Yritysvakoilu - SecMeter

Sisältöön

Yritysvakoilu

Yritysturvallisuus > Vakoilu
Yritysvakoilu on rikoslain 30 luvun rikoslain 4 pykälän mukainen juridinen rikosnimike. Rikoslain mukaan yritysvakoilun kohteena oleva tieto liittyy liike- ja ammattisalaisuuteen tai muutoin yrityksen harjoittamaan elinkeinotoimintaan. Yritysvakoilu koskee näin ollen vain elinkeinotoimintaa.

Puhekielessä yritysvakoilusta käytetään myös epämääräisempiä merkityksiä sisältäviä ilmaisuja kuten mm. kilpailijavakoilu ja teollisuusvakoilu. Olennaista on kuitenkin tiedostaa, että kaikki vakoilutoiminta ei liity elinkeinotoimintaan. On myös poliittista vakoilua, johon liittyy talousvakoilu ja pakolaisvakoilu sekä sotilastiedustelua, johon liittyy mm. atomivakoilu.

SecMeterin luokittelussa ei ole keskeistä ketä vakoillaan tai miten vakoillaan, vaan mitä vakoillaan.

Rikoksena yritysvakoilu on Suomessa erittäin harvinainen. Julkisuudessa esitetyt kyselytutkimukset yritysvakoilun yleisyydestä ja yritysvakoilun vuotuisesta taloudellisesta arvosta ovat epäluotettavia, koska tulokset eivät ole perustuneet riittäviin faktatietoihin. Kyselytutkimuksille on tyypillistä, että kaikki vastaajat ja vastaukset hyväksytään. Kyselyt eivät perustu selkeisiin yksityiskohtaisiin määritelmiin ja rajauksiin, eikä vastausten perusteena olevia yhdenmukaisia laskelmia edellytetä.

Yritysvakoilun tunnusmerkistö täyttyy jos

  • kohteena oleva tieto on liikesalaisuus
  • tieto on saatu haltuun oikeudettomasti rikoslaissa kuvatuin menetelmin
  • teon tarkoituksena on oikeudettomasti ilmaista tai käyttää liikesalaisuutta.

Yritysvakoilulla ei yleensä ole yksittäisinä tapauksina suurta kansantaloudellista merkitystä toisin, kuin polliittiseen vakoiluun liittyvällä talousvakoilulla, joka on systeemistä ja uhkaa kansantaloutta. Yksittäisen yritysvakoilutapauksen taloudellisten menetysten arvoa on käytännössä erittäin vaikea arvioida ja mahdotonta todistella. Käytännössä yritysvakoilun kohteeksi joutunut yritys pyrkii lähes aina liioittelemaan kyseisen tiedon merkitystä ja sen arvoa omalle toiminnalleen. Yritykset ovat myös taipuvaisia tulkitsemaan yksipuolisin ja kevein perustein kehnon liiketoimintamenestyksensä johtuvan esimerkiksi asiakasrekisterinsä yhteystietojen vuotamisesta.

Olennaiset väärinkäytöksen selvitystä edellyttävät asiat

  • Sisältyikö tietoihin liikesalaisuuksia?
  • Hankkiko työntekijä tiedot oikeudettomasti ilman asianmukaisesti myönnettyjä käyttövaltuuksia?
  • Oliko työntekijälle kerrottu, ettei hänellä ei ole oikeutta hankkia tietoa yrityssalaisuuksista jäljentämällä tai muulla siihen rinnastettavalla tavalla muutoin kuin työtehtävien hoitamisen kannalta on välttämätöntä?
  • Oliko työntekijällä tarkoituksena oikeudettomasti ilmaista tai käyttää liikesalaisuuksia?

Teollisuuden ja Työnantajien keskusliitto kiinnitti ongelmiin huomioita jo vuonna 1997
Vuonna 1997 Teollisuuden ja Työnantajain keskusliitto otti kantaa liikesalaisuuksien vuototapauksiin toivoen, että oikeusministeriö ryhtyy pikaisesti tutkimaan liikesalaisuuksien turvaamista ja selkiyttäisi sitä koskevaa lainsäädäntöä. TT:n pkt -asiamiehen ja osastopäällikön mukaan lainsäädäntö on pirstaleista ja käsitteet sisältöineen vaihtelevat laista toiseen. TT totesi seuraavaa:

  • Yritykset tarvitsevat kilpailukielto- ja salassapitosopimuksia.
  • Kilpailukielto tulee laajentaa koskemaan myös työsuhteen jälkeistä aikaa.
  • Tiedon varastaminen pitää tunnustaa rikokseksi.
  • Kopiointi ja niiden myöhempi käyttö kilpailijan palveluksessa täytyy kieltää.

Yritysvakoilun tunnusmerkistön kaksi olennaista kysymystä

1. Onko henkilö hankkinut tiedot oikeudettomasti?
Yritysvakoilusäännöstä ei sovelleta tietojenhankintaan, joka tapahtuu työntekijän työhön kuuluvien tiedonhankkimisoikeuksien rajoissa. Tietojen tallentaminen työntekijän omalle tallennusvälineelle ei täytä tiedon hankinnan oikeudettomuuden tunnusmerkkiä. Oikeudettomuus edellyttää, ettei yrityksen työntekijällä ole kopiointiajankohtana voimassa käyttövaltuuksia yrityssalaiseen tietoaineistoon tai kyseisten tietojen kopiointivaltuuksia. Lähde: (KKO 2013:20)

Näin ollen työntekijä ei voi syyllistyä työsuhteen aikana yritysvakoiluun yksinomaan sen johdosta, että kopioi käyttövaltuuksiensa puitteissa tietoja esimerkiksi muistitikulle, vaikka kyseessä olisi irtisanoutumisen jälkeen tapahtuva kopiointi, kopioinnin tarkoituksena olisi kerätä tietoja työpaikanvaihdoksen johdosta tai kopioitu tietoaineisto on sellaista, ettei sen kopioimiselle ole työstä johtuvaa perustetta.

2. Onko henkilön tosiasiallisena tarkoituksena käyttää tietoa hyväksi tai ilmaista tieto ulkopuoliselle?
Yritysvakoilusäännöstä ei sovelleta, ellei työntekijän tarkoituksena ole oikeudettomasti ilmaista tai käyttää liikesalaisuuksia hyödyksi. Tulevaisuudessa tapahtuvan käytön osalta liikesalaisuuksien kopioinnin tulee aiheuttaa konkreettinen vaara siitä, että työntekijä hyötymis- tai vahingoittamistarkoituksessa ilmaisee liikesalaisuuksia tai käyttää niitä hyödyksi. Konkreettisen vaaran arvioinnissa merkityksellisiä seikkoja ovat mm.

  • kopioitujen liikesalaisuuksien määrä
  • kopioitujen liikesalaisuuksien merkitys työntekijän työtehtävien kannalta
  • liikesalaisuuksien kopiointiajankohdan yhteys irtisanoutumiseen, siirtymiseen kilpailijalle tai oman yrityksen perustamiseen
  • kopioitujen liikesalaisuuksien laadullinen yhteys työpaikan vaihdokseen sekä hyödynnettävyyteen
  • työnantajan tekniset mahdollisuudet estää liikesalaisuuksien kopiointi ja niiden hyväksikäyttö.

Konkreettista vaaraa liikesalaisuuksille eivät aiheuta mm. seuraavat seikat:

  • Työntekijän ajattelemattomuus.
  • Työntekijän hetkellinen uteliaisuus.
  • Kopioiduille liikealaisuuksille ei voida osoittaa tosiasiallista työstä johtuvaa hyötykäyttöä.

Lähteet: (KKO:2015:42, KKO:2013:20)

Onko yhteiskunnan perusrakenteisiin kohdistuva vakoilu yritysvakoilua?
Vuoden 2011 helmikuussa supon ylitarkastaja Ilkka Entchev totesi Savon Sanomien julkaisemassa yhteiskunnan perustoimintojen ulkoistamista käsittelevässä artikkelissa, että yritysvakoilun määrällistä kasvua on vaikea arvioida, mutta sen vaikutukset ovat kasvaneet. Toteamus poikkesi supon aikaisemmista lausunnoista, joissa on toistuvasti todettu yritysvakoilun määrän kasvaneen.

Supon käsityksen mukaan yhteiskunnan perustoimintojen ulkoistaminen on johtanut tilanteeseen, jossa yritysvakoilu muodostaa aiempaa suuremman uhan Suomelle. Supo perustelee näkemystään sillä, että yksityisten yritysten hoidettavana on enemmän yhteiskunnan perusrakenteita kuin esimerkiksi 20 vuotta sitten. Näin ollen myös palveluntarjoajien hallussa oleviin tietoihin ja henkilöstöön kohdistuu valtiollisten tiedustelupalvelujen aktiviteetteja. Lähteet: (savonsanomat.fi 27.2.2011, taloussanomat.fi 28.2.2011)

Supon yritysvakoilun vaikutusten kasvulogiikka näyttääkin perustuvan ajatukseen, että hyökkääjän kohdistaessa tiedusteluaktiviteetteja yhteiskunnalle kuuluvia toimintoja hoitavaan palveluyritykseen, yritysvakoilun vaikutukset kasvavat.

Tällainen johtopäätös yritysvakoilun vaikutusten kasvusta on osittain totta, mutta ainakin jossain määrin kyseenalainen, koska vakoilun luonteen kannalta ei ole merkitystä, sillä hankkiiko hyökkääjä haluamansa tiedot valtion virastosta tai palveluyrityksestä. Toisin sanoen kysymys ei ole siitä ketä vakoillaan, vaan ennen muuta siitä, mitä vakoillaan.
Palveluntarjoajan hallussa olevat julkisen sektorin asiakkaan tiedot eivät ole yrityssalaisuuksia, koska yritysvakoilu voi kohdistua vain elinkeinonharjoittajan omaan elinkeinotoimintaan kohdistuviin tietoihin ts. ammatinharjoittajan liike- tai ammattisalaisuuksiin. Valtionhallinnon tietoihin kohdistuvan vakoilun SecMeter luokittelee tapauksesta riippuen poliittiseksi vakoiluksi tai talousvakoiluksi.

Yritysvakoilu voi kohdentua kahdelta eri suunnalta

  1. Sisäpiiriläisten toimesta
  2. Ulkopuolisten toimesta

Sisäpiiriläiset
Sisäpiiriin luetaan ne henkilöt tai henkilöstöryhmät, joilla on yksin tai yhdessä toisen henkilön avulla oikeus käsitellä turvaluokiteltua tietoa.

Ulkopuoliset
Ulkopuolisiin luetaan ne henkilöt tai henkilöstöryhmät, joilla on intressi saada oikeudettomasti haltuunsa turvaluokiteltua tietoa. Yrityksen on syytä suorittaa yhteistyökumppaninsa taustatarkistukset huolellisesti erityisesti ulkomaalaisten kumppaneiden osalta.

Yksinomaan todistuksiin tai muihin papereihin on aina syytä suhtautua varauksellisesti. Maailmalta on ostettavissa kaikki tarvittavat paperit ja todistukset osoittaakseen olevansa mitä tahansa. Papereita ja todistuksia väärennetään aidoille pohjille, joten aitoa ja väärää ei voi silmällä erottaa.

Tietomurto on nousut erääksi keskeisimmäksi menetelmäksi turvaluokiteltujen tietojen hankkimisessa. Hakkereiden käyttö on edelleen kasvussa. Keskeinen kasvutekijä on hakkerointiin tarvittavien tekniikoiden ja työkalujen kehittyminen ja saatavuuden parantuminen. Internetissä tarjontaa on ainakin yli 100.000 sivustolla.

Omaan henkilöstöön liittyvät yritysvakoilun motiivit
Motiivi on teon alulle paneva psykologinen voima. Motiivi antaa vastauksen kysymykseen miksi? Yritysvakoilun päämotiivit ovat kostomotiivi, hyötymotiivi ja seikkailumotiivi. Käytännössä yritysvakoiluun liittyvät motiivit koostuvat yhdestä päämotiivista tai useiden pienempien tekijöiden yhdistelmästä.

Kostomotiivi
Kostomotiivissa on olennaista vahingon aiheuttaminen yritykselle. Kostomotiivi on yleensä pitkällisen kehitysprosessin tulos, joka voi olla seurausta mm:

  • kateudesta tai heikosta itsetunnosta
  • työpaikalla koetusta turhautumisesta
  • oman työn näköalattomuudesta
  • työtoverien sorrosta
  • työpaikkakiusaamisesta
  • pettymyksistä
  • huonoista työoloista.

Työpaikan olosuhteilla, ilmapiirillä ja henkilöstön sitoutuneisuudella on keskeinen merkitys yritysvakoilun torjunnassa. On mahdollista, että "käskytysorganisaatioissa" tietojen vuotamiseen liittyvä kostomotiivin uhka on jonkin verran korostuneempi kuin yksilön henkistä hyvinvointia ja kasvumahdollisuuksia arvostavissa organisaatioissa.

Hyötymotiivi
Hyötymotiiviin liittyy suoranaisesti tai välillisesti taloudellisen hyödyn tavoittelu. Tyypillisiä hyötymotiivin ilmentymiä ovat mm:

  • oman sivutoimisesti pyöritettävän yrityksen kilpailukyvyn lisääminen hyödyntämällä suoraan päätyönantajalle kuuluvia tietoja.
  • oman aseman ja toimeentulon turvaaminen siirtämällä tai kopioimalla työnantajalle kuuluvia tietoja mahdollisesti äynnistettävän oman kilpailevan yrityksen tarpeisiin.
  • oman taloudellisen ahdingon purkaminen vuotamalla yrityksen luottamuksellisia tietoja lehdistölle tai kilpailijalle.
  • uuden kilpailevan työnantajan odotusten täyttäminen.
  • konkurssiin ajautuvan yrityksen "raadonsyönti" käynnistettäessä uutta yritystä.

Seikkailumotiivi
Tietoja saatetaan vuotaa hetkellisen ajattelemattomuuden johdosta. Seikkailumotiiville on tyypillistä, että henkilö ei osaa selittää selkeätä syytä tekoonsa. Yleensä seikkailumotiivissa ei ole selkeästi erotettavissa kosto- ja hyötymotiiveja. Tyypillisiä seikkailumotiivin tunnusmerkkejä ovat mm:

  • ajattelemattomuus
  • tympääntyminen työtehtäviin
  • itsetunnon tehostaminen
  • seikkailun halu ja jännityksen etsiminen
  • oman vaikutusvallan lisääminen
  • rakkaus
  • ideologia.

Case ”Deutsche Bank ilmoitti sisäisestä vakoilutapauksesta”
Deutsche Bank irtisanoi turvallisuusyksikkönsä päällikön ja sijoittajasuhteista vastanneen johtajan osallisuudesta vakoiluun. Pankkia syytettiin kahden hallituksen jäsenen ja yhden osakkeenomistajan vakoilusta.

Pankin palkkaamien yksityisetsivien epäillään vakoilleen kahta yhtiön hallituksen jäsentä sekä yhtä osakkeenomistajaa. Pankki aloitti omat tutkimuksensa mahdollisista väärinkäytöksistä vuoden 2009 toukokuussa. Pankki ei suostunut kommentoimaan tapausta enempää. Pankin ilmoituksen mukaan vakoilu ajoittuu useiden vuosien ajalle, eikä se ole ollut järjestelmällistä. Lähde: (Financial Times 20.7.2009)

Deutsche Bankin osakkeenomistaja ilmoitti vievänsä pankin oikeuteen. Deutsche Bank pyysi anteeksi yksityisetsivien toimintaa, mutta kieltäytyi vastaamasta mitä tapahtui. Saksan rahoitusvalvonta ja tietosuojavaltuutettu ilmoittivat tutkivansa tapausta. Lähde: (Taloussanomat 29.7.2009)

Pankin palkkaama yksityisetsivä Bernd Bühnerin mukaan Deutsche Bankin aikomuksena oli vakoilla kaikkiaan noin kahtakymmentä henkilöä ja yhteisöä, joista useat olivat sijoittajia. Buhner kertoi saaneensa vuonna 2006 Deutsche Bankin edustajilta listan vakoiltavista henkilöistä.

Deutsche Bankin tiedottajan mukaan vakoiltavien lista sisälsi nimiä, jotka olivat yhdistettävissä sijoittaja Michael Bohndorfiin. Pankki halusi selvittää Bohndorfin sijoitusmotiivit ja hänen yhteydet Leo Kirchiin, joka syytti pankkia yritysryhmänsä kaatumisesta.

Pankki oli salannut, että myös pankin oikeudellisen yksikön edustajia oli mukana osassa kokouksista, joihin Bühner osallistui. Pankki oli kertonut aiemmin julkisuuteen vakoilun olleen ainoastaan turvallisuusosastonsa hoidossa.

Vuonna 1997 Bühnerin työnantaja oli Lontoossa toimiva Control Risks Group LLC, joka konsultoi pankkia turvakysymyksissä. Myöhemmin Bühner suoritti pankin toimeksiannosta tehtäviä henkilökohtasin sopimuksin. Lähde: (The Wall Street Journal 4.8.2009)

Case "Ruotsin TV 4:n tapaus"
Yksityisetsivä tunkeutui Ruotsin kaupallisen televisiokanavan TV 4:n toimitukseen kahmien paitansa sisään asiakirjoja asuntokysymyksiin erikoistuneen toimittaja työpöydältä.

Toimittajan artikkelit paljastivat rakennusyhtiö HSB:n toiminnasta niin kiusallisia asioita, että yhtiö laittoi yksityisetsivän varjostamaan toimittajaa. Varjostus sai alkunsa jo kuukausia ennen paljastumistaan. Tapaus paljastui yksityisetsivän palkatessa avustajakseen erään TV4:n työntekijän. Työntekijä oli suostuvinaan yhteistyöhön, mutta paljasti asian esimiehelleen.

TV-yhtiö viritti yksityisetsivälle ansan ja kuvasti videolle koko tapahtuman, joka esitettiin useiden eri maiden televisiouutisissa. Videolla yksityisetsivä tutki yöllä toimittajan työpöydälle tarkoituksella laitettuja asiakirjoja (kanaruokaa) piilottaen kiinnostavimmat paitansa sisään. Lähteet: (televisiouutisten lisäksi tapaus uutisoitiin 10.1.1996 mm. Helsingin Sanomissa, Ilta Sanomissa ja Iltalehdessä)

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön