Taloustiedot, liikesalaisuudet ja tietoturva

Tietoverkkorikollisuudessa uudeksi ilmiöksi ovat nousseet kiristyshaittaohjelmat, jotka lukitsevat yrityksen tietokoneet ja estävät pääsyn yrityksen liiketoiminnassa tarvittavaan tietoon. Suomalaiset yritykset ovat myös joutuneet kiristyshaittaohjelmien kohteiksi. Suomessa vaikutukset ovat olleet onneksi vähäisempiä kuin esimerkiksi globaalissa rahtiliikenteessä toimivalle tanskalaiselle varustamolle, Maerskille. Maerskin mukaan Notpetya-kiristyshaittaohjelma aiheutti viime vuonna kuljetuksiin viikkojen viivästyksiä ja yli 200 miljoonan dollarin tappiot. Maersk toi kuitenkin vahvasti esille sen, että yrityksille tärkeä tieto eli tieto laivoissa kulkevasta rahdista pysyi turvassa.

Tietopääoman suojaamisessa on tärkeää varautua tietomurtoihin ja toimia tietomurron sattuessa niin, että haitat jäävät mahdollisimman pieniksi. Tietomurtojen havaitsemisessa erot pienten ja suurten yritysten välillä ovat kuitenkin varsin suuret. Mitä pienempi yritys, sitä suurempi on epävarmuus yritykseen kohdistuneista tietoriskeistä.

Mitä pienempi yritys, sitä suurempi on epävarmuus yritykseen kohdistuneista tietoriskeistä.

Havaitutkin tietorikokset jäävät liian usein ilmoittamattomaksi piilorikollisuudeksi. Koko maan kattavan yritysturvallisuusselvityksen mukaan tietorikokset ovat niin yleisiä, että rikosten ilmoittamiskynnyksen pitäisi olla varsin matala. Näin ei kuitenkaan ole. Tammikuussa
MetsäGroup ilmoitti kuitenkin julkaisevansa tulostietoja etuajassa, koska yritys epäili, että MetsäBoardiin oli kohdistunut tietomurto. MetsäGroupin tiedotus voi rohkaista muitakin yrityksiä tuomaan tapauksia julkisuuteen, sillä yritys sai avoimuudesta runsaasti positiivista palautetta. Tapauksista kertomalla voi auttaa myös muita varautumaan vastaaviin riskeihin.

Yrityksiä piinaaviin kiristyshaittaohjelmiin voi varautua toimenpiteillä, jotka muutenkin turvaavat yrityksen jatkuvuutta. Valtakunnalliseen yritysturvallisuusselvitykseen vastanneista suomalaisista yrityksistä suurin osa, 69 prosenttia, ottaa säännöllisesti tiedoistaan varmuuskopioita. Tietojen käyttöä estävä kiristyshaittaohjelma uhkaakin eniten niiden suomalaisten yritysten liiketoimintaa ja jatkuvuutta, jotka eivät varmuuskopioita ota.

Yrityksen tietopääoman loukkaus edellyttää haavoittuvuutta

Yrityksen tietopääoman loukkaus edellyttää käytännössä haavoittuvuutta, joka voi olla esimerkiksi se, että tietojärjestelmän päivitykset eivät ole ajan tasalla tai että liikesalaisuuksien saatavuutta ei ole rajattu käyttöoikeuksilla.

Haavoittuvuus voi olla myös koulutuksen ja ohjeistuksen puute. Henkilökunnan koulutus on avainasemassa esimerkiksi tietoverkkojen avulla toteutettavien petosten torjunnassa. Tyypillinen esimerkki on niin kutsuttu toimitusjohtajahuijaus. Tapauksissa rikollinen lähettää väärennetystä tai aidosta hakkeroidusta sähköpostiosoitteesta yrityksen johtohenkilön nimissä maksukehotuksen taloushallintoon, josta maksu mahdollisesti maksetaan rikollisen tilille.

Poliisin tilastojen mukaan tällaiset petokset ovat olleet vahvassa kasvussa vuoden 2015 jälkeen, jolloin it-talo Affecton tytäryhtiö maksoi lähes miljoonan euron aiheettoman maksun. Yritysturvallisuusselvityksen mukaan uudet rikosriskit piinaavat erityisesti suuria yrityksiä. Osa tapauksista olisi estettävissä. Yritykset voivat varautua tapauksiin ainakin ohjeistamalla henkilöstöä.

Yksi tehokkaimmista tiedon suojaamiskeinoista on tiedon saatavuuden rajoittaminen käyttöoikeuksilla.

Useimmat sisäisistä tietoriskeistä olisivat estettävissä

Kauppakamarien valtakunnallisesta selvityksestä ilmeni, että joka kuudennella yrityksellä on ollut sisäisiä väärinkäytöksiä ja joka kymmenennessä tiedetään, että kriittisiä tietoja on kopioitu luvatta. Kaikki tapaukset eivät tule esille, mutta useimmat tapauksista olisivat estettävissä.

Yksi tehokkaimmista tiedon suojaamiskeinoista on tiedon saatavuuden rajoittaminen käyttöoikeuksilla. Sopimukset ovat myös yritysten yleisesti käyttämä riskienhallintakeino. Yritysten pitäisi panostaa ainakin kirjallisen työsopimuksen ja työntekijän salassapitositoumuksen tekemiseen. Sopimusten avulla voidaan vähentää riskiä esimerkiksi asiakasrekisteriin ja hintapolitiikkaan liittyviin väärinkäytöksiin. Nämä ovat tyypillisiä esimerkkejä työsuhteen päättyessä havaitusta tiedon luvattomasta kopioinnista. Sopimuksia kannattaa tehdä myös yhteistyökumppanien kanssa. Salassapitosopimuksella voi estää tiedon leviämisen yhteistyökumppanin kautta.

Salassapitosopimusten teko on pienissä yrityksissä huomattavasti harvinaisempaa kuin suurissa yrityksissä. Tämä lisää pienten yritysten haavoittuvuutta. Pienistä yrityksistä 23 prosenttia, keskisuurista 11 prosenttia, mutta suurista yrityksistä vain kolme prosenttia ei ole tehnyt salassapitosopimuksia.

Salassapitosopimuksen tekeminen on riskienhallintakeinona helpompi kuin kilpailukieltosopimus, jota helposti tehdään laajemmin kuin laki sallii. Kilpailukieltosopimuksen käyttöä arvioidaan parhaillaan työ- ja elinkeinoministeriössä. Työsopimuslain mukaan kilpailukieltosopimuksen tekemiseen on oltava työnantajan toimintaan liittyvä erityisen painava syy, jollainen voi olla muun muassa työnantajan tarve suojata liike- ja ammattisalaisuuksiaan.

Kilpailukieltosopimus, jolle ei ole perusteltua syytä, ei sido työntekijää. Kilpailukieltosopimus ei sido työntekijää myöskään esimerkiksi silloin, jos yritys on irtisanonut työntekijän tuotannollisin ja taloudellisin perustein. Kilpailukieltosopimuksen laatiminen voi myös heikentää työntekijän motivaatiota, mikäli sopimuksella käytännössä pyritään estämään työntekijän siirtyminen muiden työnantajien palvelukseen.

Toimialojen suojaustasossa on suuria eroja

Yritysten turvallisuustilannetta ja varautumisen tasoa on seurattu Suomessa neljällä valtakunnallisella kyselyllä vuosina 2005, 2008, 2012 ja 2017. Toimialoihin kohdistuvissa tietoriskeissä on eroja, jotka vaikuttavat myös yrityksen suojaukseen. Yhä useampi yritys tunnistaa kuitenkin, että tietopääoman suojaaminen turvaa yrityksen jatkuvuutta.

Yrityksen tietopääoman suojaaminen lähtee siitä, että yritys tunnistaa suojattavan tiedon ja suojaa sen tarkoituksenmukaisesti. Yrityksen kannattaa huomioida, että esimerkiksi yritysvakoilua kohdistuu hyvin erityyppisiin yrityksiin, vaikka riski lisääntyy yrityksen koon ja tunnettuuden kasvaessa. Yritysturvallisuusselvityksen mukaan teollisuusyritykset tunnistavat parhaiten kilpailijaa kiinnostavan kriittisen tiedon. Sen sijaan kaupan alan yrityksistä vain kolmannes tunnistaa, että niillä on kilpailijaa kiinnostavaa tietoa. Kaupan alan yritykset ilmoittivat toteutuneista tietoriskeistä kaikkein useimmin, mutta yritysten suojaustoimissa oli paljon parannettavaa. Muihin toimialoihin verrattuna kaupan alan yritykset raportoivat useimmin, että luottamuksellisesta tiedosta oli kerrottu luvatta kolmansille osapuolille.

Palvelualan sisällä suojaustasossa on suuria eroja yritysten välillä, mikä johtuu siitä, että palvelualan yrityksiin lukeutuu hyvin erilaisia yrityksiä majoitusyrittäjästä kirjanpitäjään. Palvelualalla havaittiin kuitenkin kaikkein eniten tietoverkkoon murtautumisyrityksiä. Rakennusalalla tietoriskejä kohdattiin vähiten, mutta ala digitalisoituu ja yritykset panostavat jatkossa aikaisempaa enemmän tietoturvallisuuteen. Kaikilla toimialoilla riskienhallinnan taso on parantunut pienillä tai suuremmilla askeleilla.

Suomessa liikesalaisuuksien suoja on ollut varsin kattava.

Tulossa liikesalaisuuslaki

Tietoriskeihin varautumisessa yrityksen pitää ottaa huomioon lainsäädännön muutokset. Yrityssalaisuuksien suojaan on tulossa jonkin verran muutoksia tulevan liikesalaisuuslain myötä. Uusi laki tulee voimaan viimeistään kesäkuussa, jolloin niin kutsutun liikesalaisuusdirektiivin täytäntöönpanoaika päättyy. Uusi liikesalaisuuslaki ei tule muuttamaan sopimusten merkitystä riskejä ennalta ehkäisevänä keinona. Myöskään rikoslain yrityssalaisuuksia koskevia säännöksiä ei aiota muuttaa.

Mikä sitten muuttuu liikesalaisuusdirektiivin täytäntöönpanon ja liikesalaisuuslain myötä? Suomessa liikesalaisuuksien suoja on ollut varsin kattava ja suojan tasossa ei siksi tule olemaan suuria muutoksia. Liikesalaisuusdirektiivin implementointi tulee kuitenkin olemaan merkityksellinen erityisesti yrityksille, jotka toimivat useissa EU-maissa. Liikesalaisuusdirektiivi yhtenäistää oikeussuojaa EU:n alueella, vaikka eroja sääntelyssä tulee olemaan jatkossakin.

Liikesalaisuudella tarkoitetaan lakiesityksessä tietoa, jota liikesalaisuuden haltija pyrkii toimillaan pitämään salaisena, ja jonka kaupallinen arvo perustuu siihen, että tieto pysyy salassa. Käytännössä tämä tarkoittaa sitä, että tieto ei tule suojatuksi liikesalaisuuslailla, jos se on jokaisen saatavilla ja jos yritys ei ole käytännössä suojannut tietoa tavalla tai toisella. Näin on nykyisinkin. Liikesalaisuuslakia koskevassa esityksessä huomioidaan kuitenkin nykyistä paremmin myös kolmansien osapuolien kuten yhteistyökumppanien ja asiakkaiden liikesalaisuudet. Verkottuneessa liiketoiminnassa tämä on ehdottoman tarpeellinen lisäys. Tuomioistuimella olisi jatkossa myös mahdollisuus rajoittaa niiden henkilöiden määrää, jotka saavat oikeusprosessissa tietoa sellaisesta liikesalaisuutta koskevasta seikasta, joka on määrätty yleisöltä salassa pidettäväksi.

Uuden liikesalaisuuslain myötä yritys voi joutua helpommin vastuuseen siitä, jos sen tuote on tuotettu niin, että työntekijä on hyödyntänyt yrityksen tietämättä toisen yrityksen liikesalaisuutta. Liikesalaisuuden haltija voi myös vaatia, että liikesalaisuuden loukkaaja maksaa liikesalaisuuden haltijalle käyttö- tai vahingonkorvauksen.

Keskuskauppakamarin ja Helsingin seudun kauppakamarin lokakuussa 2017 julkaisema Yritysten rikosturvallisuus 2017 -selvitys perustuu 762 yritysjohtajan antamiin tietoihin. Selvityksen tulokset antavat yritysjohtajille eväitä toimivaan riskienhallintaan. Yritysjohtajilla on mahdollisuus tutkia, mitä riskienhallinnan keinoja eri toimialoilla toimivat yritykset käyttävät ja valita oman liiketoiminnan ja resurssien kannalta tarpeelliset keinot. Yrityksen jatkuvuutta tukevat ohjeet on laadittu Huoltovarmuuskeskuksen kanssa.