīces konfiskāciju dēvē par "ierastu praksi", darba instrumenta atņemšana IT profesionālim ir nesamērīgs solis un de facto sods vēl pirms tiesas lēmuma. Fakts, ka kiberdrošības ekspertam, kurš brīvprātīgi sadarbojas, tiek veikta kratīšana, sūta katastrofālu signālu visai nozarei. Tas rada klasisku "atvēsinošo efektu" (chilling effect). Nākamreiz, kad talantīgs "baltais hakeris" (white-hat hacker) pamanīs kritisku ievainojamību E-veselībā, vēlēšanu sistēmās vai valsts reģistros, viņš izvēlēsies klusēt. Kamēr attīstītajās valstīs, kā arī Eiropas un ASV kiberdrošības aģentūrās ekspertus par kļūdu atklāšanu un iesaisti izmeklēšanā dāsni algo caur Bug Bounty programmām, Latvijā pret viņiem iedarbina smagnēju un represīvu kriminālprocesu.
✔️ Mūsu advokātu biroja juridiskais vērtējums paliek nemainīgs: Krimināllikuma 243. un 279. panta inkriminēšana E. Strazdiņam šajos apstākļos ir uzskatāma par mākslīgu un juridiski nepamatotu. Noziedzīga nodoma (subjektīvās puses), pašas sistēmas reālas traucēšanas un būtiska kaitējuma (objektīvās puses) trūkums ir spēcīgs pamats, lai kriminālprocess pret pētnieku tiktu drīzumā izbeigts. Tiesiskā valstī krimināltiesībām ir jābūt galējam līdzeklim, kas vērsts pret reāliem kiberteroristiem, nevis pret ekspertiem, kas palīdz ieraudzīt sistēmas kļūdas. Valsts aparātam ir laiks atzīt IT drošības pārvaldības trūkumus, atdot ekspertam izņemto tehniku un pierādīt sabiedrībai, ka iestādes spēj konstruktīvi sadarboties ar nozares profesionāļiem mūsu visu kopējās drošības labā.











