Yritysvakoilu on kasvava uhka yrityksille ja yhteiskunnalle
Yritysvakoilua koskeva pro gradu -tutkielma Jyväskylän yliopistossa on tuottanut jo tutkimusaineiston analysointivaiheessa merkittäviä löydöksiä.
Yritysvakoilun kohteena oleva tietopääoma sijaitsee kohdeorganisaatioiden tietojärjestelmissä, fyysisissä dokumenteissa ja laitteissa sekä tietona ihmisissä. Vakoilun keinovalikoima voidaan sen perusteella jakaa kolmeen ulottuvuuteen: kybertilaan sekä fyysiseen ja sosiaaliseen tilaan. Yritysvakoilua voidaan toteuttaa erilaisilla keinoilla, joita tutkimuksessa tunnistettiin laskentatavasta riippuen peräti 20–30.
– Yritysvakoilun onnistunut torjunta edellyttää näiden keinojen tuntemista sekä vastamenetelmien hyödyntämistä niitä kaikkia vastaan. Suomessa erityisesti pienissä ja keskisuurissa yrityksissä tämä ei valitettavasti yleisesti ottaen näytä toteutuvan, muistuttaa Jyväskylässä tutkimusta tekevä Marko Meretvuo.
Yritysvakoilu on todellinen ja merkittävä uhka – lisää tietoa ja analyysia tarvitaan
Yritysvakoilu ilmiönä ei ole vähenemässä, vaan geopoliittisten jännitteiden kasvaminen tarkoittaa myös riskin kasvamista. Tämä asettaa yritysten omalle varautumiselle kasvavia vaatimuksia. Yritysvakoilu yhteiskunnallisena uhkana on todellinen ja merkittävä. Siitä huolimatta tarkkaa käsitystä ilmiön todellisesta laajuudesta ja sen aiheuttamista menetyksistä ei ole. Arviot taloudellisista tappioista vaihtelevat miljoonista satoihin miljooniin.
– Resurssien ohjaaminen yritysvakoilun torjuntaan niin yhteiskunnan kuin yksittäisten yritysten kannalta osoittautunut vaikeaksi, koska sen laajuus on vain arvailujen varassa. Lisäksi eri yritysten riski kohdata yritysvakoilua on erilainen. Käytännössä mikä tahansa liikesalaisuuksia käsittelevä yritys voi joutua sen kohteeksi. Samalla tietyt toimialat voivat olla sille erityisen alttiina, kertoo Meretvuo
Yritysvakoilun riskin todennäköisyyden arvioimiseksi tutkielman yhteydessä kehitettiin analyysimalli, jossa tarkastellaan yrityksen markkina-aluetta, toimipaikkojen sijaintia sekä liikesalaisuuden taloudellista tai sotilaallista merkittävyyttä.
Motiivit eivät vain taloudellisia – myös kriittinen infrastruktuuri on vakoilun kohteena
Yrityksiin kohdistuvaa laitonta tiedustelua ei tapahdu ainoastaan taloudellisen hyödyntavoittelun motivoimana, vaan vakoilu voi liittyä sotilas- tai kaksoiskäyttöteknologian ominaisuuksien selvittämiseen sekä kriittisen infrastruktuurin ja viranomaisyhteistyötä tekevien yritysten haavoittuvuuksien kartoittamiseen.
–Kriittinen infrastruktuuri on Suomessa pääosin yksityisten yritysten omistamaa ja siksi yritysvakoilu muodostaa samalla uhkan kansalliselle turvallisuudelle. Samoin koronaviruspandemia on laajentanut kriittistä infrastruktuuria kokonaan uusille aloille. Kaikki yritykset tuskin ovat vielä tunnistaneet olevansa osa sitä, muistuttaa Meretvuo.
Varautuminen ei ole helppoa – useita ongelmia tunnistettu
Yritysvakoiluun varautumiseen liittyen tutkimuksessa havaittiin monia ongelmia. Tyypillisimpiä haasteiksi on tunnistettu seuraavat asiat.
- Riskiä ei tunnisteta, sitä ei haluta nähdä tai sitä vähätellään
- Riskienhallintaprosessi pysähtyy riskin tunnistamiseen: varautumista pidetään liian kalliina, vaikeana tai luotetaan liikaa viranomaisten kykyyn torjua yritysvakoilua
- Yritysvakoilun kohteeksi joutumisesta vaietaan mainehaittojen ja nolouden tunteen vuoksi
- Suomalainen luottamuksen kulttuuri aiheuttaa sinisilmäisyyttä insider-uhkaan, mutta myös yrityskauppoihin ja joint venture –hankkeisiin liittyen
- Teknisen valvonnan, kuten järjestelmälokituksen, mahdollisuuksia ei tunneta, niiden koetaan olevan ristiriidassa yksityisyydensuojan kanssa tai sopimuksia palveluntuottajien kanssa ei ole osattu hallita
- Yrityksen turvallisuustoiminnot ja toisaalta tekninen tietoturva puhuvat erilaisesta koulutus- ja kokemustaustasta johtuen “eri kieltä”, kun yritysvakoilu riskinä edellyttäisi toimintojen saumatonta yhteistyötä siilomallin sijaan
–Ikävä kyllä myös vuoropuhelu yritysten ja viranomaisten välillä on ongelmallista, koska viranomaiset eivät aina ymmärrä yritysten liiketoimintaan ja riskienhallintaan liittyviä periaatteita. Lisäksi viralliset yhteistyörakenteet yritysten ja viranomaisten väliltä puuttuvat ja yhteistyö perustuu siksi enimmäkseen henkilösuhteisiin, kertoo Meretvuo.
Marko Meretvuo opiskelee Jyväskylän yliopistossa Turvallisuus ja strateginen analyysi -maisteriohjelmassa. Työn alla olevaan tutkimukseen on osallistunut asiantuntijoita useista organisaatioista yksityiseltä ja julkiselta sektorilta. Tutkimus julkaistaan kokonaisuudessaan vuoden 2021 alussa.