Yritysten rikosturvallisuus 2017: Riskit ja niiden hallinta, osa l

Toimialojen arviot ovat lähentyneet toisiaan eli monet uusista turvallisuusriskeistä - esimerkiksi identiteettikaappaukset - eivät ole enää niin toimialasidonnaisia. Artikkelisarjan ensimmäiseen osaan sisältyvät yritysrikosten määrän kehitys, ihmiset yritysrikosten kohteina ja tekijöinä, tietoon kohdistuvat rikokset ja väärinkäytökset sekä tietosuoja-asetukseen liittyvät pääkohdat.

YRITYSRIKOSTEN MÄÄRÄN KEHITYS

Turvallisuustilannetta pidetään kaikilla aloilla selvästi heikompana kuin edellisellä mittauskerralla. Viisi vuotta sitten tehdyssä selvityksessä viidennes rakennusalan ja teollisuusalan yrityksistä, neljännes palvelualan yrityksistä ja kolmannes kaupan alan yrityksistä arvioi rikosten määrän olevan kasvussa. Vuonna 2017 puolet rakennusalan ja kaupan yrityksistä ja neljä kymmenestä teollisuuden ja palvelualan yrityksistä arvioi rikosten määrän olevan kasvussa.

Kaikki yritykset Teollisuus Rakentaminen Kauppa Palvelut
+42                       +39           +47            +48       +39
Näkemykset yritysten rikosriskien kehityksestä yleensä eri toimialoilla (alleviivattuina keskimääräistä synkemmät arviot saldoluvuissa)

IHMISET YRITYSRIKOSTEN KOHTEINA JA TEKIJÖINÄ

Yritysten henkilöriskit viimeisen kolmen vuoden aikana:
Kaikki yritykset Teollisuus Rakentaminen Kauppa Palvelut
+19                     +11            +16              +29      +24
Näkemykset henkilöriskien kehityksestä eri toimialoilla (alleviivattuina keskimääräistä synkemmät arviot saldoluvuissa)

Lukuisia uhkatilanteita tiskissä, turhautuneita juoppoja, juoppohulluja, sekakäyttäjiä, huumeidenkäyttäjiä. Poliisin tulo kestää tunnin, joten puhumalla täytyy pärjätä. (Kaupan alan yritys, alle 50 henkilöä)


Miten varautua uhkatilanteisiin? Väärinkäytökset ja niihin varautuminen

Työntekijöitä kannustetaan kertomaan turvallisuuspuutteista (88 %)
2. Turvallisuusasiat osana perehdytystä (76 %)
3. Henkilötietojen suojaus on määritelty (63 %)
4. Avainhenkilöille on varamiesjärjestelmä (63 %)
5. Ohjeet väkivalta- ja uhkatilanteiden hallintaan ja turvallisuuskoulutus (52 %)

Päivystäjää on uhkailtu ovenavaustilanteessa puukolla ja muutoin väkivallalla, jonka seurauksena on järjestetty turvallisuuskoulutusta sekä hankittu viiltosuojaliivit päivystäjän käyttöön. (Palvelualan yritys, 50-249 henkilöä)

Työkalu- ja tavarahävikki. (Palvelualan yritys, yli 250 henkilöä)

Lähetimme asiakkaan omistamaa aineistoa väärien henkilöiden nähtäväksi. Virhe oli inhimillinen eikä tarkoituksellinen tai tuottamuksellinen. (Palvelualan yritys, alle 50 henkilöä)

Henkilön siirtyessä toisen työnantajan palvelukseen epäilys tietovuodosta. (Palvelualan yritys, alle 50 henkilöä)

TIETOON KOHDISTUVAT RIKOKSET JA VÄÄRINKÄYTÖKSET


Yritysten tietoriskit viimeisen kolmen vuoden aikana
Kaikki yritykset Teollisuus Rakentaminen Kauppa Palvelut
+42                       +47            +37           +54      +39
Näkemykset tietoriskien kehityksestä eri toimialoilla (alleviivattuina keskimääräistä synkemmät arviot saldoluvuissa)

Henkilömäärältään suurissa yrityksissä arvioitiin useimmin, että tietoriskit ovat kasvaneet. Keskimääräistä korkeampi saldoluku (lisääntyneet - vähentyneet) kertoo riskien koetusta kasvusta. Tietoriskien osalta heikoimmat saldoluvut selittyvät tunnettujen ja usein suurien yritysten valiokoitumisella kohteeksi ja myös sillä, että yritykset havaitsevat toteutuneita tietoriskejä pieniä yrityksiä paremmin.

Kaikki yritykset Pienet yritykset Keskisuuret yritykset Suuret yritykset
+42                        +37                  +51                        +63
Näkemykset tietoriskien kehityksestä erikokoisissa yrityksissä (alleviivattuina keskimääräistä synkemmät arviot saldoluvuissa)

Yleisimmät tietoriskit eri toimialojen yrityksissä

Yritysten kokemien tietoturvaloukkausten kärjessä olivat yritykset murtautua tietoverkkoon ja sisäiset tietoon liittyvät väärinkäytökset. Kaupan alan yritykset ilmoittivat toteutuneista tietoriskeistä kaikkein useimmin ja rakennusalan yritykset muiden toimialojen yrityksiä harvemmin. Kaupan alalla yritystiedon luvattomasta urkinnasta ilmoittaneiden osuus, 15 %, oli niin suuri, että riskienhallintaan on syytä alalla erityisesti panostaa. Muilla aloilla osuudet olivat 7-8 %:n tasolla. Poiketen muista vain teollisuusaloilla oli kolmanneksi yleisintä yritystiedon luvaton urkkiminen / yritysvakoilu (7 %, kaikkien vastaajien ka. 8 %)

Kasvaneet tietoriskit: Identiteettikaappaukset ja tietomurron yritykset

Joka neljäs (26 %) yritys ilmoitti, että yrityksen tietoverkkoon oli yritetty murtautua. Suuret yritykset raportoivat tietomurron yrityksistä selvästi muita yrityksiä useammin ja useammin kuin vuonna 2012 (43 % >54 %).

Luottokorttitiedot varastettu ja käytetty sitä tietämättämme. Facebook-tili otettu haltuun. (Alle 50 henkilöä työllistävä kaupan alan yritys)

Yrityksemme ohjattiin maksamaan maksu väärälle tilille eli alkuperäinen vastaanottaja ei koskaan saanut suoritusta. Kysymyksessä oli sähköpostitilin kaappaus. (Alle 50 henkilöä työllistävä teollisuusyritys)

Dataosaamisemme ei riitä estämään tietovarkauksia. (Kaupan alan yritys, alle 50 henkilöä)Kassakonemaksutapahtuma

Olimme palvelunestohyökkäyksen kohteena. Torjunta kallista. (Alle 50 henkilöä, muu toimiala)

Zeptovirus pääsi verkkoon ja salasi tiedostoja ja automaattikopioinnin palvelimelle ja kannettavaan koneeseen tallennetun varmuuskopion. Nyt otamme tiedoista automaattisesti SyncBack-ohjelmalla joka viikonpäivälle omalle tikulle varmuuskopion. (Alle 50 henkilöä työllistävä teollisuusyritys)

Yrityksen ulkopuolinen taho / alihankkijan edustaja ei noudattanut periaatteita turvallisuudesta. Tällöin havaittiin tietomurtoyritys, joka olisi voinut olla kohtalokas. Onneksi tilanne huomattiin ajoissa ja asia saatiin järjestykseen. (Yli 250 henkilöä työllistävä kaupan alan yritys)

Kehittynyt yrityssalaisuuksien urkinta, liittyen normaaleihin yrityksen käyttämiin tietoyhteyksiin. (Alle 50 henkilöä työllistävä teollisuusyritys)

Yleisimmät riskienhallintakeinot tiedon suojaamiseksi

Yrityksistä 43 % tunnistaa, että heillä on tietotaitoa tai muuta omaisuutta, joka saattaisi olla laittoman tiedustelun kohteena. Edelleen merkittävä osa yrityksistä ei osaa sanoa, mitä tietoja ulkopuolinen tunkeutuja tai vaikkapa yrityksen oma työntekijä voisi viedä eli yrityksen liiketoiminnalle kriittistä tietoa ei tunnisteta.

Tietojen luokittelu- ja käsittelyohjeet; Rajatut käyttöoikeudet

Henkilön, jolla pääsy melko kriittisiin tietoihin, siirtyminen kilpailijalle. Tämän jälkeen rajauksen tiukentaminen. (Alle 50 henkilöä työllistävä palvelualan yritys)

Tietosuoja ja varautuminen EU:n tietosuoja-asetukseen

Miten yritys voi varautua tietosuoja-asetukseen?
• Selvitä onko yritykseen nimettävä tietosuojavastaava. Tietosuojavastaavan tehtävänä on varmistaa tietosuojavelvoitteiden noudattaminen ja toimia yhteyshenkilönä viranomaisiin ja rekisteröityihin. Tietosuojavastaava voi kuulua henkilöstöön tai hän voi toimia sopimuksen perusteella.
• Ota huomioon toiminnassasi osoitusvelvollisuus. Yrityksen pitää pystyä osoittamaan, että lainsäädännön vaatimukset on otettu sen toiminnassa huomioon.
• Huomioi vahvistuvat yksilön / rekisteröidyn oikeudet. Uusia oikeuksia ovat esim. oikeus tulla unohdetuksi ja oikeus siirtää tiedot järjestelmästä toiseen.
• Valmistaudu ilmoittamaan henkilötietoihin kohdistuvasta tietoturvaloukkauksesta valvovalle viran omaiselle 72 tunnin määräajassa
• Tarkista ja tarvittaessa päivitä tietosuojaa koskevat sopimukset. Asetus mm. edellyttää kirjallista sopi musta, jos henkilötietojen käsittelyä on ulkoistettu (mm. asiakkaisiin kohdistuvaa myyntityötä tekevä alihankkija tai ulkopuolinen tietohallinnon tarjoaja.)
• Osa yrityksistä on velvollinen tekemään henkilötietojen käsittelyä koskevan vaikutusarvion (Data protection impact assessment).
• Varaudu hallinnollisen sakon varalta. Sanktiotaso on korkea: 10 tai 20 miljoonaa euroa tai 2 tai 4 % yrityksen maailmanlaajuisesta kokonaisliikevaihdosta.

Henkilökunta pitää kouluttaa salaisten ja luottamuksellisten tietojen käsittelyyn

Yrityksen on hyvä myös tunnistaa yrityksen hallussa oleva asiakkaiden tai viranomaisten luottamuksellinen tieto. Yritystiedon luvattomasta urkinnasta tai vakoilusta ilmoitti lähes kymmenesosa yrityksistä. Urkintatapauksista huolimatta kaupan alan yrityksistä vain kolmannes tunnistaa, että niillä on kilpailijaa kiinnostavaa tietoa. Teollisuudessa oli eniten (50 %) yrityksiä, jotka tunnistavat, että niillä on tietoa, joka saattaisi olla laittoman tiedustelun tai yritysvakoilun kohteena.

Tietoaineiston käsittely huolimattomasti, salassapidettävän tiedon vaarantuminen, koska käsittelijä ei ollut sisäistänyt ohjeita (Yli 250 henkilöä työllistävä palvelualan yritys)

TUEKSI JA AVUKSI JÄSENETUJA SEKÄ AJANKOHTAISKOULUTUKSIA:

Kauppakamarin tietosuojavalmennus on kauppakamarin jäsenille suunnattu kokonaisuus, jonka avulla yrityksesi ymmärtää EU:n uuden tietosuoja-asetuksen vaatimukset ja pystyy hallitsemaan niitä kokonaisvaltaisesti. Valmennukseen voit liittyä missä vaiheessa haluat ja liittyminen kauppakamarin jäsenille on maksutonta eikä sido mihinkään.

Henkilötietojen käsittely ja tietosuoja työelämässä
- To 8.2. klo 9-12 Technopolis Yliopistonrinne
- Asiantuntijoina työoikeuteen erikoistuneet asianajaja, osakas Timo Jarmas, lakimies Henni Hokkanen ja tietosuojaan erikoistunut lakimies Elli Laine, Eversheds Asianajotoimisto Oy (jäsenhinta 230 € + alv, normaalihinta 460 € + alv)

Yrityksen tietotekniset valmiudet GDPR:n vaatimalle tasolle
- To 15.2. klo 9-16 Technopolis Yliopistonrinne
- Asiantuntijoina toimitusjohtaja Timo Haapavuori ja viestintäasiantuntija Terhi Meriläinen, Magic Cloud Oy (jäsenhinta 320 € + alv, normaalihinta 640 € + alv)

Yritysten rikosturvallisuus 2017: Riskit ja niiden hallinta l, ll ja lll -artikkelisarja perustuu Yritysten rikosturvallisuus 2017 – riskit ja niiden hallinta -kyselyyn, joka lähetettiin keväällä 2017 Suomen kauppakamarien jäsenyrityksille: 762 yritysjohtajaa vastasi kaikilta toimialoilta ja kaikenkokoisista yrityksistä. Yritysten rikosturvallisuus 2017 on neljäs koko maan kattava selvitys, jossa tarkastellaan yrityksiin kohdistuvan rikollisuuden kehitystä ja yritysten keinoja torjua rikoksia ja väärinkäytöksiä. Kyselyyn perustuvan selvityksen ovat laatineet Keskuskauppakamari ja Helsingin seudun kauppakamari yhteistyössä Huoltovarmuuskeskuksen ja Suomen kauppakamarien kanssa: Yritysten rikostuvallisuus 2017 – riskit ja niiden hallinta