Työntekijän turvallisuusselvityksen tarpeen arviointi yrityksessä liikesalaisuuden ja tietoturvallisuuden näkökulmista
Hirvi, Justus (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023061624058
https://urn.fi/URN:NBN:fi:amk-2023061624058
Tiivistelmä
Tämän opinnäytetyön tarkoituksena oli selvittää suomalaisen yrityksen mahdollisuuksia tunnistaa organisaationsa tehtävät, joiden perusteella yritys voisi hakea työntekijästään suojelupoliisilta perusmuotoista turvallisuusselvitystä liikesalaisuuksiensa suojaamiseksi ja tietoturvallisuuden vahvistamiseksi. Tutkielma tehtiin toimeksiannosta suomalaiselle suuryritykselle, jonka toiminnassa oli ilmennyt tarve systemaattiselle turvallisuusselvitystä edellyttävien tehtävien tunnistamiselle. Toimeksiantajalle esitettiin tutkielman perusteella kehittämisehdotuksia työntekijän turvallisuusselvityksen tarpeen arvioimisen tueksi.
Tutkimuksen strategiana toimi tapaustutkimus, jonka kautta tutkittiin työntekijän turvallisuusselvitysprosessia sekä turvallisuusselvityksen tarpeen arviointiin tarvittavan tiedon tunnistamista ja sen merkityksen arviointia turvallisuusselvityslain (726/2014) 19 §:n 1 momentin 6 kohdan ja 22 §:n perusteilla. Tiedonkeruumenetelminä käytettiin narratiivista kirjallisuuskatsausta aihetta koskevaan lainsäädäntöön, kirjallisuuteen, julkaisuihin, ohjeisiin ja standardeihin, sekä teemahaastattelua toimeksiantajan kolmelle turvallisuusasiantuntijalle ilmiön ymmärtämiseksi tosielämässä. Tutkimuksen teoreettiset näkökulmat perustuivat tutkielman viitekehykseen, joka koostui henkilöturvallisuusselvityksestä, liikesalaisuudesta ja tietoturvallisuudesta.
Tutkimuksen tuloksina ilmeni, että yrityksen tulisi tunnistaa lakisääteisten vaatimustensa lisäksi toiminnalleen tärkeimmät tehtävät, jotka ovat myös merkittäviä kansallisesti tai kansantalouden kannalta tuotantosuuntansa, tieto-osaamisensa ja niihin sisältyvän kehittämistyön vuoksi. Yrityksen tulisi määritellä luottamuksellisten tietojensa salassapitotahto ja salassapitointressi tunnistaakseen omat liikesalaisuutensa ja niiden taloudellinen merkitys yritykselle sekä yhteiskunnan edun kannalta. Turvallisuusselvityksen hakematta jättäminen merkittävimpien liikesalaisuuksien suojaamiseksi voisi aiheuttaa negatiivisen riskin yritykselle, sillä suomalaiset yritykset ovat vakoilun kohde niin kilpailijoiden, rikollisten kuin myös toisten valtioiden tiedustelun toimesta.
Kehittämisehdotuksina yrityksen tulisi tunnistaa kriittinen omaisuutensa, määrittää riskien arviointia ja hyväksyntää tukevat riskikriteerit, tunnistaa riskien omistajat sekä määrittää turvallisuusselvityksistä vastaavat toimijat. Yrityksen tulisi tunnistaa tehtäviensä sisäinen ja ulkoinen toimintaympäristö tunnistaakseen kuinka merkittävään yrityksen tietoon ja tiloihin työntekijällä on pääsy, onko selvitykselle lakisääteisiä vaatimuksia sekä täyttyykö tarve hakea selvitystä organisaation tietoturvariskien arviointikriteerien puolesta. Mikäli selvityksen tarpeesta on epävarmuutta, yrityksen tulisi arvioida riittävätkö muut tietoturvallisuuden hallintakeinot estämään työntekijän väärinkäytöksen ja voidaanko riski selvityksen tekemättä jättämisestä hyväksyä riskien hyväksyntäkriteerien puolesta tai lopulta riskien omistajan valtuutuksella.
Tutkimuksen strategiana toimi tapaustutkimus, jonka kautta tutkittiin työntekijän turvallisuusselvitysprosessia sekä turvallisuusselvityksen tarpeen arviointiin tarvittavan tiedon tunnistamista ja sen merkityksen arviointia turvallisuusselvityslain (726/2014) 19 §:n 1 momentin 6 kohdan ja 22 §:n perusteilla. Tiedonkeruumenetelminä käytettiin narratiivista kirjallisuuskatsausta aihetta koskevaan lainsäädäntöön, kirjallisuuteen, julkaisuihin, ohjeisiin ja standardeihin, sekä teemahaastattelua toimeksiantajan kolmelle turvallisuusasiantuntijalle ilmiön ymmärtämiseksi tosielämässä. Tutkimuksen teoreettiset näkökulmat perustuivat tutkielman viitekehykseen, joka koostui henkilöturvallisuusselvityksestä, liikesalaisuudesta ja tietoturvallisuudesta.
Tutkimuksen tuloksina ilmeni, että yrityksen tulisi tunnistaa lakisääteisten vaatimustensa lisäksi toiminnalleen tärkeimmät tehtävät, jotka ovat myös merkittäviä kansallisesti tai kansantalouden kannalta tuotantosuuntansa, tieto-osaamisensa ja niihin sisältyvän kehittämistyön vuoksi. Yrityksen tulisi määritellä luottamuksellisten tietojensa salassapitotahto ja salassapitointressi tunnistaakseen omat liikesalaisuutensa ja niiden taloudellinen merkitys yritykselle sekä yhteiskunnan edun kannalta. Turvallisuusselvityksen hakematta jättäminen merkittävimpien liikesalaisuuksien suojaamiseksi voisi aiheuttaa negatiivisen riskin yritykselle, sillä suomalaiset yritykset ovat vakoilun kohde niin kilpailijoiden, rikollisten kuin myös toisten valtioiden tiedustelun toimesta.
Kehittämisehdotuksina yrityksen tulisi tunnistaa kriittinen omaisuutensa, määrittää riskien arviointia ja hyväksyntää tukevat riskikriteerit, tunnistaa riskien omistajat sekä määrittää turvallisuusselvityksistä vastaavat toimijat. Yrityksen tulisi tunnistaa tehtäviensä sisäinen ja ulkoinen toimintaympäristö tunnistaakseen kuinka merkittävään yrityksen tietoon ja tiloihin työntekijällä on pääsy, onko selvitykselle lakisääteisiä vaatimuksia sekä täyttyykö tarve hakea selvitystä organisaation tietoturvariskien arviointikriteerien puolesta. Mikäli selvityksen tarpeesta on epävarmuutta, yrityksen tulisi arvioida riittävätkö muut tietoturvallisuuden hallintakeinot estämään työntekijän väärinkäytöksen ja voidaanko riski selvityksen tekemättä jättämisestä hyväksyä riskien hyväksyntäkriteerien puolesta tai lopulta riskien omistajan valtuutuksella.