Esialgse kahtlustuse kohaselt hankisid kaks kohalikku noormeest, 15-aastane ja 19-aastane, ligipääsu Itella infosüsteemile ja laadisid alla ligi 10 000 inimese andmed. Kahtlustatavad koostasid turvanõrkuse kohta detailse ülevaate, mille nad avaldasid veebis koos inimeste andmetega, tehes avalikult kättesaadavaks Itella klientide nimed, meiliaadressid ja mobiiltelefoni numbrid.

Keskkriminaalpolitsei küberkuritegude büroo juhi Ago Amburi sõnul õnnestus kahtlustatavad tuvastada vaatamata nende katsetele oma jälgi varjata.

„Anonüümsus internetis on vaid näiline ning ei tasu loota, et need teod välja ei tule. Turvanõrkuste otsimine, olgu see motiveeritud finantsilisest või intellektuaalsest huvist, on kübermaailmas väga levinud nähtus. On olemas seaduslikud viisid, kuidas selliseid nõrkuseid otsida ning nendest ka vastutustundlikult teada anda. Antud juhul tungiti infosüsteemi sisse valdaja nõusolekuta, laaditi alla sealsed andmed ning detailne info turvanõrkuse kohta pandi üles sotsiaalmeediasse kõikidele lugemiseks. Noorte huvi küberturvalisuse vastu on väga tervitatav, aga püsida tuleb seaduse piirides. Ka häkkida saab seaduslikult, sest paljud ettevõtted kutsuvad ise enda süsteemidest leitud turvanõrkustest teada andma. Samuti on olemas spetsiaalsed keskkonnad, mis sellist tegevust vahendavad ning Eestis on mitmed tööandjad, kes sellise tegevuse eest ka ametlikult palka maksvad,“ ütles Ambur.

Riigiprokurör Vahur Verte sõnul tuleb edasise uurimise käigus selgitada välja teo motiivid ja kahtlustatavate täpne roll. Pärast kohtueelse menetluse lõppu hindab prokuratuur, milline on selle menetluse edasine käik.

„Mida enam digitaalseid võimalusi teenusepakkujad meile pakuvad, seda enam loovutame neile oma andmeid ja seda olulisem on teenusepakkujatel tagada andmete turvalisus. Paraku näeme menetlustes, et tihti ei pea teenusepakkujad küberturvalisusesse investeerimist prioriteediks. See muudab teenused haavatavaks ja kogutud andmed kergesti ligipääsetavaks. Rahalist kasu otsiv kurjategija ei pruugi andmeid avaldada, vaid võib neid ise kuritarvitada või info edasi müüa. Teenusepakkuja peab olema veendunud, et klientide andmed on turvatud ja hoitud parimal viisil, IT-süsteemid oleksid ajakohased ning tehtud oleks tootjate nõutud turvauuendused. Ehkki iga samm jätab küberruumis maha jäljed, mille abil jõuab politsei teo toimepanijani, siis kahtlustatava tabamine ei leevenda klientidele tekitatud kahju – teenusepakkujale usaldatud andmed on jõudnud võõraste, tihti ka pahatahtlike inimeste kätte. Küberturvalisus on küll kallis, ent sellesse investeerimata jätmine on veelgi kulukam,“ ütles Verte.

Uurimist alustati karistusseadustiku paragrahvi järgi, mis käsitleb arvutisüsteemile ebaseaduslikult juurdepääsu hankimist (KarS § 217). 19-aastane noormehele esitati kahtlustus ka võltsitud dokumendi kasutamises (KarS § 348).

Uurimist viib läbi keskkriminaalpolitsei küberkuritegude büroo Riigiprokuratuuri juhtimisel.