Lugupeetud Riigikogu [ase]esimees! Austatud Riigikogu liikmed! Head kuulajad! Me oleme tegelikult aastaid nautinud elamist Eestis kui ühes maailma kõige turvalisemas riigis. See turvatunne on nüüd kõikuma löönud. Mitte tänavatel, ma tahan selle ära täpsustada, tänavatel on endiselt turvaline, aga me ei tunne ennast enam turvaliselt digikeskkonnas. Me oleme sattunud massilise pettuserünnaku alla.
Ma olen üle 30 aasta tegelenud kuritegude tõkestamisega, 26 aastat olin politseis ja viis aastat olen olnud Eesti suurimas pangas. Sellist massilist rünnakut kurjategijate poolt inimeste suunas ei ole mina enne näinud. Aga see ei puuduta ainult Eestit, see toimub igal pool üle maailma. Nagu enne ka siin öeldud, pettused on muutunud ülemaailmseks pandeemiaks. Seda ilmestavad ka numbrid. Globaalselt hinnatakse küberkuritegevusega tekitatud kahju ulatuseks triljoneid dollareid. On isegi väidetud, et tegemist on maailma suuruselt kolmanda majandusega USA ja Hiina järel.
Euroopa Komisjoni läbiviidud Euroopa tarbijate uuringust selgus, et 2024. aastal oli 45% Euroopa Liidu tarbijatest pettusekatsega kokku puutunud. Me näeme nende numbrite tõusu ka Eestis. Politsei registreeris eelmisel aastal 3700 pettusekuritegu. Ametlikud kahjud ulatusid 29 miljoni euroni. Aga ma tahan juhtida tähelepanu, et need ei kajasta tegelikku olukorda. Mitte kõik inimesed ei lähe politseisse avaldust tegema, sest nad häbenevad. Nad ei usu ka sellesse, et neil oleks võimalus raha tagasi saada, ja nad ei usu, et politsei suudaks kurjategijateni jõuda.
Mis on siis viinud selle olukorrani? Mis on selle põhjus? Põhjus on hästi lihtne. Nii nagu kogu inimühiskond on liikunud analoogühiskonnast digitaalühiskonda, on seda teinud ka kurjategijad. Kuritegevus on käinud inimkonnaga kaasas kogu inimkonna eksistentsi aja. Kurjategijad on homo economicus'ed, nad on majanduslikult mõtlevad inimesed. Kui traditsiooniliselt on organiseeritud kuritegevus tegelenud narkoäriga, prostitutsiooni vahendamisega, salakaubaveoga ja näiteks väljapressimistega, siis nüüd on nad leidnud väga tugeva potentsiaali just eelkõige pettuste toimepanemises ja küberkuritegevuses. Miks? Vastus on hästi lihtne. Kurjategijat huvitab tulu ja kuriteo toimepanemisel arvestab ta kahte asja: saadavat kasu ja vahelejäämisriski. Paraku on olukord praegu selline, et vahelejäämisrisk on [küberpettuste puhul] üsna väike, võrreldes vahelejäämisriskiga traditsiooniliste kuritegude puhul, mida nad siiani on toime pannud, aga kasu on kordades suurem. On öeldud, et pettustest ja küberkuritegevusest saadud tulu ületab juba ammu narkokuritegevusest saadud tulu. Seega, neil on olemas motivatsioon, väga-väga tugev motivatsioon.
Mind teeb eriti murelikuks see – mul on teile halb uudis –, et olukord ei lähe paremaks, olukord läheb veel hullemaks. Koos AI tulekuga tekib kuritegelikel ühendustel täiendavaid võimalusi. Neil on ressursse, et endale AI-d lubada ja seda koolitada. Seni on seda kasutatud lihtsatel eesmärkidel: tehakse väga veenvaid [petu]veebilehti, ‑linke, ‑investeerimiskeskkondi. Aga varsti võime oodata ka näiteks deepfake'il põhinevaid kõnesid. Võib-olla osa teist on juba näinud, et deepfake'i [tehnoloogiat] on kasutatud ka Eesti presidendi puhul. Eesti president oli pandud [esinema] reklaami, mis kutsus investeerima petukeskkonnas. See oli veel üsna kehva kvaliteediga, aga uskuge mind, tehnoloogia arenedes on meil tulevikus väga-väga keeruline vahet teha, mis on pettus ja mis ei ole pettus.
Head Riigikogu liikmed! Selleks, et teil oleks võimalik aru saada, kuidas pettus toimib, tahan ma teile selgitada sellise pettuse ahelat. Väga sageli on jäänud kõlama, et pettuste tõkestamine on pigem politsei või pankade probleem. Tegelikult on see ahel palju pikem. Enne, kui me jõuame nende mõtete juurde, kuidas oleks kõige efektiivsem pettusi tõkestada, tahan ma teile natuke sellest ahelast rääkida.
Esimene aste – siin juba kõlas see küsimustest – on andmete kogumine. Me näeme seda ka Swedbankis. Eelmine aasta oli väga selge trend: me nägime, et kurjategijad sihivad juba jõukamat elanikkonda ja ka näiteks ettevõtjaid. Tekib küsimus, kust nad neid andmeid saavad, kust nad teavad, kes on ettevõtja, mis on tema nimi, mis on tema ettevõtted, milline on tema [ettevõtete] kasumlikkus ja nii edasi. Vastus on hästi lihtne. Nad kasutavad ära meie avatud digiühiskonda, juurdepääsu Eesti avalikele registritele. Samuti saavad nad informatsiooni dark web'ist, kuhu on üle kantud need andmed, mis on meilt kõigilt üle maailma varastatud või mis on ebapiisavate turvameetmete tõttu lekkinud ettevõtetelt ja ka riigiasutustelt. Me teame, et ka Eestiga on seotud päris mitu suurt andmelekkeskandaali. Need andmed on dark web'is olemas, väikese raha eest on neid võimalik kätte saada.
Teine etapp, mis toimub paralleelselt esimesega, on nii-öelda lõksude seadmine. Inimesi meelitatakse petukirjade ja reklaamide kaudu õngitsuslehtedele, [võltsitud] investeerimiskeskkondadesse ja e-poodide keskkondadesse, mida majutavad online- ja sotsiaalmeediaplatvormid. See on hästi oluline: online- ja sotsiaalmeediaplatvormid. Nende platvormide eesmärk on inimestelt välja meelitada PIN-koodid, isikuandmed, petta välja raha ja ka pangakaartide andmed, et hiljem need pangakaardid tühjendada.
Pettuse kolmas aste on ohvriga kontakteerumine. Seda tehakse tavaliselt sideettevõtjate kanalite kaudu, telkosid kasutades, kas SMS-e saates või kõnesid tehes. Me oleme näinud, et kõnesid tehakse spoof'itud numbritelt, mis tähendab, et need numbrid on muudetud. Kõne tegemiseks võidakse kasutada ükskõik kelle meie telefoninumbrit. Selleks kasutatakse tehnoloogiliselt ka Eesti kõnekaarte. Kes on lugenud uudiseid, [see teab,] et eelmisel aastal peeti meie naaberriigis Lätis kinni üks kuritegelik ühendus, kes oli ostnud Eestist kokku kümneid tuhandeid kõnekaarte, mida kasutati keskuses, kus renditi teenust kuritegelikele ühendustele, kes Eestisse kõnesid teevad. Kui ohvriga on ühendus saadud, algab ohvri mõjutamine ehk jõutakse inimeseni. Eesmärk on viia inimene stressiseisundisse, sest stressiseisundis kaob kaine mõtlemine ja inimene teeb ebaratsionaalseid otsuseid. Eesmärk on saada inimeselt kätte tema PIN-koodid ja panga kasutajatunnused ning seeläbi jõuda pangakontole, kanda sealt üle kogu inimese raha, võtta tema nimel veel laenu – nii palju, kui võimalik on, nii kiiresti, kui saab – ja seejärel kas otse või ühe põrkega saata raha Eestist minema välismaale.
Viimane etapp on kriminaalmenetlus. See on reageerimine juba toimunud teole.
Mida me siis tegema peame, head Riigikogu liikmed? Me peame tegema põhimõttelisi otsuseid. Me peame tegema valikuid põhiõiguste, vabaduste ja kohustuste vahel. Me peame silmas pidama ühte asja: mugavus ja turvalisus on alati kaalu erinevatel vaekaussidel.
Kõigepealt andmete kogumisest. Me peame esitama endale küsimuse, kas me soovime säilitada avatud digiühiskonda ja piiramatut juurdepääsu Eesti registritele, sealhulgas seda, et see juurdepääs oleks ka välismaalastel, või me muudame meie Eesti andmekogudesse logimise identifitseerimispõhiseks, pluss anname [andmekogudele] õiguse blokeerida kahtlast tegevust ja teavitada sellest kahtlasest tegevusest pädevaid organeid. Me peame endalt küsima, kas me jätame online- ja sotsiaalmeediaplatvormidele vabad käed igasuguse sisu avaldamiseks, sealhulgas petturite [loodud] sisu avaldamiseks, või me paneme online- ja sotsiaalmeediaplatvormidele kohustuse rakendada pettuse ennetamise meetmeid: eemaldada oma platvormilt ja serveritest pettusega seotud sisu, sulgeda need petukeskkonnad ja teavitada sellest pädevaid ametiasutusi.
Me jõuame sideettevõtjate juurde. Sideettevõtjad, Eesti kolm suuremat telkot, teevad meeletuid pingutusi pettuste tõkestamiseks. Eelmine aasta tõkestasid Eesti kolm suuremat telekomiettevõtet kokku 35 miljonit petukõnet. Me võime vaid ette kujutada, et kui nad seda ei oleks teinud, milline oleks siis olnud petukõnede surve Eesti ühiskonnale. Värskelt tuli uudis, et nad arendavad oma süsteeme edasi. Nad arendavad süsteeme, et veel efektiivsemalt tõkestada ka pettusega seotud sõnumeid, samuti tuvastada õngitsuskirju ning blokeerida juurdepääsu õngitsuskirjades peituvatele veebilinkidele. Aga ma juhin teie tähelepanu ühele asjale. Neile ei ole selleks seadusega pandud mitte ühtegi kohustust, nad teevad seda vabast tahtest. Me peame otsustama, kas me soovime [panna] telkodele ka sellekohase kohustuse, koos [sellega, et me anname] õiguse neid petulehti sulgeda, selliseid kõnesid blokeerida ja teavitada nendest õiguskaitseorganeid. Meil ei ole ainult need kolm suuremat telkot, telkosid on veel. Kui [telkodel neid] kohustusi ei ole, siis ma võin teile juba ette lubada, et kurjategijad hakkavad kasutama neid [telkosid], mille kaudu nad saavad [ka edaspidi] Eesti inimesteni jõuda.
Nüüd inimesed. Ohver, potentsiaalne ohver ehk Eesti inimene on selle keti kõige olulisem lüli. Me peame endalt küsima, kas me oleme teinud maksimumi selleks, et teadlikkus pettustest oleks jõudnud iga Eesti inimeseni. Iga Eesti inimeseni! Vaatame statistikat: ilmselgelt oleme me läbi kukkunud. Pettuse[vastaseid] kampaaniaid teevad paljud: pangaliit, pangad ise, telkod, riigiasutused. Neid tehakse meedias. Mina isiklikult võtan vastu kõik kutsed, kui mul on võimalik pettustest Eesti rahvale rääkida. Aga sellest ei piisa. Tundub, et me ikka ei jõua inimesteni. Me peame veel rohkem pingutama. Seda [tööd] tuleks teha koordineeritult, leppida kokku, kes teeb mida ja kuidas me jõuaksime kõigini, alates lastest ja lõpetades pensionäridega, olenemata nende emakeelest.
Pangatehingud. Pankadel õnnestub ära hoida pool kuni kolmveerand pettusekahjudest. Pankadesse on loodud pettuse tõkestamise üksused, töötavad süsteemid, mis tuvastavad kahtlaseid makseid. Aga pankadel on ka väljakutseid. Väljakutseks on näiteks Euroopa Liidus eelmisel aastal vastu võetud välkmaksete regulatsioon, mis kohustab pankasid tegema makseid hiljemalt kümne sekundi jooksul. Praktikas toimuvad maksed sekunditega. Sekundite jooksul toimub pankades paralleelselt sadu ja tuhandeid makseid, mille seast peab pank üles leidma ja tuvastama need juhtumid, mille puhul võib tegemist olla sanktsiooni rikkumise, terrorismi rahastamise, pettusekahtluse või rahapesuga.
Pankadel ei ole seadusest tulenevat õigust pettusekahtlusega makset peatada. Rahapesukahtlusega makset [saab peatada], aga mitte pettusekahtlusega makset. Meil, pankadel, ei ole ka õigust teavitada kahtlastest maksetest, pettusekahtlusega maksetest otse politseid. Informatsioon liigub läbi Rahapesu Andmebüroo, sest nii näeb seadus ette. Meil ei ole ka õigust pettusekahtlusega tehingu teostamist [tõkestada]. On olnud juhtumeid, kui inimene tuleb pangakontorisse ja soovib välja võtta kõik oma säästud. Me saame aru, et see inimene on pettuse ohver, et ta on olnud petturiga ühenduses. Me kulutame tunde, et inimest veenda: "Ära tee seda! Ära võta seda raha välja!" Aga inimene ütleb: "Mul on see õigus. Teie olete käsunditäitja, te peate tegema, mida mina tahan, sest see on minu raha." Ta võtab raha välja, aga kahe päeva pärast on ta pisarates tagasi ja ütleb: "Teil oli õigus, tõepoolest, ma sattusin pettuse ohvriks." Nii et me peame mõtlema, kas me tahame anda pankadele ka õigust selliseid tehinguid tõkestada.
Lõpuks jõuame kriminaalmenetluse juurde. Enne käis ka küsimustest läbi, kas politseil on piisavalt õigusi. Väljakutseks on see, et info ei jõua piisavalt kiiresti politseini. Ma ütlen endise politseinikuna: selleks, et politsei saaks olla edukas, selleks, et me saaksime kurjategijateni jõuda, on vaja täita paar eeldust. Esiteks peavad [politseil] olema ressursid, teiseks peab informatsioon [laekuma] kiirelt, kolmandaks peab olema võimalus kiiresti jälitustegevust alustada. Näiteks needsamad sularahakullerid, kes käivad inimeste ukse taga sularaha ja pangakaarte võtmas ja neid hiljem postiautomaatidesse panemas – kui selle kohta informatsioon tuleb, siis on kaks võimalust. Sa võid saata patrulli kohale ja [kurjategijad] kinni pidada, aga siis sa ei jõua kuritegevuse juhtfiguurideni, nendeni, kes neid inimesi juhivad. Selleks oleks vaja kiiresti [alustada] jälitustegevust. See on minutite küsimus. Nii et siin on mõttekoht.
Head Riigikogu liikmed! Head kuulajad! Minu aeg hakkab varsti läbi saama. Lõpetuseks soovin välja tuua kolm punkti, mis minu hinnangul on väga olulised, selleks et pettusi tõkestada.
Esiteks, kui me päriselt tahame pettusi tõkestada – ma tõmban mõttes joone alla sõnale "tõkestada" –, siis tuleb sellega tegelda pettuse toimepanemise igas etapis. Sellepärast ma andsin teile nendest etappidest ülevaate. Me peame panema selle kohustuse kõikidele neile, kellel on võimalus pettusi tõkestada, aga andma paralleelselt neile ka õigused, et neil oleks võimalik pettusekahtlusega sisu eemaldada ja petturite tegevust tõkestada. Ainult niimoodi saame me viia kurjategijate jaoks pettuse õnnestumise [võimaluse] miinimumini ja suurendada nende vahelejäämise riski. See on see, mis kurjategijaid heidutab. Selleks kutsun ma teid üles üle vaatama kehtivat õigusraamistikku ja kaaluma tehtud ettepanekut.
Teiseks on meil õnnestumiseks vaja väga selget riigi strateegiat ja koordineerimist. Päris mitmes töögrupis pettuste teemasid arutatakse. Värskelt on ka politseisse loodud juhtgrupp, kus kõikide nende ketilülide esindajad [osalevad]. Meil on head mõtted olemas, aga kui neid töögruppe on mitu, siis on ka oht, et joostakse eri suundades. Sellepärast on hästi tähtis, et me saaksime riigis strateegiliselt kokku leppida, kuhu me tahame jõuda, mida me selleks teeme ja kes teeb mida. Seda kõike tuleb koordineerida.
Kolmandaks, ja võib-olla on see isegi kõige olulisem, me peame tõstma Eesti rahva teadlikkust pettustest. Me peame mõtlema, võib-olla tuleks see [teema] panna isegi kooliprogrammidesse, ja tuleb vaadata, kuidas me jõuame pensionärideni. Kasutame ära kõik kanalid, et inimesteni jõuda. Me peame seda samamoodi tegema otsustavalt ja koordineeritult. Selleks, et edu saavutada, on vaja arutelusid ja otsustamisjulgust, aga meil ei ole aega. Iga päev satub pettuse ohvriks kümneid inimesi. Pettuse ohvriks võivad langeda kõikide erakondade valijad, see ei olene erakondlikust eelistusest.
Nii et kui me tahame pettustega Eestis võidelda ja petturid Eestist välja suruda, siis peame tegutsema kõik koos, koordineeritult, ühise eesmärgi nimel, ja teades, mida Eesti tegelikult suudab ära teha, kui me tahame seda teha. Siis, ma usun, me suudame need petturid siit välja suruda ja üheskoos muudame me Eesti jälle maailma kõige turvalisemaks riigiks, sealhulgas digikeskkonnas. Aitäh teile tähelepanu eest!
