Sisältöön

Yritysvakoilu - SecMeter

Ohita valikko
Ohita valikko

Yritysvakoilu

Yritysturvallisuus > Vakoilu
Yritysvakoilu



Suomen rikoslaissa yritysvakoilu on nimenomaisesti kriminalisoitu rikoslain 30 luvun 4 §:ssä. Kyseessä ei ole vain moraalisesti arveluttava teko, vaan juridinen rikosnimike, joka kohdistuu suoraan elinkeinotoiminnan ytimeen, liike- ja ammattisalaisuuksiin sekä yrityksen luottamukselliseen tietoon.

Lain mukaan yritysvakoilun rikoksen kohteena oleva tieto liittyy yksinomaan yrityksen harjoittamaan elinkeinotoimintaan. Tämä rajaus on merkittävä, sillä se erottaa yritysvakoilun muista tiedustelun ja urkinnan muodoista, kuten poliittisesta vakoilusta tai yksityiselämään kohdistuvasta tietomurrosta.

Liike- ja ammattisalaisuudet kattavat laajan kirjon tietoa. kuten innovaatiot, tuotteiden valmistusmenetelmät, tulevat liiketoimintasuunnitelmat tai hinnoittelustrategiat, joiden julkitulo väärässä kontekstissa voi romuttaa vuosien työn ja investoinnit. Tämän vuoksi rikoslaki suojaa näitä tietoja rangaistuksen uhalla.

Yritysvakoilun haaste piilee usein sen näkymättömyydessä ja teknologisoitumisessa. Vakoilua ei välttämättä tehdä salaa käytävillä tai fyysisesti toimistossa. kuten kuvastotyyppisissä esityksissä paperin kopioinnista kopiokoneella, vaan yhä useammin digitaalisten kanavien, tietomurtojen ja hakkeroinnin keinoin. Siitä huolimatta juridinen määritelmä pitää pintansa: mikä tahansa luvaton toiminta, jolla pyritään saamaan haltuun elinkeinotoimintaan liittyvää luottamuksellista tietoa, täyttää yritysvakoilun tunnusmerkistön.

Yritysvakoilu ei ole vain yksittäisen yrityksen ongelma, vaan se heikentää laajemmin markkinoiden toimivuutta ja taloudellista luottamusta. Luottamus siihen, että yrityksen sisäinen tieto pysyy suojassa, on toimivan kilpailun ja innovaation edellytys. Kun tämä luottamus horjuu, seurauksena voi olla toimintojen siirtämistä ulkomaille, tutkimus- ja kehitystyön karsimista tai varovaisuutta uuden teknologian käyttöönotossa. Näin ollen yritysvakoilu ei ole vain rikos, vaan se on riski koko kansantaloudelle.

Yritysvakoilun torjumiseksi tarvitaan paitsi rikosoikeudellista sääntelyä, myös aktiivisia toimia yritysten sisällä. kuten tietoturvan vahvistamista, henkilöstön kouluttamista ja riskien ennakointia.
Tab 1 Tapauksia
Puhekielessä yritysvakoilusta käytetään myös epämääräisempiä merkityksiä sisältäviä ilmaisuja kuten mm. kilpailijavakoilu ja teollisuusvakoilu. Olennaista on kuitenkin tiedostaa, että kaikki vakoilutoiminta ei liity elinkeinotoimintaan. On myös poliittista vakoilua, johon liittyy talousvakoilu ja pakolaisvakoilu sekä sotilastiedustelua, johon liittyy mm. atomivakoilu.

Rikoksena yritysvakoilu on Suomessa erittäin harvinainen. Julkisuudessa esitetyt kyselytutkimukset yritysvakoilun yleisyydestä ja yritysvakoilun vuotuisesta taloudellisesta arvosta ovat epäluotettavia, koska tulokset eivät ole perustuneet riittäviin faktatietoihin. Kyselytutkimuksille on tyypillistä, että kaikki vastaajat ja vastaukset hyväksytään. Kyselyt eivät perustu selkeisiin yksityiskohtaisiin määritelmiin ja rajauksiin, eikä vastausten perusteena olevia yhdenmukaisia laskelmia edellytetä. Yritysvakoilun tunnusmerkistö täyttyy jos

  • kohteena oleva tieto on liikesalaisuus
  • tieto on saatu haltuun oikeudettomasti rikoslaissa kuvatuin menetelmin
  • teon tarkoituksena on oikeudettomasti ilmaista tai käyttää liikesalaisuutta.

Yritysvakoilulla ei yleensä ole yksittäisinä tapauksina suurta kansantaloudellista merkitystä toisin, kuin polliittiseen vakoiluun liittyvällä talousvakoilulla, joka on systeemistä ja uhkaa kansantaloutta. Yksittäisen yritysvakoilutapauksen taloudellisten menetysten arvoa on käytännössä erittäin vaikea arvioida ja mahdotonta todistella. Käytännössä yritysvakoilun kohteeksi joutunut yritys pyrkii lähes aina liioittelemaan kyseisen tiedon merkitystä ja sen arvoa omalle toiminnalleen. Yritykset ovat myös taipuvaisia tulkitsemaan yksipuolisin ja kevein perustein kehnon liiketoimintamenestyksensä johtuvan esimerkiksi asiakasrekisterinsä yhteystietojen vuotamisesta.

Olennaiset väärinkäytöksen selvitystä edellyttävät asiat

  • Sisältyikö tietoihin liikesalaisuuksia?
  • Hankkiko työntekijä tiedot oikeudettomasti ilman asianmukaisesti myönnettyjä käyttövaltuuksia?
  • Oliko työntekijälle kerrottu, ettei hänellä ei ole oikeutta hankkia tietoa yrityssalaisuuksista jäljentämällä tai muulla siihen rinnastettavalla tavalla muutoin kuin työtehtävien hoitamisen kannalta on välttämätöntä?
  • Oliko työntekijällä tarkoituksena oikeudettomasti ilmaista tai käyttää liikesalaisuuksia?

Teollisuuden ja Työnantajien keskusliitto kiinnitti ongelmiin huomioita jo vuonna 1997
Vuonna 1997 Teollisuuden ja Työnantajain keskusliitto otti kantaa liikesalaisuuksien vuototapauksiin toivoen, että oikeusministeriö ryhtyy pikaisesti tutkimaan liikesalaisuuksien turvaamista ja selkiyttäisi sitä koskevaa lainsäädäntöä. TT:n pkt -asiamiehen ja osastopäällikön mukaan lainsäädäntö on pirstaleista ja käsitteet sisältöineen vaihtelevat laista toiseen. TT totesi seuraavaa:

  • Yritykset tarvitsevat kilpailukielto- ja salassapitosopimuksia.
  • Kilpailukielto tulee laajentaa koskemaan myös työsuhteen jälkeistä aikaa.
  • Tiedon varastaminen pitää tunnustaa rikokseksi.
  • Kopiointi ja niiden myöhempi käyttö kilpailijan palveluksessa täytyy kieltää.

Yritysvakoilun tunnusmerkistön kaksi olennaista kysymystä

1. Onko henkilö hankkinut tiedot oikeudettomasti?
Yritysvakoilusäännöstä ei sovelleta tietojenhankintaan, joka tapahtuu työntekijän työhön kuuluvien tiedonhankkimisoikeuksien rajoissa. Tietojen tallentaminen työntekijän omalle tallennusvälineelle ei täytä tiedon hankinnan oikeudettomuuden tunnusmerkkiä. Oikeudettomuus edellyttää, ettei yrityksen työntekijällä ole kopiointiajankohtana voimassa käyttövaltuuksia yrityssalaiseen tietoaineistoon tai kyseisten tietojen kopiointivaltuuksia. Lähde: (KKO 2013:20)

Näin ollen työntekijä ei voi syyllistyä työsuhteen aikana yritysvakoiluun yksinomaan sen johdosta, että kopioi käyttövaltuuksiensa puitteissa tietoja esimerkiksi muistitikulle, vaikka kyseessä olisi irtisanoutumisen jälkeen tapahtuva kopiointi, kopioinnin tarkoituksena olisi kerätä tietoja työpaikanvaihdoksen johdosta tai kopioitu tietoaineisto on sellaista, ettei sen kopioimiselle ole työstä johtuvaa perustetta.

2. Onko henkilön tosiasiallisena tarkoituksena käyttää tietoa hyväksi tai ilmaista tieto ulkopuoliselle?
Yritysvakoilusäännöstä ei sovelleta, ellei työntekijän tarkoituksena ole oikeudettomasti ilmaista tai käyttää liikesalaisuuksia hyödyksi. Tulevaisuudessa tapahtuvan käytön osalta liikesalaisuuksien kopioinnin tulee aiheuttaa konkreettinen vaara siitä, että työntekijä hyötymis- tai vahingoittamistarkoituksessa ilmaisee liikesalaisuuksia tai käyttää niitä hyödyksi. Konkreettisen vaaran arvioinnissa merkityksellisiä seikkoja ovat mm.

  • kopioitujen liikesalaisuuksien määrä
  • kopioitujen liikesalaisuuksien merkitys työntekijän työtehtävien kannalta
  • liikesalaisuuksien kopiointiajankohdan yhteys irtisanoutumiseen, siirtymiseen kilpailijalle tai oman yrityksen perustamiseen
  • kopioitujen liikesalaisuuksien laadullinen yhteys työpaikan vaihdokseen sekä hyödynnettävyyteen
  • työnantajan tekniset mahdollisuudet estää liikesalaisuuksien kopiointi ja niiden hyväksikäyttö.

Konkreettista vaaraa liikesalaisuuksille eivät aiheuta mm. seuraavat seikat:

  • Työntekijän ajattelemattomuus.
  • Työntekijän hetkellinen uteliaisuus.
  • Kopioiduille liikealaisuuksille ei voida osoittaa tosiasiallista työstä johtuvaa hyötykäyttöä.

Lähteet: (KKO:2015:42, KKO:2013:20)

Onko yhteiskunnan perusrakenteisiin kohdistuva vakoilu yritysvakoilua?
Vuoden 2011 helmikuussa supon ylitarkastaja Ilkka Entchev totesi Savon Sanomien julkaisemassa yhteiskunnan perustoimintojen ulkoistamista käsittelevässä artikkelissa, että yritysvakoilun määrällistä kasvua on vaikea arvioida, mutta sen vaikutukset ovat kasvaneet. Toteamus poikkesi supon aikaisemmista lausunnoista, joissa on toistuvasti todettu yritysvakoilun määrän kasvaneen.

Supon käsityksen mukaan yhteiskunnan perustoimintojen ulkoistaminen on johtanut tilanteeseen, jossa yritysvakoilu muodostaa aiempaa suuremman uhan Suomelle. Supo perustelee näkemystään sillä, että yksityisten yritysten hoidettavana on enemmän yhteiskunnan perusrakenteita kuin esimerkiksi 20 vuotta sitten. Näin ollen myös palveluntarjoajien hallussa oleviin tietoihin ja henkilöstöön kohdistuu valtiollisten tiedustelupalvelujen aktiviteetteja. Lähteet: (savonsanomat.fi 27.2.2011, taloussanomat.fi 28.2.2011)

Supon yritysvakoilun vaikutusten kasvulogiikka näyttääkin perustuvan ajatukseen, että hyökkääjän kohdistaessa tiedusteluaktiviteetteja yhteiskunnalle kuuluvia toimintoja hoitavaan palveluyritykseen, yritysvakoilun vaikutukset kasvavat.

Tällainen johtopäätös yritysvakoilun vaikutusten kasvusta on osittain totta, mutta ainakin jossain määrin kyseenalainen, koska vakoilun luonteen kannalta ei ole merkitystä, sillä hankkiiko hyökkääjä haluamansa tiedot valtion virastosta tai palveluyrityksestä. Toisin sanoen kysymys ei ole siitä ketä vakoillaan, vaan ennen muuta siitä, mitä vakoillaan. Palveluntarjoajan hallussa olevat julkisen sektorin asiakkaan tiedot eivät ole yrityssalaisuuksia, koska yritysvakoilu voi kohdistua vain elinkeinonharjoittajan omaan elinkeinotoimintaan kohdistuviin tietoihin ts. ammatinharjoittajan liike- tai ammattisalaisuuksiin. Valtionhallinnon tietoihin kohdistuvan vakoilun SecMeter luokittelee tapauksesta riippuen poliittiseksi vakoiluksi tai talousvakoiluksi.

Yritysvakoilu voi kohdentua kahdelta eri suunnalta

  1. Sisäpiiriläisten toimesta
  2. Ulkopuolisten toimesta

Sisäpiiriläiset
Sisäpiiriin luetaan ne henkilöt tai henkilöstöryhmät, joilla on yksin tai yhdessä toisen henkilön avulla oikeus käsitellä turvaluokiteltua tietoa.

Ulkopuoliset
Ulkopuolisiin luetaan ne henkilöt tai henkilöstöryhmät, joilla on intressi saada oikeudettomasti haltuunsa turvaluokiteltua tietoa. Yrityksen on syytä suorittaa yhteistyökumppaninsa taustatarkistukset huolellisesti erityisesti ulkomaalaisten kumppaneiden osalta.

Yksinomaan todistuksiin tai muihin papereihin on aina syytä suhtautua varauksellisesti. Maailmalta on ostettavissa kaikki tarvittavat paperit ja todistukset osoittaakseen olevansa mitä tahansa. Papereita ja todistuksia väärennetään aidoille pohjille, joten aitoa ja väärää ei voi silmällä erottaa.

Tietomurto on nousut erääksi keskeisimmäksi menetelmäksi turvaluokiteltujen tietojen hankkimisessa. Hakkereiden käyttö on edelleen kasvussa. Keskeinen kasvutekijä on hakkerointiin tarvittavien tekniikoiden ja työkalujen kehittyminen ja saatavuuden parantuminen. Internetissä tarjontaa on ainakin yli 100.000 sivustolla.

Omaan henkilöstöön liittyvät yritysvakoilun motiivit
Motiivi on teon alulle paneva psykologinen voima. Motiivi antaa vastauksen kysymykseen miksi? Yritysvakoilun päämotiivit ovat kostomotiivi, hyötymotiivi ja seikkailumotiivi. Käytännössä yritysvakoiluun liittyvät motiivit koostuvat yhdestä päämotiivista tai useiden pienempien tekijöiden yhdistelmästä.

Kostomotiivi
Kostomotiivissa on olennaista vahingon aiheuttaminen yritykselle. Kostomotiivi on yleensä pitkällisen kehitysprosessin tulos, joka voi olla seurausta mm:

  • kateudesta tai heikosta itsetunnosta
  • työpaikalla koetusta turhautumisesta
  • oman työn näköalattomuudesta
  • työtoverien sorrosta
  • työpaikkakiusaamisesta
  • pettymyksistä
  • huonoista työoloista.

Työpaikan olosuhteilla, ilmapiirillä ja henkilöstön sitoutuneisuudella on keskeinen merkitys yritysvakoilun torjunnassa. On mahdollista, että "käskytysorganisaatioissa" tietojen vuotamiseen liittyvä kostomotiivin uhka on jonkin verran korostuneempi kuin yksilön henkistä hyvinvointia ja kasvumahdollisuuksia arvostavissa organisaatioissa.

Hyötymotiivi
Hyötymotiiviin liittyy suoranaisesti tai välillisesti taloudellisen hyödyn tavoittelu. Tyypillisiä hyötymotiivin ilmentymiä ovat mm:

  • oman sivutoimisesti pyöritettävän yrityksen kilpailukyvyn lisääminen hyödyntämällä suoraan päätyönantajalle kuuluvia tietoja.
  • oman aseman ja toimeentulon turvaaminen siirtämällä tai kopioimalla työnantajalle kuuluvia tietoja mahdollisesti käynnistettävän oman kilpailevan yrityksen tarpeisiin.
  • oman taloudellisen ahdingon purkaminen vuotamalla yrityksen luottamuksellisia tietoja lehdistölle tai kilpailijalle.
  • uuden kilpailevan työnantajan odotusten täyttäminen.
  • konkurssiin ajautuvan yrityksen "raadonsyönti" uutta yritystä käynnistettäessä.

Seikkailumotiivi
Tietoja saatetaan vuotaa hetkellisen ajattelemattomuuden johdosta. Seikkailumotiiville on tyypillistä, että henkilö ei osaa selittää selkeätä syytä tekoonsa. Yleensä seikkailumotiivissa ei ole selkeästi erotettavissa kosto- ja hyötymotiiveja. Tyypillisiä seikkailumotiivin tunnusmerkkejä ovat mm:

  • ajattelemattomuus
  • tympääntyminen työtehtäviin
  • itsetunnon tehostaminen
  • seikkailun halu ja jännityksen etsiminen
  • oman vaikutusvallan lisääminen
  • rakkaus
  • ideologia.
Ohita valikko
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön