keskiviikko 11. helmikuuta 2009

Kuka lähettäisi yrityssalaisuuksia sähköpostilla?

Kuka on niin tyhmä, että lähettäisi yrityssalaisuuksia sähköpostilla? Tätä on usein kysytty urkintalain yhteydessä.

Suomessa sähköposti on ehdottomasti paras keino yrityssalaisuuksien vuotamieen. Siitä on lähes mahdotonta jäädä kiinni, koska yritys ei saa millään tavalla seurata sähköpostiliikennettä. Tiedostot -- ei siis pelkät viestit vaan liitetiedostot -- siirtyvät napin painalluksella toiselle puolelle maapalloa, eikä kukaan saa tutkia, mitä on tapahtunut. Kun lähettäjä vielä poistaa viestin liitteineen koneeltaan, mitään jälkiä ei jää.

Vaihtoehtoinen tapa on kopioida tiedostot usb-tikulle tai polttaa ne cd-levylle. Suomessa vain tyhmä toimii näin, sillä fyysinen esine aina lisää kiinnijäämisen riskiä ja on todistusaineistona, mikäli poliisi alkaa tutkia juttua. Lisäksi yritys saa estää ja tallentaa lokeihin niin kopioinnit kuin levyjen poltotkin, mikä helpottaa teon havaitsemista.

Erityisen tyhmää olisi jättää usb-tikku firman kirjekuoressa lähtevän postin laatikkoon, sillä kirjepostissa tunnistetietoja ei suojata. Sisältöä ei saa kurkkia, mutta usb-tikun muoto on helppo hahmottaa kirjekuoren läpi. Ulkomaiselle kilpailijalle osoitettu usb-tikku herättäisi varmasti huomiota. Sitä paitsi postin kulku ulkomaille on hidasta verrattuna valon nopeudella liikkuvaan sähköpostiin.


Lakia on kritisoitu siitä, että sähköpostin valvonta on turhaa, koska ihminen voi kertoa yrityssalaisuuksia vaikka kahvikupin ääressä. Tähän viittasi mm. Max Hamberg ("Tiedon vuotamiseen on lukemattomia keinoja", Helsingin Sanomat 4.2.2009).

Argumentoinnissa on oleellinen virhe: tiedot, joista voi kertoa muistinvaraisesti vaikkapa kahvilassa, eivät ole lain tarkoittamia keskeisiä yrityssalaisuuksia. Sen sijaan niitä voivat olla 50-sivuinen Powerpoint-esitys tulevan tuotteen julkistuksesta, yrityksen budjetti Excel-mallina, 200-sivuinen tuotekehitysdokumentti, 100 000 riviä firmware-koodia tai suunnitteilla olevan laitteen piirikaavio. Niitä ei kukaan pysty vuotamaan muistinvaraisesti ja juuri siksi ne ovat arvokkaita.


On helppo ymmärtää yritysten huoli siitä, että nykyisen lain aikana ne ovat täysin aseettomia sähköpostilla tapahtuvien tiedostolähetysten edessä. Vaikka urkintalaki hyväksyttäisiin, se auttaisi vain osaan tietovuotoja. Sähköposti olisi edelleen paras tapa vuotaa tiedostoja, mutta se edellyttäisi webmail-postien käyttöä. Niitä yritys ei saa valvoa. Ne voi tosin estää palomuurissa, mutta palveluita on lukuisia ja estotkin voi kiertää.

Miksi yritykset toivovat lakia, joka ei kuitenkaan estäisi kaikkia tietovuotoja? Pienikin parannus nykyiseen tilanteeseen on tervetullut. Oletan, että valmisteluvaiheessa yritykset ovat vaatineet huomattavasti laajempia oikeuksia, mutta niihin ei ole suostuttu. Niin ikään oletan, että nyt suunniteltu muutos on pelkkä päänavaus. Kun lain toimivuudesta on saatu kokemuksia, yritykset tulevat vaatimaan valvontaoikeuksiensa laajentamista. Tämä tietysti edellyttää, että lailla on oikeasti pystytty havaitsemaan tietovuotoja. Pelkkää pelotevaikutusta ei voi käyttää perusteluna.


Yrityssalaisuuksien vuotamisesta näkee harvoin uutisia lehdessä. Tästä joku on päätellyt, ettei niitä oikeasti tapahdukaan, ja että yritykset vetoavat niihin vain saadakseen lisää oikeuksia työntekijöiden yleiseen valvontaan.

Valitettavasti salaisuuksia vuodetaan ja käytetään jatkuvasti. Riippumatta siitä, mitä kautta tieto kulkee, jutut ovat tutkinnallisesti vaikeita. Usein yritykset eivät edes halua tehdä asiasta tutkintapyyntöä poliisille, vaan kärsivät seuraukset kaikessa hiljaisuudessa. Nekin tapaukset, jotka poliisi tutkii, eivät yleensä etene oikeuteen asti, vaan osapuolet sopivat riidan kaikessa hiljaisuudessa. Julkinen oikeudenkäynti olisi haitaksi molemmille -- lopputuloksesta riippumatta. Tapaukset, joissa tietoja on vuodettu ulkomaille, ovat käytännössä mahdottomia tutkia.

Runsas viikko sitten (31.1.2009) oli Helsingin Sanomissa uutinen, jossa kuvattiin yksi harvoista oikeuteen asti edenneistä tapauksista. Siinä YIT:n tarjouslaskentapäällikkö vei loppuvuodesta 2005 kotiinsa 16 levykettä, joissa oli tarjouslaskentaan, asiakassuhteisiin, strategioihin ja tulosjohtamiseen liittyviä yrityssalaisuuksia. Muutama päivä sen jälkeen tarjouslaskentapäällikkö irtisanoutui ja vaihtoi kilpailijalle töihin.

YIT:n tehtyä asiasta rikosilmoituksen poliisit saapuivat uudelle työpaikalle ja löysivät "selvästi yllättyneen" laskentapäällikön pöytänsä äärestä. Pöydällä oli mappikaupalla levykkeiltä tulostettua aineistoa. Laskentapäällikkö tuomittiin 70 päiväsakkoon sekä maksamaan 6 000 euroa vahingonkorvauksia ja 20 000 euroa erilaisia muita kuluja.

Vain tyhmä vie luottamuksellista aineistoa levykkeillä. Fiksu käyttää sähköpostia.

8 kommenttia:

Anonyymi kirjoitti...

ja vielä fiksumpi on, jos ei missään muodossa lähetä mitään salaista/luottamuksellista tietoa. se kun voi myöhemmässä vaiheessa vaikeuttaa työnsaantia, jos on joskus jäänyt kiinni salaisuuksien vuotamisesta.

Tämä jää vastaamatta? kirjoitti...

Miten lex nokia estää lähettämästä salaista tietoa firman omasta sähköpostista esim mainitsemasi powerpoint uudelleennimettynä vaikkapa omalle vaimolle?

Lisäksi tuo usb-tikku-vertauksesi postissa on aika kökkö, usb-tikkuja on jo niin pieniä että semmosen kuljettaa vaikka kolikoiden seassa lompakossaan ulos firmasta. Lisäksi harvaa kovan luokan asiantuntijaa taputellaan läpi poliisityyliin töistä lähteissä. Se on muuten laitontakin, ainakin vielä...

Petteri Järvinen kirjoitti...

Miten lex nokia estää lähettämästä salaista tietoa firman omasta sähköpostista esim mainitsemasi powerpoint uudelleennimettynä vaikkapa omalle vaimolle?

Ei mitenkään. Vedätkö tästä sen johtopäätöksen, että laki on hyödytön?

Lisäksi tuo usb-tikku-vertauksesi postissa on aika kökkö,

Hain siinä analogiaa tietojen lähettämiselle talon järjestelmän kautta. Jos vastaanottaja on vaikka Kiinassa, usb-tikun postittaminen on sähköpostiin verrattuna kovin hidasta ja kömpelöä - tapahtui se sitten kotoa tai työpaikalta.

Esimerkki oli tarkoitettu myös selventämään tunnistetietojen ja viestisisällön eroa. Kirjepostin tunnistetiedot ovat talon sisällä kaikkien nähtävissä.

ensimmmäisen kommentin heittäjä kirjoitti...

siinäpä laki oikein testattaisikiin, jos lähettäisi vaimolleen sähköpostina tai vaikka kaverin nimissä luodun webmailin. siihen vain itse pääsisi ja tiedot zipattuna, jolloinka niihinkään ei pääse suoraan lukemaan ja ehkä vielä salasanalla höystettynä. esimerkiksi nokian zipit ei mene sähköposti filtteristä läpi, jos ei ole salasanalla suojattuna. winzip tosin "laulaa" tiedostojen nimet, vaikka salasanaa ei tietäisikään, ainakin se versio mitä itse käytän. se olisikin lain varsinainen tulikoe, jääkö se pelkästään tunnistetietojen lukemisen asteelle vai harrastetaanko tarkempaa tirkistelyä. kuitenkin salaisuuksien vuotaminen on tyhmää ja moraalisesti/lain suhteen väärin. mut minulle riittää, kun itsellä on puhtaat jauhot pussissa. on henkisesti helpompaa liikkua selvillä vesillä puhtaalla omatunnolla.

ps. en ole koskaan ollut, enkä koskaan tule olemaan noksulainen. koulutus kun on sen verran eri alalta, en tosin haluaisikaan olla.

Anonyymi kirjoitti...

Etkö Petteri näe laissa mitään ongelmia yksityisyydensuojan heikentymisen suhteen? Et mainitse näistä asioista mitään, kovin suoraviivaisesti ajattelet vain uuden kännykän kaavioiden vuotamista ajattelematta sitä että tietoja tullaan keräämään ja tarkkailemaan jatkuvasti, on kännykkäkaavio vuotanut tai ei.

Poliisilla on nykyään (esimerkkisi mukaisissa tapauksissa) valtuudet tutkia epäiltyjä rikoksia. Jos mielestäsi poliisi ei toimi riittävän tehokkaasti tässä työssä, miksi et esitä heille uusia valtuuksia tai uusia yritysvakoilun estämiseen keskittyviä toimintoja? Miksi haluat siirtää nämä valtuudet yrityksille? Jos syy on se, että "viranomaiset eivät siihen pysty", niin onko sitten yleisesti niin, että viranomaisilta on siirrettävä valtuudet yksityisille, jos tuntuu siltä että viranomaiset eivät onnistu tietyn lain valvomisessa? Oletko vastaavalla kannalla myös muulloin: tuleeko oikeuksia siirtää viranomaisilta yrityksille enemmänkin?

25 vuoden kuluttua viimeistään jokainen kännykkäpuhelu tulee olemaan VOIP-puhelu lähimmästä langattomasta verkosta. Silloin viimeistään tämä laki keräisi jokaisesta puhelusta myös tunnistetiedot eli soittajan ja vastaanottajan "numerot" tai nimet työantajan/verkon omistajan haltuun. Nykyään näitä tietoja voi käyttää poliisi tarvittaessa. Kuka sinusta niitä saa lukea jatkossa?

Jos tämä laki säädetään, se jää voimaan. Oletko varmasti ajatellut loppuun asti, mitä kaikkea tunnistetietojen kerääminen mahdollistaa nyt ja tulevaisuudessa?

Huomaatko muuten, että tämä viesti on jätetty anonyymisti? Etkö näe anonymiteetin suojan heikentämisessä haittaa yhteiskunnan kannalta? Oletko harkinnut lain vaikutusta lähdesuojaan?

Petteri Järvinen kirjoitti...

Etkö Petteri näe laissa mitään ongelmia yksityisyydensuojan heikentymisen suhteen? Et mainitse näistä asioista mitään, kovin suoraviivaisesti ajattelet vain uuden kännykän kaavioiden vuotamista ajattelematta sitä että tietoja tullaan keräämään ja tarkkailemaan jatkuvasti, on kännykkäkaavio vuotanut tai ei.

Tarkoitus on, että pitää käyttää automaattista järjestelmää jotta kenenkään ei tarvitse poimia epäilyttäviä tunnistetietoja käsin. Tämän pitäisi siis olla työntekijän kannalta turvakeino eikä päinvastoin.

Jos poliisi on itse sitä mieltä, että sillä on resursseja käsitellä epäilyttävät tapaukset, aina parempi. Ei yrityksillä ole mitään halua sitoa henkilöitään turhiin selvityksiin; hyvä vain jos poliisi hoitaa asiat. Sehän pitää kuitenkin kutsua paikalle viimeistään sitten, kun perusteltu epäily rikoksen tapahtumisesta on saatu ja varsinainen tutkinta voidaan aloittaa.

Jos poliisien televalvontaoikeuksia pitää tämän vuoksi laajentaa, asia ei olekaan ihan yhtä selvä. Televalvonnan rajoista on keskusteltu monta kertaa aiemminkin. Taitaa olla ensimmäinen kerta aikoihin, kun kansalaiset vaativat poliisille nykyistä laajempia televalvontaoikeuksia.

Kerrataan vielä, mitä lainvalmistelija itse tuumasi asiasta: "Esitystä valmisteltaessa arvioitiin seikkaperäisesti mahdollisuutta antaa väärinkäytösten selvittäminen yksin poliisin tehtäväksi. Yhteisötilaajien määrän, vikatilanteiden ja väärinkäytösten moninaisuuden, järjestelmien erilaisuuden, ja tehtävän vaatimien resurssien laajuuden vuoksi tätä vaihtoehtoa ei pidetty lainkaan toteuttamiskelpoisena. Kyse on yhteisötilaajien omien viestintäjärjestelmien päivittäiseen ylläpitoon liittyvistä tehtävistä, joista kunkin yhteisötilaajan on välttämätöntä huolehtia itse. Samalla yhteisötilaaja pystyisi rajaamaan mahdollisen poliisille osoitettavan esitutkintapyynnön niin, ettei esitutkinta (ml. poliisin haltuun tutkinnan ajaksi siirrettävät tietokoneet ja palvelimet) vaarantaisi koko yrityksen toiminnan jatkuvuutta."

En näe, että laki heikentäisi anonymiteetin suojaa tai estäisi tämän blogin kommentointia nimettömänä.

Mitä lähdesuojaan tulee, se on nimenomaisesti rajattu tarkkailun ulkopuolelle (13 e §).

kävi vaan pienessä kierossa mielessä kirjoitti...

heräsi ajatus, että koko keskustelussa on aina oltu sitä mieltä, että työntekijä on pahantekijä. entäs, jos asia käännetäänkin toisinpäin. työntekijä X ilmoittaa yritys A:lle, että sori, meidän yritys B pölli teidän idean. tai viranomaisille, että täällä harrastetaan esim. veronkiertoa veroparatiisien kautta. ehtisi ainakin putsata kuntoon logit ja paperit ilmoittajan ja muun suhteen ennen viranomaisiskua. kyllähän esim. 7 yrityksellä on jonkin sortin tili cayman-saarilla erään televisio-ohjelman mukaan. kolikolla on yleensä 2 puolta, nyt on pällistelty kiiman vallassa vain toista. tiedän, että tämä voi olla kaukaa haettu, mutta totuus on joskus tarua ihmeellisempää.

linkki jakson esittelyyn kirjoitti...

Tarkoitit varmaan Yle:n Spotlight-ohjelmaa. Ei ihan pidä paikkaansa. Niitä oli kuusi yritystä ja ei kaikki ollut Caymanilla. Konecranes:llä oli Caymanilla, samoin Wärtsilällä. W:llä oli myös Bermudalla. Samoin Bermudalla Outokumpu ja Neste. Gueseyllä oli Neste ja Rautaruukki. Ja UPM on Man-saarilla. Suhteellisen mielenkiintoista, jos nämä on tullut yritysostojen kautta, eikä niitä tarvita, niin miksi ei ole lopetettu koko juttua. Ja tuskin nämä ovat ainoita veroparatiisissa pyörijöitä, luultavasti niitä on moninkertaisesti enemmän.

Website Security Test