Kybervakoilu on kasvava haaste digitaalisessa yhteiskunnassa ja vakava uhka suomalaiselle tietopääomalle. Samalla kun kybervakoilumaailma muuttuu aggressiivisemmaksi, ovat nimenomaan yritykset vakoilun kohteena. Yritysten kyberturvallisuuden merkitys on puolestaan yhteiskunnalle kasvanut, sillä kriittinen infrastruktuuri on pitkälti yksityisessä omistuksessa ja operoinnissa.
Yritysvakoilun keinot ovat muuttuneet viime vuosikymmen aikana merkittävästi. Vakoilun – tiedon luvattoman varastamisen – tunnistaminen on entistä vaikeampaa digitaalisen maailman luomien uusien keinojen takia. Digimaailma mahdollistaa tietojen tehokkaan keräämisen ja analysoinnin. Esimerkiksi ihmisiä ja yrityksiä voidaan jo julkisten lähteiden pohjalta profiloida kattavasti ja vaikuttaa moninaisin keinoin. Monesti kybervakoiluun liittyy henkilötiedustelua sekä avoimiin lähteisiin perustuvaa tiedustelua. Laillisen ja laittoman kybervakoilun raja on hämärtymässä.
Tiedon digitalisoitumisen myötä on luonnollista, että myös valtioiden välinen vakoilu on siirtynyt yhä enemmän kyberympäristöön, ja vakoilun kohteena ovat Suomessa valtiohallinnon ja poliittisen päätöksenteon lisäksi lisääntyvissä määrin tuotekehitystä tekevät teknologiayritykset sekä niille palveluita tarjoavat yritykset. Toimialojen kirjo on laaja kone- ja laiteteollisuudesta terveysteknologiaan. Kybervakoilu voidaan naamioida satunnaiseksi hakkeroinniksi tai haittaohjelmiksi.
Tieto, joka pääsääntöisesti on digitaalisessa muodossa, on yhä enemmän yritysten tärkeintä pääomaa.
Yritysvakoilun kohteena ovat muun muassa yrityssalaisuudet, käyttäjä- ja asiakastiedot sekä talous- ja markkinointitiedot. Keskeinen yritysvakoilun kohde on yrityksen tuotekehitystiedot. Jos tuotekehitystiedot varastetaan toiseen maahan tai yritykseen, voi yritys menettää koko tulevaisuutensa.
Asia onneksi usein jo tiedostetaan. Kauppakamarin tutkimuksen mukaan yritykset itse näkevät luottamuksellisten tuotetietojen tai muun yritystiedon menettämisen vakavimpana rikollisuuden aiheuttamana uhkakuvana liiketoiminnalle.
Yritysten näkökulmasta on aina huolestuttavaa, kun tietoa katoaa tai yrityksen tietojärjestelmissä on jälkiä ulkopuolisen toiminnasta. Erilaisia vakoiluhaittaohjelmia on viime vuosina löytynyt maailmalta lisääntyvissä määrin. Todellinen kysymys kuitenkin lienee, mitä kaikkea tietoverkoissa ja -järjestelmissä liikkuu, josta emme edes ole tietoisia. Digitaalisen ympäristön havainnointikyky ja sen kehittäminen ovat keskeisimpiä kyberturvallisuuden kehitysalueita. Tämä edellyttää läheistä yhteistyötä niin yksityisen ja julkisen sektorin kuin kansainvälisten kumppanimaiden kanssa. Tältä toiminnalta ei yksinään suomalainen yritys voi itseään ulkoistaa.
Suojelupoliisi on varoittanut yhä voimallisemmin yrityksiin kohdistuvasta kybervakoilusta. Supon tietoon on tullut useita verkkovakoilutapauksia, joiden taustalla on todennäköisesti jokin valtiollinen toimija. Yritysvakoilulla pyritään yleensä tavoittelemaan kilpailuetua tietyn maan yrityksille. Esimerkiksi Kiinassa kopiointi kuuluu kulttuuriin, ja taitavaa jo markkinoilla olevan tuotteen tai palvelun kopiota arvostetaan.
Samanaikaisesti valtiollisen vakoilun, tiedustelun ja hakkeroinnin raja on muodostumassa entistä häilyvämmäksi. Useat valtiot käyttävät kyberrikollisten vakoilupalveluja tai hakkeriryhmiä tekemään hyökkäyksiä. Usein vakoilun, kehittyneen kyberhyökkäyksen ja tavanomaisen kyberrikollisuuden toiminnan alkuvaiheet muistuttavat toisiaan, jolloin puolustajan on vaikea arvioida, onko hyökkääjä keräämässä tietoja vai esimerkiksi valmistelemassa haavoittuvuuksia tiedustellen varsinaista hyökkäystä.
Kybervakoilusta ja -uhkista huolimatta yritysten on uskallettava hyödyntää digitalisaation mahdollisuuksia. Digitalisaatio kokonaisuudessaan on suomalaisille yrityksille upea mahdollisuus, jossa turvallisuuden tulee näyttäytyä sekä välttämättömyytenä että toiminnan mahdollistajana.
Kyberuhkilta ja -vakoilulta suojatumien on yrityksissä ensisijaisesti johdon asia. Kyberturvallisuuden – uhkineen ja mahdollisuuksineen – tuleekin olla osa yrityksen liiketoimintastrategiaa. Kyse on niin uhkien kuin suojattavien tietojen tunnistamisesta, suojaamisen jatkuvasta kehittämisestä sekä oikeanlaisen yrityskulttuurin luomisesta. Kybervakoilu on yrityksen riskiarvioissa otettava yhä vakavammin huomioon.
Teknisillä suojautumisratkaisuilla on tärkeä roolinsa, mutta henkilökunnan kouluttaminen ja tietoisuuden lisääminen ovat avainasemassa. Jokaisella työntekijällä on myös velvollisuus ilmoittaa havaitsemastaan epäilyttävästä toiminnasta tietojärjestelmissä, prosesseissa tai ihmisten toiminnassa. Kyberturvallisuudessa juuri ihmisen tulee olla vahvin lenkki.
Jarno Limnéll on kyberturvallisuuden professori, Tosibox Oy:n toimitusjohtaja.