✔️ Pēdējās dienās plašu sabiedrības rezonansi izraisījis kiberdrošības eksperta Elvja Strazdiņa gadījums. Pēc kiberuzbrukuma AS "Latvijas valsts meži" (LVM) IT sistēmām, eksperts proaktīvi sazinājās ar hakeriem un noskaidroja to, ko iestādes nespēja vai nevēlējās atklāt – par datu atšifrēšanu pieprasītās izpirkuma maksas apmēru (0,1% no apgrozījuma jeb vairāk nekā 600 tūkstošus eiro). Valsts reakcija bija pārsteidzoša – tā vietā, lai pateiktos par sabiedrībai būtisku faktu atklāšanu, Valsts policija paziņoja par pārbaudes uzsākšanu kriminālprocesā. Paša eksperta ieraksti sociālajos tīklos liecina, ka pret viņu tikušas veiktas procesuālās darbības – visticamāk, ilgstoša nopratināšana un aizlieguma uzlikšana izpaust informāciju. Kā advokātu birojs mēs uzskatām, ka šī situācija atspoguļo bīstamu tendenci. Valsts iestādes formāli piemēro likumu pret jomas pētniekiem, aizmirstot par veselo saprātu un sabiedrības interesēm.

✔️ Saskaņā ar policijas paziņojumu, persona esot "patvaļīgi un nesankcionēti izlikusies par Latvijas valsts mežu pārstāvi" un "valsts institūciju vārdā bez jebkādas pilnvaras veica darbības, tostarp saziņu ar kibernoziedznieku". Juridiski šāda rīcība varētu tikt vērtēta divu Krimināllikuma (KL) pantu ietvaros: KL 273. pants: Valsts amatpersonas nosaukuma un varas patvaļīga piesavināšanās. KL 279. pants: Patvarība (darbības veikšana patvaļīgi, apejot likumā noteikto kārtību). No izmeklētāju skatupunkta nesaskaņota iejaukšanās var tikt tulkota kā traucēklis. Taču kriminālatbildības iestāšanās prasa pilnu noziedzīgā nodarījuma sastāvu, un tieši šeit izmeklētāju konstruētā iespējamā apsūdzība ir ārkārtīgi vāja. Analizējot tiesu praksi, ir skaidri redzams, ka krimināllietās pēc minētajiem pantiem personas tiek attaisnotas, ja izmeklētāji nespēj pierādīt noziedzīgu nodomu vai reālu, būtisku kaitējumu.

✔️ Noziedzīga nolūka (subjektīvās puses) trūkums. (KL 273. pants) Krimināllikuma 273. pants paredz atbildību par valsts amatpersonas nosaukuma vai varas patvaļīgu piesavināšanos tikai tad, ja tas darīts "nolūkā izdarīt noziedzīgu nodarījumu". Tiesu praksē vainīgos notiesā tad, ja viņi, piemēram, uzdodas par policistiem, lai no iedzīvotājiem izkrāptu naudu (kā to rāda vairākas krāpšanas lietas Latgales un Rīgas tiesās), vai izliekas par inspektoriem mantkārīgos nolūkos. Elvja Strazdiņa rīcībā šāda noziedzīga nolūka (piemēram, vēlmes pašam piesavināties hakera pieprasītos līdzekļus) nebija. Viņa mērķis bija pētnieciska interese, t.s. kiberizlūkošana (Threat Intelligence), un sabiedrības informēšana. Augstākās tiesas prakse skaidri nostiprina principu: ja nav pierādāms personas tiešs nodoms veikt pašu prettiesisko rīcību, persona ir jāattaisno.

✔️ Būtiska kaitējuma neesamība (Patvarības jeb KL 279. panta gadījumā). Ja kriminālprocesu mēģina virzīt par patvarību, izmeklētājiem ir neapgāžami jāpierāda, ka rīcība radījusi būtisku kaitējumu. Policijas paziņojumā minēts, ka šāda saziņa ar hakeri "var ietekmēt izmeklēšanas gaitu". Augstākās tiesas (Senāta) judikatūrā (piem., lietā SKK-257/2011) ir nostiprināta atziņa, ka ar abstraktiem riskiem un pieņēmumiem, ka kaitējums "varēja rasties", krimināltiesībās nepietiek. Būtiskam kaitējumam ir jābūt reālam un objektīvi pierādāmam. Ja apsūdzība nespēj pierādīt, ka eksperta rīcība tiešā veidā neatgriezeniski iznīcināja konkrētus digitālos pierādījumus, kuru dēļ noziedznieks netika notverts, persona par patvarību ir attaisnojama. Tiesa nevar notiesāt par to, ka eksperta rīcība radīja iestādēm neērtības, atklājot publiski noliegtu informāciju.

✔️ Valstij ģēniji ir jāalgo, nevis jātiesā! Šis kriminālprocess atklāj satraucošu valsts iestāžu izpratnes trūkumu par mūsdienu kiberdrošību. Publiski izskanējusī informācija, ka LVM infrastruktūra tika uzlauzta, izmantojot pat 7 gadus vecu programmatūras ievainojamību, liecina par kritisku IT higiēnas un drošības deficītu pašā sistēmā. Tā vietā, lai iedarbinātu represīvo aparātu pret nozares entuziastu, valsts iestādēm būtu nevis jāvēršas pret viņu, bet visiem spēkiem jācenšas šo IT ģēniju nolīgt darbā. Attīstītajās pasaules valstīs un globālajās korporācijās šādi "baltie hakeri" (white-hat hackers) tiek aicināti sadarboties un dāsni atalgoti par atklātajām kļūdām. Elvja Strazdiņa un līdzīgu ekspertu prasmes Latvijas valstij būtu mērķtiecīgi jāizmanto valsts IT sistēmu testiem un regulārām drošības pārbaudēm (penetration testing); Drošības protokolu uzlabošanai, pirms sistēmas uzlauž naidīgi ārvalstu grupējumi, kā arī incidentu izmeklēšanā kā augsta līmeņa neatkarīgus pētniekus.

✔️ Sākot kriminālprocesus pret trauksmes cēlējiem un ekspertiem, tiek radīts bīstams "atvēsinošais efekts" (chilling effect). Kad nākamreiz kāds talantīgs IT speciālists pamanīs ievainojamību e-veselībā, valsts reģistros vai kritiskajā infrastruktūrā, viņš klusēs, pamatoti baidoties no policijas represijām. Krimināltiesībām ir jābūt galējam līdzeklim, kas vērsts pret reāliem noziedzniekiem – tiem, kuri datus izspiež, nevis tiem, kuri pēta to metodes. No juridiskā un aizstāvības viedokļa, Krimināllikuma normu inkriminēšana Elvim Strazdiņam ir uzskatāma par nepamatotu. Sastāva būtiskāko pazīmju – noziedzīga nodoma un reāla būtiska kaitējuma – trūkums ir spēcīgs pamats, lai šādās lietās tiktu pieņemti attaisnojoši nolēmumi vai process tiktu izbeigts.