Yritysvakoojat operoivat myös pk-kentällä 1 Yritykset

Yritysvakoojat operoivat myös pk-kentällä

Moni mieltää henkilötiedustelun ja vakoilun vain valtioiden ja suuryritysten murheeksi. Sen kohteena ovat kuitenkin entistä useammin myös pk-yritykset ja startupit. Ja yleensä vielä niin, etteivät ne itse sitä edes huomaa.
Timo Sormunen
FacebookTwitterLinkedIn

Harvinaisen pätevä hakija heti ensimmäisellä rekrykierroksella. Nopeasti oppiva ja nokkela harjoittelija tai kesätyöntekijä. Äärimmäisen kiinnostava yhteistyökumppani messumatkalla. Mukava uusi tuttavuus, jonka seurassa myös perhe viihtyy.

Monen yritysjohtajan tai esimiestehtävissä toimivan silmissä edellä mainitut esimerkit voivat kuulostaa liki onnenpotkuilta, mutta mitalista voi myöhemmin paljastua hyvinkin synkkä kääntöpuoli.

Unelmarekrytointi, potentiaalinen businesskumppani tai uusi golfkaveri voi näet olla yritysvakooja, joka on seurannut kohdettaan etukäteen jo kuukausien, joskus jopa vuosien ajan.

Ja saatuaan työnsä tehdyksi, hän katoaa vähin äänin maisemista.

Innovaatiot kiinnostavat aina

Henkilösuojaukseen erikoistuneen Nuuh Oy:n partnerin Samuli Järvisen mukaan yritysvakoilu on arkea myös Suomessa ja se kohdistuu kaiken kokoisiin yrityksiin.

– Tieto on alati arvokkaampaa. Uudet innovaatiot kiinnostavat aina ja niitä syntyy myös pienemmissä yrityksissä, kauppakamarin yritysturvallisuuteen pureutuneessa tilaisuudessa 27. syyskuuta esitelmöinyt Järvinen muistutti.

Startupit ja pk-yritykset ovat vakoojille usein myös helpompia kohteita. Koneilla ja pilvipalveluissa oleva voi olla hyvinkin tarkkaan suojattu, mutta vakoiluriskiä ei useinkaan tiedosteta. Samalla myös henkilöstön ”varautumisaste” on niiden varalta heikko.

– Meistä löytyy paljon tietoa yleisten verkkohakujen pohjalta. Pätevä tiedustelija selvittää nopeasti perhetaustan, päivittäiset kulkureitit, elämäntavat, harrasteet ja niiden pohjalta myös heikot kohtamme, joita voi myöhemmin käyttää hyväksi. Varsinainen kontakti voi tapahtua työn kautta, mutta aivan yhtä hyvin myös vapaa-aikana, Järvinen totesi.

Paljastuminen on kova paikka

Kaiken kukkuraksi pätevän ja riittävän hienovaraisesti toimivan henkilötiedustelijan paljastaminen on usein erittäin vaikeaa. Käytännössä parhaaksi keinoksi jää oma varovaisuus ja harkitsevaisuus. Raja omien ja yrityksen asioiden välillä on pystyttävä pitämään mahdollisimman kirkkaana kaikissa tilanteissa.

Vakoiluriskin tiedostaminen ja siihen varautuminen esimerkiksi koulutuksella ei sekään ole pahitteeksi.

Järvisen mukaan henkilötiedustelun ja yritysvakoilun paljastuminen on aina raskas paikka paitsi yritykselle myös sen kohteeksi joutuneelle henkilölle.

– Joskus puhutaan hyvinkin syvästä luottamuksesta. Sen takana voi olla vuosia kestänyt kaveruus ja perhetuttavuus, Järvinen muistutti.

Riskejä ei vieläkään tiedosteta

Urkinnan ohella suomalaisyrityksissä näyttää olevan varsin otollinen maaperä myös kyberiskuille.
Tämä käy koruttomasti ilmi Helsingin seudun kauppakamarin ja CyVantage LLC:n järjestyksessään kolmannesta selvityksestä Yrityksiin kohdistuvat kyberuhat 2019 , jonka keskeisiä tuloksia käytiin läpi samassa tilaisuudessa.

Yritysvakoojat operoivat myös pk-kentälläKauppakamarin asiantuntijan Panu Vesterisen mukaan suuremmissa yrityksissä asiaan on heräilty, mutta pienemmissä nukutaan edelleen ruususen unta. Käytännössä tilanne on pysynyt pitkälti samana kuin vuonna 2015, jolloin kysely tehtiin ensimmäisen kerran.

Käytännössä noin 40 prosenttia selvitykseen vastanneista noin 600 yrityksestä ei osannut sanoa, mikä heidän yrityksessään voisi kiinnostaa kyberrikollisia. Ja mikäli järjestelmiin isketään, se tunnistetaan vain noin kolmasosassa yrityksistä.

Vajaa neljäsosa vastanneista oli tehnyt jotain asian korjaamiseksi eli kouluttanut henkilökuntaa, parantanut omaa tietoturvaansa ja suojauskäytäntöjä tai hankkinut alan asiantuntijapalveluita. Runsas kolmannes ei sen sijaan ollut tehnyt kyberturvallisuuden parantamiseksi yhtään mitään. Valtaosa tästä joukosta oli pienempiä pk-yrityksiä ja käytännössä alihankkijoita.

– Tämä on huolestuttava, sillä usein juuri alihankkijat tarjoavat verkkorikollisille pääsyn varsinaiseen kohteeseensa, Vesterinen totesi.

Hän toivoikin, että viime kuukausina paljastuneet isot kyberiskut muun muassa Norsk Hydron kaltaisiin jättiyrityksiin saisivat varoituskellot soimaan.

– Toisaalta yrityksissä kaivataan kipeästi myös tahoa, josta saisi kyberuhkiin liittyvää neutraalia ja luotettavaa tietoa. Eli tässä kohtaa viranomaisviestinnässä on petrattavaa, Vesterinen totesi.

Sopimukset selkeiksi ja ajan tasalle

Puheesta ja paperista bitteihin -tilaisuudessa käytiin läpi myös tietoturvaa koskevia sopimuskäytäntöjä. Helsinkiläisen Focuslaw-lakitoimiston asianajajan Kaj Aaltosen mukaan näiden sopimusten merkitys on GDPR-asetuksen myötä edelleen korostunut.

Oman lisänsä tuovat toki myös alati verkostoituneemmat toimintatavat, toimintojen ulkoistukset ja alihankinta sekä muun muassa pilvipalveluiden lisääntyvä käyttö. Päämies vastaa alihankkijansa työstä ja siksi myös sen tietoturvaan kannattaa kiinnittää huomiota.

– Silti lähtötilanteessa kannattaa aina miettiä, tarvitaanko tällaista sopimusta ja millä tasolla se kannattaa laatia. Liian yksityiskohtainen sopimusteksti voi lopulta kääntyä rasitteeksi sekä yhteistyölle että liiketoiminnalle, hän muistutti.

Kertaalleen laadittua ja toimivaksi havaittua sopimustekstiä kannattaa myös päivittää säännöllisin väliajoin – ja muutenkin kuin vain allekirjoitusten ja päiväysten osalta.

– Yhden kumppanin kanssa tehty sopimus ei välttämättä ole monistettavissa seuraaviin, vaikka se tuntuisikin kätevältä ja kustannustehokkaalta. Hyvän sopimuksen pitää olla sitä molemmille osapuolille, Aaltonen painotti.


Lue myös:

Yritysten kybervarautumisen tilanne ei juurikaan ole muuttunut
– uhat ovat yleistyneet

Yritysten kybervarautumisen tilanne ei juurikaan ole muuttunut – uhat ovat yleistyneet