RH 2013:56

Straffmätning och val av påföljd för tilltalad som döms för att under drygt två års tid gjort sig skyldig till omfattande dataintrång.

Nacka tingsrätt

Åklagaren åtalade bl.a. G.S.W. och en medtilltalad, M.G., för - utöver vissa andra brott - dataintrång enligt följande gärningsbeskrivningar.

M.G. och G.S.W. har under perioden den 1 januari 2010 till och med den 15 april 2012 i bland annat Stockholm dels tillsammans och i samförstånd dels på egen hand vid ett stort antal tillfällen via Internet med hjälp av andra personers användarnamn och lösenord olovligen anslutit sig till och genomfört sökningar i målsägandens (A) tjänst Infotorgs databas innehållande bland annat stora mängder personuppgifter. De har därigenom olovligen berett sig tillgång till uppgifter avsedda för automatiserad behandling. (Åtalpunkten 3)

M.G. och G.S.W. har från den 1 januari 2010 till och med den 15 april 2012 i bland annat Nacka tillsammans och i samförstånd olovligen berett sig tillgång till en stordator som tillhör målsäganden L. De har successivt tillförskansat sig utökad behörighet i systemet för att till slut uppnå högsta behörighet. De har även ändrat behörigheter för befintliga användare, lagt till data i stordatorn samt hämtat ut stora mängder information från stordatorn och delat sådan information med andra. M.G. och G.S.W. har därigenom olovligen berett sig tillgång till uppgifter avsedda för automatiserad behandling, olovligen ändrat samt i register fört in sådana uppgifter. (Åtalspunkten 4)

G.S.W. vidgick, såvitt avsåg gärningen i åtalspunkten 3, att han förfarit som åklagaren gjort gällande, men att det skett på egen hand och således inte tillsammans eller i samförstånd med annan. Han bestred allt ansvar vad avsåg åtalspunkten 4.

Omfattande skriftlig och muntlig bevisning åberopades.

Domskäl

Tingsrätten (chefsrådmannen Gunnar Lavett samt nämndemännen Vanna Holm, Kjell Eurén och Kristoffer Fogelström Markow) anförde i dom den 20 juni 2013 bl.a. följande.

DOMSKÄL

Inledning

En stordators datormiljö skiljer sig ganska mycket från den moderna datormiljö som vanligtvis förekommer i dag. Stordatorer har använts sedan 1960-talet och används fortfarande, framför allt av organisationer som behöver en stor beräkningskraft, t.ex.myndigheter, banker och försäkringsbolag. Stordatorn har kännetecknats av en hög driftsäkerhet och även en hög säkerhetsnivå.

Den 7 mars 2012 upptäckte en anställd hos företaget A ovanliga aktiviteter i den stordatormiljö som bolaget har sin tekniska infrastruktur i. I anledning härav startade undersökningar, inte bara inom det egna bolaget utan även hos L som A är kund hos. Eftersom de interna undersökningarna hade visat att någon (i fortsättningen benämnd ”angriparen” även om det kan ha rört sig om flera) hade gjort intrång i A:s webbtjänst Infotorg och i L:s stordator gjorde bolagen en polisanmälan som registrerades den 23 mars 2012. Undersökningen visade också att flera svenska myndigheter såsom Polisen, Kronofogdemyndigheten och Skatteverket var berörda varför Rikspolisstyrelsens verksamhetsskydd kopplades in och den 28 mars 2012 klassificerade det inträffade som en nationell särskild händelse enligt förordningen (1989:773) med instruktion för Rikspolisstyrelsen. Det akuta arbetet i anledning av det inträffade pågick fram till den 4 april 2012 men arbetet avslutades först den 15 november samma år. Parallellt med Rikspolisstyrelsens arbete pågick förundersökning vilken har resulterat i aktuellt åtal.

_ _ _

Dataintrången har varit mycket omfattande och tekniskt avancerade. Angriparen har påverkat mycket känsliga system, t.ex. stordatorer hos L. - - -. Denne har därigenom kommit åt system som innehåller mycket känslig information. Vidare har det laddats ner/tankats ut stora mängder data/information. Mycket av den informationen har i sig varit av känsligt slag men det har också rört sig om information som i kombination med annan tillgänglig information kan bli än mer känslig.

Den av åklagaren åberopade bevisningen har varit betydande och avser i huvudsak fynd som gjorts bl.a. i de hos M.G. och G.S.W. i beslag tagna datorerna jämfört med loggar (registrerade spår) från de drabbade företagen samt ytterligare fynd i form av s.k. chattar (diskussioner på Internet) som på träffats i s.k. molnlagring, dvs. information som har sparats på Internet och som har kunnat kopplas till M.G. och G.S.W.

Målet bygger till stor del på skriftlig bevisning men också på förhör med IT-forensiker och andra personer som på olika sätt arbetat med utredningen och som har sammanställt och dokumenterat resultatet av utredningen.

_ _ _

Utredningen

I målet är samtliga faktiska och bakomliggande förhållanden objektivt sett i det närmaste helt ostridiga. De tilltalade har inte närmare ifrågasatt de utredningsresultat som presenterats, t.ex. att M.G:s och G.S.W:s datorer använts vid intrången och inte heller att deras signaturer, s.k. nicks, förekommit på s.k. chattsidor i sammanhang och med innehåll som är ganska besvärande för dem.

_ _ _

Tingsrättens närmare bedömning av åtalet i åtalspunkterna 3 och 4

Som redan nämnts är i de här delarna av målet samtliga faktiska och bakomliggande förhållanden objektivt sett i stort ostridiga. De tilltalade har inte ifrågasatt riktigheten i den av åklagaren åberopade utredningen vad avser de dataintrång som förekommit och att intrången genomförts på det sätt som beskrivits. Inte heller har de ifrågasatt att det är deras datorer som använts vid intrången och att det förekommit chattkonversationer med signaturer (nicks) som de tidigare använt och fortfarande använder sig av i sådana sammanhang. Däremot har såväl M.G. som G.S.W. bestämt hävdat att de, förutom i viss begränsad omfattning vad avser åtalspunkten 3, inte har gjort intrången och inte heller, annat än i mycket begränsad omfattning, döljer sig bakom nicksen i de för dem besvärande chattkonversationer som åklagaren åberopat till ytterligare stöd för sina påståenden om att det är just de två som ligger bakom och även utfört här aktuella dataintrång.

M.G. och G.S.W. har i stället bestämt hävdat att det måste vara andra personer som via fjärrstyrning av deras datorer, eller för den delen dem ovetande rent faktiskt suttit vid deras datorer och, genomfört intrången; lika bestämt har de hävdat att det måste ha varit andra personer som i deras namn (nicks) har kommunicerat på åberopade chattar.

Det är således mot bakgrund av dessa i och för sig ostridiga faktiska förhållanden och invändningar från de tilltalades sida om fjärrstyrning m.m. som tingsrätten har att pröva för att bedöma om åklagaren förmått styrka sina påståenden och därmed visat att det är M.G. och G.S.W. som är gärningsmän och om de agerat tillsammans och i samförstånd.

Det är ostridigt att dataintrång förekommit, likaså att dessa varit av omfattande slag och att det är M.G:s och G.S.W:s datorer som därvid använts. Åklagarens utredning härvidlag är imponerande och kan så långt betecknas som tillräckligt robust. Enligt tingsrättens mening kan det därmed fastställas att dataintrång förekommit på sätt och i den omfattning åklagaren har gjort gällande och att det skett från M.G:s och G.S.W:s datorer.

Vad tingsrätten har att ta ställning till och som det här målet i huvudsak handlar om är i stället om åklagaren uppfyllt sin utrednings- och bevisbörda när det gäller att vederlägga de två tilltalades påståenden om att andra personer använt deras datorer och i övrigt agerat i deras namn, främst i de för dem mycket besvärande chattsammanhangen.

För att en godtagbar bevisvärdering ska kunna utföras gäller för all straffrättslig prövning i domstol att underlaget inte får vara för dåligt; t.ex. måste närliggande alternativa hypoteser vara tillräckligt utredda och utredningen måste sålunda ge vid handen att tänkbara alternativ kan uteslutas. Det tänkbara alternativ som här är aktuellt är att andra personer än M.G. och G.S.W. är gärningsmän. Det åvilar åklagaren att ta fram utredning också beträffande sådana alternativa hypoteser från en tilltalad, allt i syfte att i bevishänseende antingen bekräfta eller vederlägga uppgifterna.

Det kan finnas många orsaker till att en tilltalad väljer att avstå från att närmare förklara sig och detta kan i vissa fall anses vara legitimt. I sådana sammanhang har man att beakta artikel 6 i Europakonventionen. Enligt 35 kap. 4 § rättegångsbalken kan emellertid en tilltalads tystnad användas som bevis mot honom/henne i princip utan begränsningar, vilket ligger i linje med den fria bevisvärderingens princip (se bl.a. Nowak, Oskyldighetspresumtionen, Norstedts Juridik 2003 s. 422). Det är visserligen åklagaren som ska bevisa den tilltalades skuld och den tilltalade har rätt att inte uttala sig alls och är inte heller skyldig att på något sätt underlätta åklagarens uppgift. Detta hindrar dock inte att det i vissa fall, sedan åklagaren lagt fram bevisning rörande ett visst förhållande, kan ligga en förklaringsbörda på den tilltalade. Detta är nämligen ofta en förutsättning för att åklagaren ska kunna uppfylla sin utredningsskyldighet vad avser uppgifter som talar för den tilltalade men också för att i förekommande fall motbevisa en av den tilltalade påstådd omständighet.

För att ett påstående från en tilltalad ska kunna godtas enbart därför att det inte blivit vederlagt krävs emellertid att påståendet har blivit så konkretiserat att det inte på grund av sin vaghet praktiskt sett undandrar sig kontroll (jfr NJA 1980 s. 359 I). M.G. och G.S.W. har inte kunnat lämna några andra uppgifter om fjärrstyrning än att det måste ha förekommit. Dessa påståenden sett i belysningen av åklagarens bevisning i övrigt kan därmed inte anses ha konkretiserats på ett sådant sätt att det gett åklagaren möjlighet att föra motbevisning utöver den som har förekommit i målet.

Vid sådana förhållanden måste det enligt tingsrättens mening åvila en tilltalad att utveckla och närmare förklara sin alternativa hypotes. I en situation där bevisningen från åklagarens sida är i det närmaste överväldigande måste den tilltalade kunna precisera sig eller i vart fall presentera någon form av godtagbar förklaring för att inte riskera att påståendet bedöms som så osannolikt att det lämnas helt utan avseende.

M.G. har inte på något sätt kunnat lämna en rimlig förklaring till varför hans dator skulle ha fjärrstyrts eller att personer i hans närmaste vänkrets hemma hos honom skulle ha använt hans datorer i här aktuella sammanhang, inte heller någon antydan om vem i så fall den eller de personerna är.

Däremot har G.S.W. uppgett att han misstänker, t.o.m. känner sig ganska säker på, att viss eller vissa för honom kända personer har fjärrstyrt hans dator eller t.o.m. kan ha använt den på plats i ett gästrum i hans lägenhet i - - -. Som förklaring till att han inte vill namnge personen/personerna i fråga, har han uppgett att han är rädd för repressalier. Bl.a. har han förklarat sig vara rädd för att i fängelse bli utsatt för allvarlig misshandel eller något liknande.

När det gäller de tilltalades påståenden om fjärrstyrning har åklagaren kunnat visa att det i bägges datorer inte funnits spår efter sådan styrning, vilket inte heller M.G. och G.S.W. ifrågasatt. Däremot har de hävdat att de okända/kända gärningsmännen måste ha raderat alla spår som en fjärrstyrning ostridigt lämnar kvar. Visserligen har utredningen i målet inte klart visat att det är helt uteslutet att det går att radera alla spår efter en fjärrstyrning men visar samtidigt med tillräcklig styrka för åklagarens påstående om att någon fjärrstyrning inte torde ha förekommit varför också denna hypotes kan anses vara vederlagd. Enligt tingsrättens mening har åklagaren sålunda uppfyllt det som åvilar denne när det gäller att utreda tänkbara alternativa hypoteser.

Motsvarande bedömning gör tingsrätten när det gäller vem som står bakom de chattinlägg som förekommit. Framför allt beträffande M.G. har det förekommit inlägg med sådant innehåll som bara han kan ha fört fram. Tingsrätten finner det också som osannolikt att andra personer skulle använda nicks som alla i de här kretsarna vet tillhör G.S.W. Tingsrätten finner deras invändningar också i den här delen som så osannolika att de kan lämnas helt utan avseende.

Sammantaget finner tingsrätten att den utredning som åklagaren har åberopat för att utesluta alternativa hypoteser är tillräckligt robust och att den samtidigt vederlägger M.G:s och G.S.W:s invändningar om bl.a. fjärrstyrning och/eller att andra personer använt inte bara deras datorer utan också deras identiteter på chattsidor. Förutom att deras datorer ostridigt har kommit till användning vid intrången talar det mesta, bl.a. med hänsyn till vad som kommit till uttryck i de olika chattkonversationerna dem emellan, med tillräcklig styrka för att de två inte bara är gärningsmän under den aktuella tidsperioden utan även i viss omfattning agerat tillsammans och i samförstånd. Enligt tingsrättens mening är det således ställt utom rimligt tvivel att M.G. och G.S.W. är de personer som gjort de här aktuella dataintrången på sätt åklagaren hävdat. Åtalet vad avser åtalspunkterna 3 och 4 ska därmed bifallas fullt ut.

DOMSLUT

Tingsrätten dömde G.S.W. för dataintrång (åtalspunkterna 3 och 4) samt för vissa ytterligare brott till fängelse 2 år.

Hovrätten

Åklagaren och G.S.W. överklagade tingsrättens dom, varvid åklagaren yrkade att G.S.W. skulle dömas till ett längre fängelsestraff än vad tingsrätten bestämt medan G.S.W. yrkade att hovrätten skulle döma honom till böter för gärningen i åtalspunkten 3, med den inskränkningen att han har begått gärningen ensam, samt att hovrätten skulle ogilla åtalet i övrigt.

Domskäl

Hovrätten (hovrättsråden Mats Walberg och Anna-Karin Winroth, tf. hovrättsassessorn Gabriel Lind af Hageby, referent, samt nämndemännen Anki Agneby och Gerd Wrede) anförde i dom den 25 september 2013 bl.a. följande.

DOMSKÄL

Skuld

G.S.W. har inte ifrågasatt att hans dator har använts för att utföra dataintrången mot A och L och han har erkänt dataintrång mot A men har gjort gällande att han agerat ensam. Han har vidare förnekat att det är han som begått de övriga brotten. I stället har han gjort gällande att det måste vara någon annan som utan hans kännedom har utfört gärningarna, antingen genom att fjärrstyra hans dator eller genom att använda datorn vid besök i hans hem. Han har sina misstankar om vem eller vilka som ligger bakom detta men vill av rädsla för repressalier inte nämna några namn.

Har dataintrång skett?

På de skäl som angetts av tingsrätten finner hovrätten det utrett att flera intrång gjorts i A:s tjänst Infotorg och i L:s stordator under tiden 1 januari 2010 till den 15 april 2012 - - -.

Av utredningen framgår att L:s stordatormiljö innehåller databaser tillhörande Skatteverket, bl.a. Statens Personadressregister (SPAR), och Kronofogdemyndigheten. Vidare framgår att känslig information laddats ned vid dataintrången, bl.a. filer med närmare 10 000 personnummer tillhörande personer med skyddad identitet. De flesta av personnumren har sedan lagts ut på Internet där de varit lätt åtkomliga för envar. Av utredningen framgår vidare att den förtroendeskada som svenska myndigheter lidit på grund av intrången har varit stor.

_ _ _

Har G.S.W:s dator använts vid brotten?

I likhet med tingsrätten finner hovrätten det visat att G.S.W:s dator har använts vid dataintrången mot A och L. Genom utredningen är vidare visat att även M.G:s dator använts vid intrången mot A och L, vilket är något som G.S.W. inte har ifrågasatt.

Har G.S.W:s dator fjärrstyrts?

G.S.W. har avseende brotten mot L gjort gällande att hans bärbara dator av märket MacBook Pro kan ha fjärrstyrts utan hans vetskap. Datorn fungerade enligt honom som en server och datorns brandvägg var konfigurerad som för en ”labbdator”, vilket innebar att utomstående kunde koppla upp sig på datorn och använda den. På datorn kunde därför även ”udda” saker förekomma.

Hovrätten konstaterar att datorns brandvägg enligt IT-säkerhetsspecialisten J.A. har varit konfigurerad på ett sådant sätt att datorns intigritet inte längre kunde garanteras och fjärrstyrning av datorn kunnat ske på ett stort antal sätt. Enligt J.A. är det vidare möjligt att fjärrstyra en dator utan att detta lämnar några spår, t.ex. genom användande av programmeringsspråk som Python eller Neko; ett användande som tillåts genom den aktuella konfigurationen av datorns brandvägg. Om fjärrstyrningen sker via den fjärrstyrda datorns arbetsminne försvinner dessutom enligt honom spåren nästan omedelbart. J.A:s slutsatser har i hovrätten i princip bekräftats av IT-säkerhetsspecialisten J.B.

J.B. har visserligen under förundersökningen undersökt datorn och därvid kommit fram till slutsatsen att datorn inte har fjärrstyrts sedan operativsystemet ominstallerades den 11 juli 2011. Han har dock i hovrätten uppgett att datorn vid undersökningen inte genomsöktes i sin helhet och att undersökningen främst var inriktad på att söka efter spår efter fjärrstyrning med något av programmen Terminal Services och Powershell Server. J.B. har i hovrätten därför sagt sig inte kunna utesluta att datorn skulle kunna innehålla ett fjärrstyrningsprogram för exempelvis Python.

Hovrätten konstaterar att den nya bevisning som lagts fram här ger stöd för G.S.W:s påstående om att datorn var en ”labbdator”, som en obestämd krets av personer kunde använda, och att i ljuset av den nya utredningen så framstår därför J.B:s undersökning av datorn som alltför begränsad för att ensam utesluta fjärrstyrning.

Hovrätten övergår nu till att pröva frågan vilket stöd som övrig utredning, såsom chattkonversationerna, ger för åklagarens gärningspåståenden.

Chattkonversationer om intrången mot A och L

_ _ _

Hovrätten konstaterar att det faktum att det rör sig om dataintrång under flera års tid i sig innebär att det framstår som osannolikt att dessa skulle ha skett utan G.S.W:s vetskap via fjärrstyrning eller genom att besökare i dennes hem skulle ha använt hans dator. Detta faktum tillsammans med de ovan nämnda chattkonversationerna och det faktum att det i den aktuella delen (partitionen) av datorn även funnits filer hänförliga till G.S.W. personligen ger enligt hovrättens mening ett sådant stöd för åtalet att det är ställt utom allt rimligt tvivel att det är G.S.W. som tillsammans och i samförstånd med M.G. har begått intrången mot L på sätt åklagaren har påstått. G.S.W:s dator var således varken fjärrstyrd eller använd av någon gäst vid intrången. Det är därigenom även ställt utom allt rimligt tvivel att G.S.W. begått intrången mot A delvis på egen hand - vilket han också erkänt - och delvis tillsammans och i samförstånd med M.G. på sätt åklagaren har påstått.

Tingsrättens dom ska därför inte ändras såvitt avser dataintrången mot A och L (åtalspunkterna 3 och 4).

_ _ _

Påföljd

G.S.W. förekommer sedan tidigare under ett avsnitt i belastningsregistret. Han dömdes den 17 april 2009 av Stockholms tingsrätt för bl.a. medhjälp till brott mot upphovrättslagen till ett års fängelse. Verkställigheten påbörjades den 11 september 2012 och han frigavs villkorligen den 9 maj 2013.

G.S.W. döms nu för två fall av dataintrång. Intrånget mot L:s stordator har inneburit att mycket känslig information åtkommits och har förorsakat stor förtroendeskada för svenska myndigheter och stora kostnader. Brottslighetens straffvärde uppgår enligt hovrättens mening därför till drygt ett års fängelse. Eftersom dataintrången begicks innan domen den 17 april 2009 hade börjat verkställas ska viss reduktion företas då straffet bestäms och straffmätningsvärdet uppgår till ett års fängelse. Det saknas utrymme att välja annan påföljd än fängelse på grund av det höga straffmätningsvärdet och då det är fråga om återfall i brott. Fängelsestraffets längd ska därför bestämmas till ett år. Tingsrättens dom ska ändras i enlighet med detta.

DOMSLUT

Hovrätten ändrar tingsrättens dom på så sätt att hovrätten ogillar åtalen för --- samt bestämmer fängelsestraffets längd till fängelse 1 år.

Hovrättens dom meddelad: den 25 september 2013.

Mål nr: B 6402-13.

Lagrum: 4 kap. 9 c § brottsbalken.