Lugupeetud Riigikogu esimees! Austatud Riigikogu liikmed! Head kuulajad! Me oleme siin Eestis aastaid nautinud elamist tegelikult maailma ühes turvalisemas riigis. Täna on see turvatunne kõikuma löönud. Mitte tänavatel, ma tahan selle ära täpsustada. Tänavatel on endiselt turvaline. Aga me ei tunne enam ennast turvaliselt digikeskkonnas. Me oleme sattunud massilise pettuste rünnaku alla.
Ma olen 30 aastat tegelenud kuritegude tõkestamisega, 26 aastat politseis ja viis aastat Eesti suurimas pangas. Sellist massilist rünnakut kurjategijate poolt inimeste suunas ei ole mina enne näinud. Aga see ei puuduta ainult Eestit, see toimub igal pool üle maailma. Ja nagu enne juba siin ka öeldud, pettused on muutunud ülemaailmseks pandeemiaks. Seda ilmestavad ka numbrid. Globaalselt hinnatakse küberkuritegevusega tekitatud kahju ulatuseks triljonid dollarid. On isegi väidetud, et tegemist on hetkel maailma suuruselt kolmanda majandusega USA ja Hiina järel.
Euroopa Komisjoni tehtud Euroopa tarbijate uuringust selgus, et 2024. aastal on 45% Euroopa Liidu tarbijatest puutunud kokku pettusekatsega. Me näeme nende numbrite tõusu ka Eestis. Politsei registreeris eelmisel aastal 3700 pettusekuritegu. Ametlikud kahjud ulatasid 29 miljoni euroni. Aga ma tahan juhtida tähelepanu sellele, et need ei kajasta tegelikku olukorda. Mitte kõik inimesed ei lähe politseisse avaldust tegema, sest nad häbenevad. Nad ei usu ka sellesse, et neil on võimalus raha tagasi saada, ja nad ei usu, et politsei suudab kurjategijateni jõuda.
Mis on siis viinud selle olukorrani? Mis on selle põhjus? Põhjus on hästi lihtne. Nii nagu inimühiskond on liikunud analoogühiskonnast digitaalühiskonda, on seda teinud ka kurjategijad. Kuritegevus on käinud inimkonnaga kaasas kogu inimkonna eksistentsi ajal. Ja kurjategijad on homo economicus, nad on majanduslikult mõtlevad inimesed. Kui traditsiooniliselt on organiseeritud kuritegevus tegelenud narkoäriga, prostitutsiooni vahendamisega, salakaubaveoga ja muude väljapressimistega, siis nüüd on nad leidnud enda jaoks väga tugeva potentsiaali just eelkõige pettuste toimepanemises ja küberkuritegevuses. Miks? Vastus on hästi lihtne. Kurjategijat huvitab tulu ja kuriteo toimepanemisel arvestab ta tegelikult kahte asja: saadavat kasu ja vahelejäämise riski. Paraku on olukord praegu selline, et vahelejäämisrisk on üsna väike võrreldes traditsiooniliste kuritegudega, mida nad siiani on toime pannud, aga kasu on kordades suurem. On juba öeldud, et pettustest ja küberkuritegevusest saadud tulu ületab juba ammu narkokuritegevusest saadud tulu. Seega, nendel on olemas motivatsioon – väga-väga tugev motivatsioon.
Ja mis teeb mind eriti murelikuks, on see – nüüd on mul teile halb uudis –, et see olukord ei lähe paremaks, see olukord läheb veel hullemaks. AI tulekuga tekib kuritegelikel ühendustel täiendavaid võimalusi. Neil on ressursse, et endal AI-d lubada ja seda koolitada. Täna kasutatakse seda lihtsateks eesmärkideks, tehakse väga veenvaid veebilehti, petulinke, investeerimiskeskkondi. Aga varsti võime me oodata ka näiteks deepfake'il põhinevaid kõnesid. Võib-olla osa teist on juba näinud, et deepfake'i on kasutatud ka Eesti presidendina. Eesti president on pandud reklaami, mis kutsub investeerima pettuse keskkonnas. See on veel esialgu üsna kehva kvaliteediga, aga uskuge mind, tehnoloogia arenedes on meil tulevikus väga-väga keeruline vahet teha, mis on pettus ja mis ei ole pettus.
Head Riigikogu liikmed! Selleks, et aru saada, kuidas pettus toimib, tahaksin ma teile selgitada selle pettuse ahelad. Väga sageli on jäänud kõlama see, et pettuste tõkestamine on pigem kas politsei või pankade probleem, aga tegelikult on see ahel palju pikem. Ja enne, kui me jõuame mõtete juurde, kuidas oleks kõige efektiivsem pettusi tõkestada, tahaksin ma teile natuke sellest ahelast rääkida.
Esimene aste – siin juba kõlas ka see küsimustest – on tegelikult andmete kogumine. Me näeme seda ka Swedbankis. Eelmine aasta oli väga selge trend, kus me nägime, et kurjategijad sihivad tegelikult juba jõukamat elanikkonda ja ka näiteks ettevõtjaid. Tekib küsimus, kust kohast nad need andmed saavad, kust nad teavad, kes on ettevõtja, mis on tema nimi, mis on tema ettevõtted, mis on tema kasumlikkus ja nii edasi. Vastus on hästi lihtne. Nad kasutavad ära meie avatud digiühiskonda, juurdepääsu meie Eesti avalikele registritele. Samuti saavad nad informatsiooni dark web'ist, kuhu on üle kantud need andmed, mis on meilt kõigilt varastatud, üle maailma, või on lekkinud ebapiisavate turvemeetmete tõttu erinevatelt ettevõtetelt ja ka riigiasutustelt. Me teame, et ka Eestiga on seotud päris mitu suurt andmelekkeskandaali. Need andmed on dark web'is olemas, väikese raha eest on neid võimalik saada.
Teine etapp, mis toimub paralleelselt esimesega, on nii-öelda lõksude seadmine. Inimesi meelitatakse petukirjade ja reklaamide kaudu õngitsuslehtedele, investeerimiskeskkondadesse ja ka e-poodide keskkondadesse, mida majutavad on-line- ja sotsiaalmeediaplatvormid. See on hästi oluline, on-line- ja sotsiaalmeediaplatvormid. Ja nende platvormide eesmärk on välja meelitada inimeste PIN-koodid, isikuandmed, petta välja raha ja pangakaartide andmed, et siis hiljem pangakaardid tühjendada.
Kolmas aste pettuses on ohvriga kontakteerumine. Seda tehakse tavaliselt sideettevõtjate kanalite kaudu, telkosid kasutades, kas SMS-e saates või kõnesid tehes. Me oleme näinud, et kõnesid tehakse spoof'itud numbritelt, mis tähendab, et need numbrid on muudetud. Võidakse kasutada ükskõik kelle meie telefoninumbrit kõne tegemiseks. Selleks kasutatakse tehnoloogiliselt ka Eesti kõnekaarte. Kes luges uudiseid, see teab, et eelmisel aastal peeti kinni meie naaberriigis Lätis üks kuritegelik ühendus, kes oli ostnud Eestist kokku kümneid tuhandeid kõnekaarte, mida kasutati keskuses, kus renditi välja teenust kuritegelikele ühendustele, kes Eestisse kõnesid teevad. Kui ohvriga oleks ühendust saanud, algab ohvri mõjutamine ehk jõutakse inimeseni. Eesmärk on viia inimene stressiseisundisse, sellepärast et stressiseisundis kaob kaine mõtlemine ja inimene teeb ebaratsionaalseid otsuseid. Eesmärk on saada inimeselt kätte tema PIN-koodid ja panga kasutajatunnused ning seeläbi jõuda pankade kontodele, kanda ära kogu tema raha, võtta veel inimeste nimel veel lisalaenusid – nii palju, kui võimalik on, nii kiiresti, kui saab – ja seejärel kas otse või ühe põrkega saata raha Eestist kiiresti minema välismaale. Viimane etapp on kriminaalmenetlus. See on juba reageerimine toimunud teole.
Mida me siis tegema peaksime, head Riigikogu liikmed? Me peame tegema põhimõttelised otsused. Me peame tegema valikud põhiõiguste, vabaduste ja kohustuste vahel. Me peame silmas pidama ühte asja: mugavus ja turvalisus on alati kaalu erinevatel vaekaussidel.
Kõigepealt andmete kogumisest. Me peame esitama endale küsimuse, kas me soovime säilitada avatud digiühiskonda ja piiramatut juurdepääsu Eesti registritele, sealhulgas välismaalastele, või muudame meie Eesti andmekogudesse logimise identifitseerimispõhiseks. Pluss anname neile õiguse blokeerida kahtlast tegevust ja teavitada sellest kahtlasest tegevusest ka pädevaid organeid. Me peame küsima endalt, kas me jätame on-line- ja sotsiaalmeediaplatvormidele vabad käed igasuguse sisu avaldamiseks, sealhulgas petturite sisu avaldamiseks, või me paneme on-line- ja sotsiaalmeediaplatvormidele kohustuse rakendada pettuse ennetamise meetmeid, eemaldada oma platvormidelt ja serveritest pettusega seotud sisu, sulgema neid petukeskkondasid ja teavitama sellest ka pädevaid ametiasutusi.
Me jõuame sideettevõtjate juurde. Täna teevad sideettevõtjad, Eesti kolm suuremat telkot meeletuid pingutusi pettuse tõkestamiseks. Eelmine aasta tõkestasid Eesti kolm suuremat telekomiettevõtet kokku 35 miljonit petukõnet. Me võime ette kujutada, kui nad seda ei oleks teinud, milline oleks siis olnud petukõnede surve Eesti ühiskonnale olnud siis. Värskelt tuli uudis, et nad arendavad oma süsteeme edasi. Nad arendavad süsteeme, et veel efektiivsemalt tõkestada ka pettusega seotud sõnumeid, samuti tuvastada õngitsuskirju ning blokeerida juurdepääsu õngitsuskirjades peituvatele veebilinkidele. Aga ma juhin teie tähelepanu ühele asjale. Neil ei ole täna selleks seadusega mitte ühtegi kohustust, nad teevad seda vabast tahtest. Ja nüüd me peame otsustama, kas me soovime anda telkodele ka sellekohase kohustuse koos õigusega neid petulehti sulgeda, blokeerida selliseid kõnesid ja teavitada sellest ka õiguskaitseorganeid. Sest meil ei ole ainult need kolm suuremat telkot, telkosid on veel. Ja kui neil kohustusi ei ole, siis ma võin teile juba ette lubada, et kurjategijad hakkavad kasutama neid, kelle kaudu nad saavad Eesti inimesteni jõuda.
Ja nüüd inimesed. Ohver, potentsiaalne ohver ehk Eesti inimene on selle ketilüli kõige olulisem osa. Me peame endalt küsima, kas me oleme teinud maksimumi selleks, et pettusalane teadlikkus on jõudnud iga Eesti inimeseni. Iga Eesti inimeseni! Vaadates statistikat, ilmselgelt oleme me läbi kukkunud. Pettusekampaaniad teevad paljud – pangaliit, pangad ise, telkod, riigiasutused. Meedias – mina isiklikult, ma astun kõik kutsed, kus mul on võimalik pettusest rääkida Eesti rahvale. Aga sellest ei piisa. Kuidagi tundub, et me ikka ei jõua inimesteni. Me peame pingutama veel rohkem. Seda tuleks teha koordineeritult, leppida kokku, kes teeb mida ja kuidas me jõuame kõigini, alates lastest ja lõpetades pensionäridega, olenemata nende emakeelest.
Nüüd pangatehingud. Pankadel õnnestub ära hoida pool kuni kolmveerand pettusekahjudest. Pankadesse on loodud pettuse tõkestamise üksused, töötavad süsteemid, mis tuvastavad kahtlaseid makseid. Aga pankadel on ka väljakutseid. Väljakutseks on näiteks Euroopa Liidus eelmisel aastal vastu võetud välkmaksete regulatsioon, mis tegelikult kohustab pankasid tegema makseid hiljemalt kümne sekundi jooksul. Praktikas toimuvad maksed sekunditega. Ja sekundite jooksul toimub paralleelselt pankades sadu ja tuhandeid makseid, mille puhul pank peab üles leidma ja tuvastama juhtumi, kas tegemist võib olla sanktsiooni rikkumisega, kas tegemist võib olla terrorismi rahastamisega, kas tegemist võib olla pettuse kahtlusega või rahapesuga.
Täna ei ole tegelikult pankadel ka seadusest tulenevat õigust pettuse kahtlusega makset peatada. Rahapesukahtlusega makset saab peatada, aga mitte pettuse kahtlusega. Meil ei ole ka täna õigust – pankadel – teavitada kahtlastest maksetest pettuse kahtlusega maksetest otse politseid. Informatsioon liigub täna läbi rahapesu andmebüroo, sest nii näeb seadus ette. Täna ei ole meil ka õigust pettuse kahtlusega tehingu teostamiseks. Meil on olnud juhtumeid, kus inimesed tulevad pangakontorisse ja soovivad välja võtta kõik oma säästud. Me saame aru, et see inimene on parasjagu pettuse ohver, et ta on petturiga ühenduses. Me kulutame tunde, et inimest veenda: "Ära tee seda. Ära võta seda raha välja!" Aga inimene ütleb. "Mul on õigus. Teie olete käsunditäitja, te peate tegema, mida mina tahan, sest see on minu raha." Ta võtab raha välja ja kahe päeva pärast on ta pisarates tagasi ja ütleb: "Teil oli õigus, tõepoolest, ma sattusin pettuse ohvriks." Nii et me peame mõtlema, kas me tahame anda ka pankadele õiguse selliseid tehinguid tõkestada.
Ja lõpuks jõuame kriminaalmenetluse juurde. Siit käis ka enne küsimustest läbi, kas politseil on piisavalt õigusi. Täna on väljakutseks see, et info ei jõua piisavalt kiiresti politseini. Ma ütlen endise politseinikuna seda: selleks, et politsei saab olla edukas, selleks, et me saaksime kurjategijateni jõuda, on vaja täita paar eeldust. Esiteks peavad selleks olema ressursid, teiseks peab olema kiire informatsioon, kolmandaks peab olema võimalus kiiresti alustada jälitustegevust. Näiteks nendesamade sularahakullerite püüdmiseks, kes käivad inimeste ukse taga sularaha ja pangakaarte võtmas ja neid hiljem postiautomaatidesse panemas. Kui see informatsioon tuleb, siis on kaks võimalust. Kas sa saad nad patrulli kohale ja pead nad kinni, aga siis sa ei jõua kuritegevuse juhtfiguurideni, nendeni, kes neid inimesi juhivad. Selleks oleks vaja kiiresti teha jälitustegevust. See on minutite küsimus. Nii et siin on mõttekoht.
Head Riigikogu liikmed! Head kuulajad! Minu aeg hakkab varsti läbi saama. Lõpetuseks sooviksin välja tuua kolm punkti, mis minu hinnangul on väga olulised, et pettusi tõkestada.
Esiteks, kui me päriselt tahame pettusi tõkestada – ma tõmban siin joone alla sõnale "tõkestada" –, siis seda tuleb teha pettuse toimepanemise igas etapis. Sellepärast ma andsin teile nendest etappidest ülevaate. Me peame panema kohustuse kõikidele neile, kellel on võimalus pettusi tõkestada, aga andma ka paralleelselt õigused, et neil oleks võimalik pettuse kahtlusega sisu eemaldada ja petturite tegevust tõkestada. Ainult niimoodi saame me viia kurjategijate jaoks pettuse õnnestumise miinimumini ja suurendada nende vahelejäämise riski. See on see, mis kurjategijaid heidutab. Selleks kutsun ma teid üles üle vaatama kehtivat õigusraamistikku, et kaaluda tehtud ettepanekut.
Teiseks on meil vaja õnnestumiseks väga selgelt riigipoolset strateegiat ja koordineerimist. Täna on päris mitmeid erinevaid töögruppe, kus pettuste teemasid arutatakse. Alles värskelt loodi ka politseisse juhtgrupp, kus on tegelikult kõikide nende ketilülide esindajad olemas. Meil on head mõtted olemas, aga kui neid töögruppe on mitu, siis on ka oht, et joostakse eri suundades. Sellepärast on hästi tähtis, et me saaksime riigis strateegiliselt kokku leppida, kuhu me tahame jõuda, mida me selleks teeme, kes teeb mida, ja koordineerida seda.
Ja kolmandaks – võib-olla on see isegi kõige olulisem –, me peame tõstma Eesti rahva teadlikkust pettusest. Me peame mõtlema, võib-olla me peame selle isegi panema kooliprogrammidesse, vaatama, kuidas me jõuame pensionärideni. Kasutame ära kõik kanalid, et inimesteni jõuda. Samamoodi peame tegema seda otsustavalt ja koordineeritult. Selleks, et edu saavutada, on vaja arutelusid ja otsustamisjulgust, aga meil ei ole aega. Iga päev satub pettuse ohvriks kümneid inimesi. Pettuse ohvriks võivad langeda ka kõikide erakondade valijad, olenemata erakondlikust eelistusest.
Nii et kui me tahame pettustega Eestis võidelda ja petturid Eestist välja suruda, siis peame tegutsema kõik koos, koordineeritult, ühise eesmärgi nimel ja teades, mida tegelikult Eesti suudab ära teha. Kui me tahame seda teha, siis ma usun, et me suudame need petturid siit välja suruda. Üheskoos muudame Eesti jälle maailma kõige turvalisemaks riigiks, sealhulgas digikeskkonnas. Aitäh teile tähelepanu eest!
