Podniková špionáž je špionáž prováděná pro obchodní nebo finanční účely. Podniková špionáž je také známá jako průmyslová špionáž, ekonomická špionáž nebo firemní špionáž.
Hospodářská špionáž je organizována vládami a má mezinárodní rozsah, zatímco průmyslová nebo podniková špionáž se zpravidla odehrává mezi organizacemi navzájem.
Zahraniční vlády, zejména ty, kde je mnoho podniků ve vlastnictví státu a které se výrazně zaměřují na hospodářský rozvoj, jsou běžnými uživateli podnikové špionáže. V důsledku toho se do ní nechávají zatáhnout i ostatní vlády. Jedním z hlavních motivů prezidenta Spojených států Donalda Trumpa pro eskalaci obchodní války s Čínou byl boj proti čínským krádežím obchodních tajemství amerických společností.
Jaké jsou formy hospodářské a průmyslové špionáže?
Hospodářská a průmyslová špionáž má dvě formy:
- Získání duševního vlastnictví, jako jsou výrobní procesy nebo techniky, místa výroby, vlastnické nebo provozní informace, například údaje o zákaznících, cenách, prodeji, výzkumu a vývoji, politikách, potenciálních nabídkách, plánování nebo marketingových strategiích.
- Krádež obchodního tajemství, podplácení, vydírání nebo technologické sledování pomocí různých typů malwaru.
Stejně jako organizování špionáže komerčních organizací mohou být cílem i vlády. Například za účelem zjištění podmínek výběrového řízení na státní zakázku.
Co je to obchodní tajemství?“
Obchodní tajemství je definováno v Jednotném zákoně o obchodním tajemství (UTSA) a ve státních zákonech vycházejících z UTSA.
Termínem obchodní tajemství se rozumí všechny formy a druhy finančních, obchodních, vědeckých, technických, ekonomických nebo technických informací, včetně vzorů, plánů, kompilací, programových zařízení, vzorců, návrhů, prototypů, metod, technik, procesů, postupů, programů nebo kódů, ať už hmotných nebo nehmotných, a bez ohledu na to, zda nebo jak jsou uloženy, sestaveny nebo zaznamenány fyzicky, elektronicky, graficky, fotograficky nebo písemně, pokud:
- Jejich vlastník přijal přiměřená opatření k utajení těchto informací a
- Informace mají nezávislou hospodářskou hodnotu, skutečnou nebo potenciální, protože nejsou obecně známé a veřejnost je nemůže snadno zjistit vhodnými prostředky.
Jak se provádí průmyslová špionáž?
Existuje řada technik, které spadají pod průmyslovou špionáž:
- Vniknutí na pozemek konkurenta nebo získání neoprávněného přístupu k jeho souborům
- Vydávání se za zaměstnance konkurenta s cílem zjistit obchodní tajemství nebo získat přístup k osobním údajům jeho zákazníků (PII)
- Využití odposlechu, chybějícího protokolu SSL nebo jiné formy útoku typu man-in-the-middle k odposlechu komunikace konkurence.
- Vniknutí do počítače konkurenta nebo jeho vyřazení z provozu pomocí kybernetického útoku, jako byl útok ransomwaru WannaCry.
- Změna registrace doménového jména konkurenta pomocí únosu domény.
- Získání přístupu do vnitřní sítě konkurenta zneužitím špatných postupů zabezpečení sítě.
- Útok na webové stránky konkurenta zneužitím zranitelnosti uvedené na seznamu CVE.
- Použití podvržených e-mailů a phishingu k oklamání zaměstnanců konkurenta, aby prozradili důvěrné informace nebo citlivé údaje.
- Vyhledávání úniků dat třetích stran a úniků dat na dark webu.
Takže ne všechna firemní špionáž je tak dramatická. Velká část z nich pochází od zasvěcených osob, které přenášejí obchodní tajemství z jedné společnosti do druhé. Nespokojení zaměstnanci nebo bývalý zaměstnanec, který nyní pracuje pro konkurenci, mohou neúmyslně nebo přímo odhalit chráněné informace a firemní tajemství.
Vzhledem ke konkurenční výhodě, která plyne z inovací, není těžké pochopit, proč se firemní špionáž stala tak velkým rizikem v oblasti kybernetické bezpečnosti.
Jaký je rozdíl mezi konkurenčním zpravodajstvím a firemní špionáží?
Konkurenční zpravodajství, řečeno terminologií informační bezpečnosti, je white hat verze firemní špionáže.
Společnosti zabývající se konkurenčním zpravodajstvím obvykle používají legální metody ke shromažďování a analýze veřejně dostupných informací, ať už jde o zprávy o fúzích a akvizicích, nová vládní nařízení, obsah blogů nebo šum na sociálních sítích. Ve skutečnosti může být kontrarozvědka založená na veřejných informacích tak úspěšná, že mnoho společností má nyní týmy OPSEC, které řídí, jaké informace jsou zveřejňovány.
To znamená, že jiné společnosti zabývající se konkurenčním zpravodajstvím překračují hranici a upadají do nezákonné firemní špionáže.
Je průmyslová špionáž nezákonná?
Špehování soukromé společnosti není nezákonné, pokud jsou informace získány legálními prostředky. Například je zcela legální koupit satelitní snímky parkoviště konkurenční firmy, abyste zjistili, kolik zákazníků ročně obslouží, nebo zaplatit soukromému detektivovi, aby se procházel po veletrhu a sděloval, co slyší.
Získávání obchodního tajemství bez souhlasu držitele duševního vlastnictví je však obecně protizákonné.
Vláda USA upravuje podnikovou špionáž zákonem o hospodářské špionáži z roku 1996.
Zákon kodifikoval, co je obchodní tajemství, a krádež obchodního tajemství označil za federální trestný čin. Tresty za podnikovou špionáž mohou vést k odnětí svobody a milionovým škodám. Jeho nejtvrdší tresty jsou zaměřeny na ty, kteří předají obchodní tajemství zahraničním společnostem nebo vládám. Ve skutečnosti se první soudní rozsudek podle zákona o hospodářské špionáži z roku 1996 týkal inženýra společnosti Boeing, který prodal obchodní tajemství Číně.
Jak americké ministerstvo spravedlnosti rozhoduje o tom, které případy průmyslové špionáže bude stíhat?
Ne každý případ si zaslouží trestní stíhání, americké ministerstvo spravedlnosti má pokyny, na základě kterých bude případy stíhat:
- Rozsah trestné činnosti
- Důkazy o zahraniční angažovanosti
- Stupeň ekonomické újmy způsobené majiteli duševního vlastnictví
- Typ odcizeného obchodního tajemství
- Účinnost dostupných občanskoprávních prostředků nápravy
- Cennost případu jako potenciálního odstrašujícího prostředku
To už bylo řečeno, to, že ministerstvo spravedlnosti nevede řízení o průmyslové špionáži, neznamená, že krádež obchodního tajemství je legální. Mnohá porušení mohou sloužit jako základ pro žaloby u civilních soudů a mnoho amerických států má další zákony o podnikové špionáži, které mohou být přísnější než federální zákony.
Jaká odvětví jsou častým cílem firemní špionáže?
Průmyslová a ekonomická špionáž je běžně spojována s odvětvími špičkových technologií, jako např:
- Počítačový software
- Hardware
- Biotechnologie
- Letecký a kosmický průmysl
- Telekomunikace
- Dopravní a motorová technika
- Automobily
- Strojní nářadí
- Energetika
- Materiály
- Povlaky
.
Silicon Valley je jednou z nejvyhledávanějších oblastí pro firemní špionáž. Vedle Silicon Valley výrobci automobilů často maskují připravované modely automobilů maskovacími vzory barev, polstrovanými kryty a klamavými nálepkami, aby zamaskovali design vozidla.
Ve skutečnosti se terčem podnikové špionáže může stát jakákoli organizace s citlivými informacemi.
Jak počítače změnily podnikovou špionáž?
Vzhledem k rozvoji internetu a rostoucí propojenosti počítačových sítí se rozsah a podrobnost dostupných informací i snadnost přístupu k nim nesmírně zvýšila popularita počítačové špionáže.
V devadesátých letech 20. století prudce vzrostlo využívání počítačové podnikové špionáže. Informace běžně kradou osoby vysílané jako pracovníci, například uklízeči nebo opraváři, kteří získají přístup k bezobslužnému počítači a kopírují z něj informace. Notebooky také zůstávají hlavním cílem osob cestujících služebně do zahraničí.
Pachatelé špionáže jsou známí tím, že jednotlivce obelstí, aby se rozloučili, často jen dočasně, s jejich notebookem, což jim umožní přístup k informacím a jejich krádež. Častými místy, kde k tomu dochází, jsou hotely, taxíky, letištní přepážky, kolotoče zavazadel a vlaky.
Běžně se vyskytují i kybernetičtí útočníci na internetu, i když ti obvykle spadají do kategorie ekonomické špionáže prováděné spíše vládami než konkurencí.
Společně s krádeží citlivých informací se díky rostoucí závislosti na počítačích může průmyslová špionáž rozšířit i na sabotáž. To je pro vlády stále větším problémem kvůli možným útokům teroristických skupin nebo nepřátelských zahraničních vlád prostřednictvím distribuovaného odepření služby (DDoS) nebo jiných kybernetických útoků.
Jak předcházet kybernetické špionáži
Předcházení kybernetické špionáži je podobné jako předcházení jakékoli formě bezpečnostního incidentu.
Klíčová je strategie obrany do hloubky, která využívá řadu vrstvených redundantních obranných opatření.
Data se stala klíčovým cílem průmyslové špionáže kvůli snadnosti jejich kopírování a přenosu, což vede mnoho organizací k digitální forenzní analýze a atribuci IP, aby se pokusily určit, zda, kdy, jak a kdo způsobil narušení bezpečnosti nebo únik dat. Když se k tomu přidá skutečnost, že většina podniků využívá outsourcing více než kdy jindy a mnoho dodavatelů třetích stran má nedostatečná bezpečnostní opatření, potřeba předcházet únikům dat nebyla nikdy vyšší.
Operace rámce řízení rizik třetích stran, zásad řízení dodavatelů a programu řízení rizik dodavatelů (VRM) je pracná. V posledních letech se náklady na únik dat vyšplhaly na odhadovaných 3,92 milionu dolarů. Narušení bezpečnosti dat zahrnující třetí strany je podle odhadů o 370 000 dolarů dražší při průměrných celkových nákladech 4,29 milionu dolarů.
To vedlo mnoho organizací k tomu, že se uchýlily k softwaru pro automatizaci řízení rizik dodavatelů s cílem snížit rizika třetích stran a čtvrtých stran.
Již nestačí, aby se politika bezpečnosti informací zaměřovala pouze na vaši organizaci. Kybernetické hrozby uvnitř i vně vaší organizace mohou vést k odcizení obchodního tajemství a váš proces řízení informačních rizik a hodnocení rizik kybernetické bezpečnosti by to měl odrážet. Nikdy nebylo důležitější mít robustní kybernetickou bezpečnost, která zabrání firemnímu špehování.
Jaký je původ firemní špionáže?
Raným případem průmyslové špionáže bylo odhalení výrobních postupů čínského porcelánu Evropě v roce 1712 Francoisem Xavierem d’Entrecollesem v čínském Jingdezhenu.
Existují historické zprávy o podnikové špionáži mezi Británií a Francií v 18. století, která se připisuje nástupu Británie jako průmyslového věřitele. Existovala rozsáhlá státem sponzorovaná snaha ukrást britské průmyslové technologie pro Francii.
Ve 20. století se stala populární hospodářská špionáž mezi Východem a Západem. Sovětská průmyslová špionáž byla známou součástí jejich celkových špionážních aktivit až do 80. let 20. století, kdy se mnoho procesorů jevilo jako blízké nebo přesné kopie amerických výrobků.
Po zániku Sovětského svazu a konci studené války začalo mnoho západních a bývalých komunistických zemí využívat své nedostatečně zaměstnané špiony k mezinárodní podnikové špionáži. K průmyslové špionáži byl přesměrován nejen personál, ale i špionážní vybavení, jako jsou počítačové databáze, odposlouchávací nástroje, špionážní satelity, štěnice a dráty.
Jaké jsou pozoruhodné příklady průmyslové špionáže?“
- Hewlett-Packard: V roce 2006 si společnost Hewlett-Packard ve snaze zjistit únik tajemství do tisku najala vyšetřovatele, kteří použili „pretexting“, klamavou a nezákonnou metodu získávání soukromých informací, aby shromáždili telefonní záznamy několika reportérů. Společnost Hewlett-Packard nakonec zaplatila 14,5 milionu dolarů státu Kalifornie a další peníze reportérům, které špehovala.
- IBM a Texas Instruments: V letech 1987 až 1989 se společnosti IBM a Texas Instruments údajně staly terčem francouzských špionů s úmyslem pomoci francouzské společnosti Groupe Bull.
- General Motors: Opel, divize Germain společnosti General Motors, obvinila v roce 1993 Volkswagen z průmyslové špionáže poté, co šéf výroby Opelu a sedm dalších vedoucích pracovníků přešlo do Volkswagenu. Případ byl urovnán v roce 1997, kdy se Volkswagen zavázal zaplatit General Motors 100 milionů dolarů a odkoupit automobilové díly v hodnotě nejméně 1 miliardy dolarů v průběhu 7 let.
- Google: Dne 13. ledna 2010 společnost Google oznámila, že se operátoři z Číny nabourali do její čínské pobočky Google a ukradli duševní vlastnictví a získali přístup k e-mailovým účtům aktivistů za lidská práva. Útok byl považován za součást rozsáhlého kybernetického útoku na společnosti v Číně a stal se známým jako operace Aurora.
- Oracle: V roce 2000 byla společnost Oracle přistižena, jak platí vyšetřovatelům za získání odpadků společnosti Microsoft, protože měli podezření, že platí dvěma údajně nezávislým výzkumným organizacím, aby vydávaly zprávy podporující Microsoft.
- Gillette: V roce 1997 byl inženýr řízení procesů ve společnosti Wright Industries Inc., subdodavateli Gillette, degradován na nižší pozici v projektu Mach 3 a rozhodl se poslat obchodní tajemství několika konkurentům Gillette. Schick tento čin nahlásil společnosti Gillette, která do něj zapojila FBI.
Jak může společnost UpGuard ochránit vaši organizaci před narušením bezpečnosti a únikem dat
Není pochyb o tom, že kybernetická bezpečnost je důležitější než kdy dříve. Proto společnosti jako Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar a NASA používají UpGuard k ochraně svých dat a prevenci úniků dat.
Jsme odborníci na úniky dat, ve skutečnosti byl náš výzkum úniků dat uveden v New York Times, Bloomberg, Washington Post, Forbes, Reuters a Techcrunch.
UpGuard BreachSight vám pomůže bojovat proti typosquattingu, předcházet narušením a únikům dat, vyhnout se pokutám od regulačních orgánů a chránit důvěru vašich zákazníků prostřednictvím hodnocení kybernetické bezpečnosti a neustálého odhalování rizik.
UpGuard Vendor Risk dokáže minimalizovat množství času, které vaše organizace stráví správou vztahů s třetími stranami, a to díky automatizaci dotazníků pro dodavatele a průběžnému sledování stavu zabezpečení vašich dodavatelů v průběhu času a zároveň jejich srovnávání s jejich odvětvím.
Každý dodavatel je hodnocen podle více než 50 kritérií, jako je přítomnost SSL a DNSSEC, stejně jako riziko únosu domény, útoků typu man-in-the-middle a podvržení e-mailu pro phishing.
Každý den naše platforma hodnotí vaše dodavatele pomocí hodnocení kybernetické bezpečnosti z 950 bodů. Dokonce vás můžeme upozornit, pokud se jejich skóre sníží.
Zakupte si ukázku ještě dnes.