Sisältöön

Teollisuusvakoilun torjunta - SecMeter

Ohita valikko
Ohita valikko

Teollisuusvakoilun torjunta

Yritysturvallisuus > Vakoilu
Teollisuusvakoilun torjunta



Teollisuusvakoilun torjunta edellyttää suunnitelmallisuutta. Vakoilun torjumiseksi ei ole olemassa mitään yksittäistä menetelmää tai ratkaisua (kontrollia). Esimerkiksi FBI:n mukaan ja palomuurit ja salasanat eivät riitä estämään teollisuusvakoilua.

Ensimmäinen askel tehokkaassa torjunnassa on tunnistaa ja arvioida riskit. Yrityksen tulee kartoittaa, mitkä tiedot ovat kriittisiä liikesalaisuuksia ja missä ne sijaitsevat. On arvioitava, ketkä työntekijöistä, alihankkijoista tai yhteistyökumppaneista pääsevät käsiksi arkaluontoiseen tietoon, ja missä määrin heidän toimintansa on valvottavissa.

Teollisuusvakoilun torjunta alkaa konkreettisilla suojauskeinoilla. Fyysisiä turvatoimia ovat mm. kulunvalvonta, valvontakamerat, lukitut arkistot ja tietoturvalliset tilat. Tekninen suojaus puolestaan kattaa esimerkiksi palomuurit, tiedon salaamisen, käyttäjätunnistuksen ja verkkoliikenteen valvonnan. Kybervakoilu on noussut keskeiseksi uhkaksi, ja siksi tietoturvallisuusratkaisujen ajantasaisuus ja testaus ovat kriittisiä.

Ihminen on usein turvallisuuden heikoin lenkki. Siksi henkilöstön koulutus on ensiarvoisen tärkeää. Työntekijöille on annettava selkeät ohjeet siitä, mitä tietoa saa jakaa ja kenelle, miten liikesalaisuuksia käsitellään, ja miten mahdolliset epäilyttävät tilanteet tulee raportoida. Lisäksi salassapitosopimukset ja kilpailukieltosopimukset voivat toimia ennaltaehkäisevänä suojana luottamuksellisten tietojen vuotamista vastaan.

Yrityksillä on oltava valmius reagoida nopeasti, jos epäillään teollisuusvakoilua. Tämä tarkoittaa muun muassa sisäisen tutkinnan aloittamista, tietovuotojen selvittämistä sekä tarvittaessa oikeudellisten toimien käynnistämistä. Ennalta laaditut toimintasuunnitelmat ja vastuuhenkilöt nopeuttavat ja tehostavat kriisitilanteen hallintaa.

Teollisuusvakoilua torjutaan myös lainsäädännön keinoin. Suomessa liikesalaisuuksien suojaa säädellään mm. liikesalaisuuslaissa ja rikoslaissa. Yrityksen on tärkeää olla tietoinen siitä, miten se voi suojautua oikeusteitse ja millaisia rangaistuksia vakoilusta voi seurata. Myös kansainväliset sopimukset ja EU-lainsäädäntö tarjoavat välineitä teollisuusvakoilun torjumiseksi rajat ylittävissä tapauksissa.

Torjunta ei ole vain yksittäisen yrityksen tehtävä, vaan vaatii myös yhteistyötä viranomaisten, alan toimijoiden ja turvallisuusalan asiantuntijoiden välillä. Tiedonvaihto uhkista, parhaista käytännöistä ja uusista teknologisista ratkaisuista vahvistaa koko elinkeinoelämän valmiutta estää vakoilua.
Tehtävälista
Riskien kartoitus ja arviointi

  1. Tee inventaario kaikista liikesalaisuuksista ja luottamuksellisista tiedoista.
  2. Tunnista tärkeimmät prosessit ja tiedostot, jotka ovat alttiita vakoilulle.
  3. Arvioi ketkä henkilöt ja sidosryhmät pääsevät käsiksi arkaluonteiseen tietoon.
  4. Tee riskianalyysi, missä on suurimmat vuodot tai heikot kohdat?
  5. Huomioi riskianalyysissä droonitiedustelun mahdollisuus.
  6. Laadi vierailijakäytännöt, jotka sulkevat pois vakoilun mahdollisuuden.

Fyysinen turvallisuus

  1. Varmista kulunvalvonta (kortit, avainhallinta, vierailijakäytännöt).
  2. Asenna valvontakamerat kriittisiin alueisiin.
  3. Käytä lukittuja kaappeja ja arkistoja salaisille dokumenteille.
  4. Rajaa pääsy tuotantotiloihin vain niille, joilla on siihen tarve.

Tietoturva ja kyberturvallisuus

  1. Käytä vahvoja salasanoja ja kaksivaiheista tunnistautumista.
  2. Salaa luottamuksellinen data ja varmuuskopiot.
  3. Päivitä tietoturvaohjelmistot ja palomuurit säännöllisesti.
  4. Varmista, että USB-portit ja siirrettävät muistilaitteet ovat hallinnassa.
  5. Toteuta lokitietojen seuranta (kuka pääsee tietoihin ja milloin).

Henkilöstön koulutus ja ohjeistus

  1. Järjestä säännöllisiä koulutuksia salassapidosta ja vakoilun riskeistä.
  2. Laadi selkeät ohjeet luottamuksellisen tiedon käsittelystä.
  3. Sopimuksiin mukaan salassapito- ja kilpailukieltolausekkeet.
  4. Korosta ilmoitusvelvollisuutta epäilyttävistä havainnoista.

Toimittaja- ja alihankintaketjun hallinta

  1. Tarkasta kumppanien turvallisuuskäytännöt ennen sopimuksia.
  2. Sisällytä salassapitosopimus alihankintasopimuksiin.
  3. Varmista tiedon jakaminen vain “tarpeen mukaan” -periaatteella.
  4. Auditoinnit ja tietoturvatarkastukset kriittisille toimittajille.

Valvonta ja seuranta

  1. Seuraa käyttäjien pääsyoikeuksia ja käyttöä järjestelmissä.
  2. Monitoroi sisäverkkoa epätavallisen tiedonsiirron varalta.
  3. Toteuta säännöllisiä sisäisiä tarkastuksia ja auditointeja.
  4. Pidä yllä hälytysjärjestelmiä fyysisille ja digitaalisille murroille.

Reagointi- ja kriisinhallintasuunnitelma

  1. Laadi toimintasuunnitelma epäillyn vakoilutapauksen varalle.
  2. Määrittele vastuuhenkilöt ja yhteyshenkilöt.
  3. Sisällytä todisteiden keräys ja säilytys (oikeudellisia toimia varten).
  4. Harjoittele suunnitelman toteutusta säännöllisesti.

Johtamisen ja hallinnon sitouttaminen

  1. Nimeä tietoturvavastaava / turvallisuuspäällikkö.
  2. Sisällytä turvallisuusstrategia yrityksen johtamiseen.
  3. Budjetoi riittävästi turvallisuustoimiin.
  4. Raportoi turvallisuusasioista johdolle ja hallitukselle säännöllisesti.

Lainsäädännön ja vaatimusten noudattaminen

  1. Selvitä kansallinen ja kansainvälinen liikesalaisuuslainsäädäntö.
  2. Varmista GDPR:n, liikesalaisuuslain ja muiden säädösten noudattaminen.
  3. Käytä tarvittaessa lakimies- tai asiantuntija-apua sopimuksissa ja riitatilanteissa.
Tehokkaista kontrolleista huolimatta liikesalaisuuksien suojaamisessa ei voida saavuttaa täydellistä varmuutta salaisuuksien säilymisestä, koska riittävän isolla "vasaralla" voidaan rikkoa mitkä tahansa turvallisuuskontrollit.

Olennaista on toteuttaa liikesalaisuuksien turvaamisen kannalta kustannustehokkaat (panos/tuotos) kontrollit, jotta tavoitteeksi asetettu liiketaloudellinen tulos ei tältä osin vaarannu. Teollisuusvakoilun torjuntasuunnitelman laadinnassa huomioitavia seikkoja ovat mm.

  • yrityssalaisuuksien tunnistaminen
  • yrityssalaisuuksia käsittelevien prosessien ja niihin osallistuvien henkilöiden tunnistaminen
  • yrityssalaisuuden suojaa uhkaavien potentiaalisten toimijoiden tunnistaminen
  • kontrollien valinta
  • kontrollien sisällyttäminen yrityksen riskienhallintasuunnitelmaan
  • kontrollien ulottaminen kaikille liiketoiminnan osa-alueille, joissa liikesalaisuuksia käsitellään.
Ohita valikko
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön