Insider-teot: Työntekijän tekemä tietovarkaus tai sabotaasi uhkana yrityksen toiminnalle

Organisaation tietopääoma tai kriittiset toiminnot saattavat vaarantua työntekijöiden toiminnan takia. Vaarantumisesta aiheutuu taloudellisia ja mainevahinkoja. Lisäksi tämä saattaa uhata valtion turvallisuutta, kun kyseessä ovat viranomaiset tai esimerkiksi kriittisen infrastruktuurin yritykset. Turvallisuusselvityksillä ja taustojen tarkistuksilla voidaan selvittää sekä tulevien että nykyisten työntekijöiden nuhteettomuutta ja luotettavuutta.

Jos työntekijä toimii tahallaan omaa organisaatiotaan vastaan, kysymyksessä on niin sanottu insider-toiminta. Insiderilla tarkoitetaan organisaation nykyistä tai entistä työntekijää, jolla on pääsy työnantajansa luottamuksellisiin tietoihin tai suojattuihin toimitiloihin, ja joka käyttää pääsyoikeuksiaan työnantajan kannalta vahingollisesti.

Insider-tapauksia tulee säännöllisesti esiin, vaikka kaikki tapaukset eivät tule viranomaisten tietoon. Toisinaan työntekijä voi toimia myös tahattomasti eli tiedostamatta toimintansa vahingollisuutta.

Insider-teko voi olla esimerkiksi tietovarkaus tai kriittisten toimintojen, kuten tietojärjestelmien sabotointi tai petos. Tekoon voi kytkeytyä myös ulkomainen tiedustelupalvelu. Tyypillisimmin varastetaan asiakkaisiin, tuotekehitykseen, sopimusneuvotteluihin ja yhteistyökumppaneihin liittyviä tietoja.

Mikä altistaa organisaation tietovarkauksille?

Organisaation toiminnassa voi olla haavoittuvuuksia, jotka tekevät tietovarkauden onnistumisen mahdolliseksi. Yleisimpiä haavoittuvuuksia ovat kyvyttömyys tunnistaa organisaation toiminnan kannalta kriittisimpiä suojattavia tietoja, työntekijöiden rajaamattomat pääsyoikeudet tietoihin ja toimitiloihin, puutteelliset lokitiedot, puutteellinen henkilön taustan ja sopivuuden arviointi rekrytoitaessa sekä heikko turvallisuuskulttuuri.

Kansainvälisen, kriittistä infrastruktuuria ylläpitävän yrityksen it-työntekijä riitautui esimiestensä kanssa. Hänet irtisanottiin, mutta pääsyoikeuksia ei poistettu ja työnantajan laitteita ei otettu haltuun. Tänä aikana työntekijä ehti sabotoida vakavasti työnantajan tietojärjestelmän toimintaa. Tapauksesta seurasi työnantajalle merkittävää taloudellista ja mainevahinkoa.

Selvää tekijäprofiilia ei voida määrittää, sillä tapaukset ovat hyvin erilaisia. Muutamat taustavaikuttimet kuitenkin toistuvat: taloudellisen hyödyn tavoittelu, ideologiset syyt teolle, tyytymättömyys työhön tai työnantajaan sekä yksityiselämän ongelmat.

Taloudelliset vaikeudet, kuten vakava velkaantuminen, saattavat altistaa työntekijän tekemään tietovarkauksia, erityisesti tehtävissä joissa työntekijällä on pääsy taloudellisesti arvokkaaseen tietoon. Toinen tyypillinen motiivi on työntekijän kokema ristiriita omien arvojensa ja työnantajan toiminnan välillä. Usein taustalla on ollut myös ristiriitoja työpaikalla tai työntekijän tyytymättömyyttä työtehtäviinsä. Yleensä tekijä on työskennellyt organisaation palveluksessa joitakin vuosia ennen tekoon ryhtymistään. On harvinaisempaa, että henkilö hakeutuisi organisaation palvelukseen jo etukäteen tietovarkautta suunnitellen.

Suomalaisyrityksen työntekijällä oli ollut toistuvia ongelmia työpaikalla: hän jätti annettuja tehtäviä hoitamatta eikä saavuttanut annettuja tavoitteita. Työntekijä irtisanoutui ennen kuin hänet irtisanottiin ja siirtyi kilpailevan yrityksen palvelukseen ulkomaille. Entinen työnantaja alkoi epäillä, että työntekijä oli vienyt lähtiessään kriittistä asiakas- ja tuotetietoa. Epäilyä ei kuitenkaan pystytty todistamaan.

Miten tietovarkauksia voi estää ennalta?

Tietojen suojaamisen perusasiat, kuten tietojen luokittelu ja pääsyrajoitukset, auttavat insider-uhkan torjumisessa. Luottamukselliseen materiaaliin pääsyn rajaaminen on tärkeää. Työtehtäviin perustuva tietojen käsittelyoikeus ei yksin estä tietovarkauksia, mutta sen avulla pystytään vähentämään potentiaalisten tekijöiden määrää.

Turvallisuusselvityksillä ja taustojen tarkistuksilla voidaan selvittää sekä tulevien että nykyisten työntekijöiden nuhteettomuutta ja luotettavuutta. Esimerkiksi rikostaustan selvittäminen auttaa osaltaan arvioimaan henkilön kykyä toimia asianmukaisesti luotettavuutta ja nuhteettomuutta edellyttävissä tehtävissä. Taustan tarkistaminen auttaa myös arvioimaan, miten rehellisesti henkilö kertoo itsestään.

Rekrytointivaiheessa voidaan vaikuttaa henkilön odotuksiin tulevaa tehtäväänsä ja työyhteisöään kohtaan. Työtehtäviin liittyviä pettymyksiä ja ristiriitoja voidaan osaltaan välttää, jos työntekijällä on alusta asti realistinen käsitys tehtävien vaativuudesta ja esimerkiksi etenemismahdollisuuksista.