Yritysvakoilu on kasvava uhka yrityksille ja yhteiskunnalle

6.8.2020 klo 17.07

Yritysvakoilua koskeva pro gradu -tutkielma Jyväskylän yliopistossa on tuottanut jo tutkimusaineiston analysointivaiheessa merkittäviä löydöksiä.

Yritysvakoilun kohteena oleva tietopääoma sijaitsee kohdeorganisaatioiden tietojärjestelmissä, fyysisissä dokumenteissa ja laitteissa sekä tietona ihmisissä. Vakoilun keinovalikoima voidaan sen perusteella jakaa kolmeen ulottuvuuteen: kybertilaan sekä fyysiseen ja sosiaaliseen tilaan. Yritysvakoilua voidaan toteuttaa erilaisilla keinoilla, joita tutkimuksessa tunnistettiin laskentatavasta riippuen peräti 20–30.

– Yritysvakoilun onnistunut torjunta edellyttää näiden keinojen tuntemista sekä vastamenetelmien hyödyntämistä niitä kaikkia vastaan. Suomessa erityisesti pienissä ja keskisuurissa yrityksissä tämä ei valitettavasti yleisesti ottaen näytä toteutuvan, muistuttaa Jyväskylässä tutkimusta tekevä Marko Meretvuo.

Yritysvakoilu on todellinen ja merkittävä uhka – lisää tietoa ja analyysia tarvitaan

Yritysvakoilu ilmiönä ei ole vähenemässä, vaan geopoliittisten jännitteiden kasvaminen tarkoittaa myös riskin kasvamista. Tämä asettaa yritysten omalle varautumiselle kasvavia vaatimuksia. Yritysvakoilu yhteiskunnallisena uhkana on todellinen ja merkittävä. Siitä huolimatta tarkkaa käsitystä ilmiön todellisesta laajuudesta ja sen aiheuttamista menetyksistä ei ole. Arviot taloudellisista tappioista vaihtelevat miljoonista satoihin miljooniin.

– Resurssien ohjaaminen yritysvakoilun torjuntaan niin yhteiskunnan kuin yksittäisten yritysten kannalta osoittautunut vaikeaksi, koska sen laajuus on vain arvailujen varassa. Lisäksi eri yritysten riski kohdata yritysvakoilua on erilainen. Käytännössä mikä tahansa liikesalaisuuksia käsittelevä yritys voi joutua sen kohteeksi. Samalla tietyt toimialat voivat olla sille erityisen alttiina, kertoo Meretvuo

Yritysvakoilun riskin todennäköisyyden arvioimiseksi tutkielman yhteydessä kehitettiin analyysimalli, jossa tarkastellaan yrityksen markkina-aluetta, toimipaikkojen sijaintia sekä liikesalaisuuden taloudellista tai sotilaallista merkittävyyttä.

Motiivit eivät vain taloudellisia – myös kriittinen infrastruktuuri on vakoilun kohteena

Yrityksiin kohdistuvaa laitonta tiedustelua ei tapahdu ainoastaan taloudellisen hyödyntavoittelun motivoimana, vaan vakoilu voi liittyä sotilas- tai kaksoiskäyttöteknologian ominaisuuksien selvittämiseen sekä kriittisen infrastruktuurin ja viranomaisyhteistyötä tekevien yritysten haavoittuvuuksien kartoittamiseen.

–Kriittinen infrastruktuuri on Suomessa pääosin yksityisten yritysten omistamaa ja siksi yritysvakoilu muodostaa samalla uhkan kansalliselle turvallisuudelle. Samoin koronaviruspandemia on laajentanut kriittistä infrastruktuuria kokonaan uusille aloille. Kaikki yritykset tuskin ovat vielä tunnistaneet olevansa osa sitä, muistuttaa Meretvuo.

Varautuminen ei ole helppoa – useita ongelmia tunnistettu

Yritysvakoiluun varautumiseen liittyen tutkimuksessa havaittiin monia ongelmia. Tyypillisimpiä haasteiksi on tunnistettu seuraavat asiat.

Riskiä ei tunnisteta, sitä ei haluta nähdä tai sitä vähätellään
Riskienhallintaprosessi pysähtyy riskin tunnistamiseen: varautumista pidetään liian kalliina, vaikeana tai luotetaan liikaa viranomaisten kykyyn torjua yritysvakoilua
Yritysvakoilun kohteeksi joutumisesta vaietaan mainehaittojen ja nolouden tunteen vuoksi
Suomalainen luottamuksen kulttuuri aiheuttaa sinisilmäisyyttä insider-uhkaan, mutta myös yrityskauppoihin ja joint venture –hankkeisiin liittyen
Teknisen valvonnan, kuten järjestelmälokituksen, mahdollisuuksia ei tunneta, niiden koetaan olevan ristiriidassa yksityisyydensuojan kanssa tai sopimuksia palveluntuottajien kanssa ei ole osattu hallita
Yrityksen turvallisuustoiminnot ja toisaalta tekninen tietoturva puhuvat erilaisesta koulutus- ja kokemustaustasta johtuen “eri kieltä”, kun yritysvakoilu riskinä edellyttäisi toimintojen saumatonta yhteistyötä siilomallin sijaan

–Ikävä kyllä myös vuoropuhelu yritysten ja viranomaisten välillä on ongelmallista, koska viranomaiset eivät aina ymmärrä yritysten liiketoimintaan ja riskienhallintaan liittyviä periaatteita. Lisäksi viralliset yhteistyörakenteet yritysten ja viranomaisten väliltä puuttuvat ja yhteistyö perustuu siksi enimmäkseen henkilösuhteisiin, kertoo Meretvuo.

Marko Meretvuo opiskelee Jyväskylän yliopistossa Turvallisuus ja strateginen analyysi -maisteriohjelmassa. Työn alla olevaan tutkimukseen on osallistunut asiantuntijoita useista organisaatioista yksityiseltä ja julkiselta sektorilta. Tutkimus julkaistaan kokonaisuudessaan vuoden 2021 alussa.

Yritysvakoilu on kasvava uhka yrityksille ja yhteiskunnalle

Yritysvakoilu on todellinen ja merkittävä uhka – lisää tietoa ja analyysia tarvitaan

Motiivit eivät vain taloudellisia – myös kriittinen infrastruktuuri on vakoilun kohteena

Varautuminen ei ole helppoa – useita ongelmia tunnistettu

6 ehdotusta: Suomen digitaalista turvallisuutta on parannettava

Toiminnanjohtajan blogi: jääkö kyberturvallisuuden kehittäminen Suomessa vain tahroiksi paperille?

Toiminnanjohtajan blogi: Kybervelka kasvaa ja ylivelkaantuminen uhkaa – alalla ollaan jo huolissaan

Toiminnanjohtajan blogi: Suomen tulee puolustaa vahvan salausteknologian käyttöä

Yritysvakoilu on kasvava uhka yrityksille ja yhteiskunnalle

Yritysvakoilu on todellinen ja merkittävä uhka – lisää tietoa ja analyysia tarvitaan

Motiivit eivät vain taloudellisia – myös kriittinen infrastruktuuri on vakoilun kohteena

Varautuminen ei ole helppoa – useita ongelmia tunnistettu

Aiheeseen liittyvää

6 ehdotusta: Suomen digitaalista turvallisuutta on parannettava

Toiminnanjohtajan blogi: jääkö kyberturvallisuuden kehittäminen Suomessa vain tahroiksi paperille?

Toiminnanjohtajan blogi: Kybervelka kasvaa ja ylivelkaantuminen uhkaa – alalla ollaan jo huolissaan

Toiminnanjohtajan blogi: Suomen tulee puolustaa vahvan salausteknologian käyttöä