Utgiven i Forum nr 1986-04

Gör industri­spionage olönsamt!

av Håkan Nylund Forum 1986-04, sida 08-09, 06.03.1986

Taggar: Bolag: Kemira Personer: Kalevi Riihonen Teman: security

SECURMTY

Säkerhetsriskerna är alltid större på resor och i miljöer man inte själv kontrollerar, påminner Kemiras säkerhetschef Kalevi Tiihonen.

hetsfrågornas betydelse har stigi hälsosamt, anser Kalevi Tilhonen, säkerhetschef på Kemira Oy. Tilhonens egen utnämning är ett exempel på detta. Han handplockades till jobbet från chefsposten för Skyddspolisens säkerhetsavdelning, där han arbetat med problemen från myndighetssidan.

Tilhonen vill inte dra fram enskilda fall av industrispionage, utan konstaterar utgående från sin långa erfarenhet från området att det då och då kommer fram exempel både på spionage mot företag och förräderi — dvs fall där rikets intresse komprometterats. | allvarliga fall av industrispionage är oftast både företagens och nationens intressen hotade.

N äringslivets medvetenhet om säker Framgång väcker intress — Det ökade ovänliga intresset för företagens hemligheter har många orsaker, säger Kalevi Tiihonen. — Finlands goda ekonomiska utveckling har väckt intresse, internationaliseringen och utländska företagsköp konfronterar företagen med den ”stora stygga världen”, och nivån på vår egen industris unika know-how har stigit kraftigt. Vid sidan av våra traditionellt starka områden tinns det sektorer där vi tillämpar andras teknologi med speciellt stor framgång, understryker Tilihonen.

— Finland måste kunna hålla fast vid sitt obefläckade rykte som internationell handelspartner, slår Kalevi Tiihonen fast. — Vi är kända som fair players både utrikes- och handelspolitiskt, som har tillgång till internationell högteknologi men ändå har handels 8

KALEVI TIIHONEN, KEMIRA: Gör industrispionage olönsamt!

Risken för industrispionage är idag en realitet för de finländska företagen både hemma och i samband med deras internationalisering. Genom spionage kan konkurrenter t ex sänka kostnaderna för produktutveckling eller inbrytningar på nya områden. Industrispionage är business, säger Kemiras säkerhetschef Kalevi Tiilhonen. — Man försöker skaffa information så billigt som möjligt, och säkerhetsarbetets uppgift är att göra det olönsamt. En rätt skött ”bashygien” i säkerhetsfrågor räcker väl fö de flesta företag.

relationer på bred front. Detta är en fördel vi måste kunna bevara.

Trots den ökade medvetenheten om säkerhetsfrågornas betydelse är bristen på kunskap om skyddet av information enligt Tiihonen stor I företagen. Själva terminologin är oklar, datasäkerhet förväxlas med dataskydd, som ju handlar om individens skydd mot tex registrering, dvs intimitetsskydd. Datasäkerhet pekar också kraftigt mot ADB-säkerheten, som bara är ett delområde av informationssäkerheten. Denna gäller information i alla dess former, ord, bilder och siffror, deras uppbevarande och spridning, kommunikationer mm.

Lagstiftningen täcker ännu inte i tillräcklig utsträckning företagens information och ADB-frågorna, men bristerna rättas troligen till | samband med den pågående revisionen av strafflagen.

Materiell säkerhet tillgodosedd Den materiella sidan av säkerheten — skyddet av byggnader och maskiner — är i allmänhet välskött, men informationen är sämre skyddad eftersom den är svårare att värdera i exakta termer. Försäkringstänkandet har breddats till risk management, men tillgången på expertis I informationsskyd är liten utanför myndigheterna. Genom en ändring av polisförordningen har polisen numera större möjligheter att ge företagen hjälp och råd i förebyggande syfte. Ansvaret för infornationssäkerheten vilar ofta i företagen på skyddschefen, som emellertid ofta snarare är expert på arbetarskydd, eller på någon person som har säkerhetsfrågorna som bitiänst. — I princi har alla företag någon person med ansvar för säkerhetsfrågor, säger överstelöjtnant Reino Vuorinen på INAF, industrins och affärslivets organ för säkerhetsfrågor som arbetar I samband med AFC. Vuorinen räknar i grova tal med att ca 1 000 personer i större utsträckning arbetar med skydds- och säkerhetsfrågor inom industrin. — Personal på heltid finns i de stora industri- och handelsföretagen och hos bankerna. INAF utbildar företagens personal med olika kurser — totalt 5—600 personer per år, berättar Vuorinen.

Utöver INAF ger försäkringsbolag, vaktföretag och andra företag i branschen utbildning, och t ex INSKO håller kurser i tekniska säkerhetsfrågor. I slutet av mars anordnar Proteva en temadag och utställning om säkerhetsteknik och informationsskydd, Pro Sec ‘86 i Dipoli.

Den största sakkunskapen finns dock hos Skyddspolisen, som på basis av förordning ger företagen hjälp i säkerhetsfrågor.

Blåögda attityder — Grundproblemet vid allt informationsskydd är att informationen både borde skyddas och vara lättillgänglig för dem som arbetar med den, säger Kemiras säkerhetschef Kalevi Tilhonen. — Det är ingen idé att bygga upp ett säkerhetssystem som är så tätt och invecklat att det hindrar företagets egen verksamhet. De anställdas inställning blir då lätt negativ till säkerhetsfrågorna. — Efter som en ”attitydmässig blåögdhet" är den största säkerhetsrisken måste arbetet att bygga upp en fungerande informationssäkerhet börja med att man spika 4/1986 FÖRUN en klar säkerhetspolicy i företaget, säger Tiihonen. — I den slår man fast vilka säkerhetsbehov företag har för att dess framtid och arbetsplatserna skall tryggas, och vilka åtgärder och system det kräver. Hela personalen måste få upplysning om säkerhetspolitiken, och det är viktigt att markera att den är förankrad i företagsledningen genom att någon i företagets högsta ledning ansvarar för den. I Kemira är jag i sakfrågor underställd vice-VD:n.

— 90 procent av informationsskyddet klaras av med riktiga attityder, och återstoden handlar också mest om åtgärder och endast marginellt om utrustning och investeringar, förklarar Tiihonen. — Det årgärder som måste vidtas är att dokumentsäkerheten — i bred bemärkelse — tryggas genom att informationen klassificera enligt vikt och regler ges för hur den hanteras, och att man inför tillträdeskontroll. Tillträdeskontrollen står för en mycket stor del av informationssäkerheten eftersom den stöder andra säkerhetsfunktioner. Då utomstående inte kan komma och gå som de vill minskar risken för att de skall komma över dokument eller annan information genom en slump. Tillträdeskontroll gör det också svårare att plantera ut tekniska underrättelsemedel såsom avlyssningsutrustning.

Nöjd personal loja — Den tredje, men litet känsliga, åtgärden är att slå vakt om personsäkerheten, att försäkra sig om att de personer som hanterar företagets konfidentiella information är pålitliga och lojala, säger Tiihonen. — Det är inte så mycket fråga om att snoka i personalens förflutna som att se till att personalen har rätt attityder, förstår sitt ansvar och är nöjd och motiverad.

— Säkerhetsåtgärder på denna nivå räcker för de flesta företags behov, anser Kalevi Tiihonen. — Säkerhetspoltitiken måste givetvis följas upp med kontroll att systemen fungerar, och tillämpningarna anpassas efter olika nivåers behov och med beaktande av lokala förhållanden.

— I företag med antingen totalt högre behov eller med delar som är känsliga — tex forskningscentra — måste sedan säkerhetsåtgärderna fördjupas. — Informationsbehandlingen -kommunikationen och uppbevarandet bör följa principen ”need to know — need to hold", förklarar Tilhonen. — ADB:n och informationsdistributionen rmåste fästa extra uppmärksamhet vid att rätt information går till rätt person. Riskerna för tekniskt spionage måste markerat beaktas, och systemen och procecurerna skall kontrolleras kontinuerligt. Det är exempelvis bara själavård att svepa kontorsutrymmen på avlyssningsaggregat om inte övervakningen sedan är sådan att mikrofoner senare kan installeras.

— Tillträdeskontrollen skall utsträckas från att täcka kontakterna mellan företaget och yttervärlden till aktiviteterna inom företaget. Effektivast sker det genom zoner i utrymmena, så att vissa delar såsom matsal,

FORUN 4/198 möätes- och skolningsutrymmen är tillgängliga också för utomstående, andra delar enbart för de anställda, medan känsliga zoner är öppna bara för personal med speciell behörighet.

Vissa företag, speciellt sådana som är starkt internationaliserade, bör också beakta risker för bombattentat, sabotage och kidnappningar. — En viktig del av skyddet mot detta är god informationssäkerhet, påpekar Tilhonen. — Planeringen av attentat kräver alltid information.

Mindre papper, färre läckor

Datariskerna har under de senaste åren varit mycket framme i offentligheten, och datasäkerheten betonas med fog. Kalevi Tiihonen ser ändå det papperslösa kontoret som tilltalande ur säkerhetssynpunkt. — Fler papper betyder alltid fler risker för läckage. Informationssäkerheten är tekniskt lättare att förverkliga inom ADB — bara det görs ordentligt. Centraliserade datasystem har sina risker då allt finns tillgängligt på ett ställe, som måste skyddas och ha back-upsystem. I ett decentraliserat system är igen kommunikationen mellan de olika delarna sårbara.

En speciell säkerhetsrisk är övergången från papper till data: informationen är överförd till ordentligt skyddade datasystem, men den ursprungliga informationen på papper ligger och skräpar.

Extra upprmärksamnhet måste enligt Tiihonens uppfattning ägnas åt att göra kommunikationslinjerna trygga vare sig de sker per telefon, datalinjer, telex eller andra medel. — Radiotelefonerna utgör ett eget problem, och de måste anses som den mest opålit liga kommunikationsformen. Enligt statistiken beslagtas varje år en hel del scanners, vilket måste ses som ett indicium på att avlyssning sker.

Kalevi Tilhonen påminner också om att kontakterna med leverantörer och externa serviceinstanser måste vara under kontroll, och inte så mycket för att företaget behöver misstro sina etablerade leverantörer: — Det är mycket lätt för industrispionen att dra på sig telefon- eller elverkets halare och stövla in för att gräva bland kablarna om ingen kollar den legitimation som den genuina personen har.

Skadliga rykte Även om trenden mot öpnare informationsgivning inom och ut från företagen kan medföra säkerhetsrisker, så anser säkerhetschef Tiihonen inte att företagen skall vrida klockan tillbaka och sluta sig i sitt skal. — Ett företag med illa skött informationsverksamhet är tvärtom sårbart för spekulationer och ryktesspridning. Skadorna av elaka rykten eller felaktig information kan exempelvis vara större än förlusterna vid spionage, anser han.

— Både spionage och säkerhetsarbete är ekonomisk verksamhet, påminner Tilhonen. — Industrispionage kan sänka kostnaderna för produktutveckling eller inbrytningar på nya områden, och det är ingen slump att branscher där forskning och produktutveckling är dyr och tidskrävande som läkemedelsindustrin är mest utsatta för spionage ute i världen. Informationen söks där den är billigast. Säkerhetsarbetets uppgift är att göra spionage olönsamt!

Håkan Nylund &

Trots allt tal om databrott är riskerna för läckage mindre i välskött ADB än om informationen finns på papper. Bla är kryptering och selektiv informationsgivning lättare att genomföra.

Utgiven i Forum nr 1986-04

Sidan är OCRad från en scannad tidning. Rikta feedback till Affärsnätverket Forum på LinkedIn eller @forummag_fi på Twitter.

Affärsmagasinet Forum var år 2021 Finlands enda svenskspråkiga affärstidskrift och beskrev sig som "ett unikt magasin som riktar sig till beslutsfattare och experter inom näringslivet i Finland och Norden. Tidningen har en upplaga på 11 000, och når varje månad 27 000 läsare, i huvudsak ekonomer, ingenjörer och diplomingenjörer. Bevakningsteman inkluderar ekonomi, börs, teknik, ledarskap och arbetsliv, med reportage, profilintervjuer, livsstil och kolumner. Forum upprätthåller dessutom diskussionsforumet Affärsnätverket Forum på Linkedin, den största svenskspråkiga gruppen i Finland och en av de största på svenska på hela Linkedin. Där diskuteras trender och aktuella frågor inom näringsliv, arbetsliv och innovationer. Tidskriften utkommer med 10 nummer/år."