Virksomhedsspionage er spionage, der udføres til kommercielle eller finansielle formål. Virksomhedsspionage er også kendt som industrispionage, økonomisk spionage eller virksomhedsspionage.
Som sagt er økonomisk spionage orkestreret af regeringer og har et internationalt omfang, mens industri- eller virksomhedsspionage generelt foregår mellem organisationer.
Udenlandske regeringer, især dem, hvor mange virksomheder er statsejede og har et stærkt fokus på økonomisk udvikling, er almindelige brugere af virksomhedsspionage. Som følge heraf bliver andre regeringer også draget ind i det. En af de vigtigste begrundelser, som USA’s præsident Donald Trump har givet for at optrappe handelskrigen mod Kina, har været at bekæmpe kinesisk tyveri af amerikanske virksomheders forretningshemmeligheder.
Hvilke former for økonomisk og industriel spionage findes der?
Økonomisk og industriel spionage har to former:
- Erhvervelse af intellektuel ejendom, såsom fremstillingsprocesser eller -teknikker, produktionssteder, proprietære eller operationelle oplysninger som kundedata, prisfastsættelse, salg, forskning og udvikling, politikker, potentielle tilbud, planlægning eller markedsføringsstrategier.
- Styveri af forretningshemmeligheder, bestikkelse, afpresning eller teknologisk overvågning med forskellige former for malware.
Som orkestreret spionage mod kommercielle organisationer kan regeringer også være mål. F.eks. for at fastlægge vilkårene for et udbud om en regeringskontrakt.
Hvad er en forretningshemmelighed?
Handelshemmeligheder er defineret i Uniform Trade Secrets Act (UTSA) og i delstatslove baseret på UTSA.
Med forretningshemmelighed menes alle former og typer af finansielle, forretningsmæssige, videnskabelige, tekniske, økonomiske eller ingeniørmæssige oplysninger, herunder mønstre, planer, kompileringer, programmer, programmer, formler, design, prototyper, metoder, teknikker, processer, procedurer, programmer eller koder, uanset om de er materielle eller immaterielle, og uanset om eller hvordan de er lagret, kompileret eller nedfældet fysisk, elektronisk, grafisk, fotografisk eller skriftligt, hvis:
- Ejeren har truffet rimelige foranstaltninger for at holde sådanne oplysninger hemmelige, og
- oplysningerne har en uafhængig økonomisk værdi, faktisk eller potentiel, ved ikke at være almindeligt kendt af offentligheden og ved ikke at være let tilgængelige for offentligheden med passende midler.
Hvordan udføres industrispionage?
Der er en række teknikker, der falder ind under industrispionage:
- Indtrængen på en konkurrents ejendom eller opnå uautoriseret adgang til deres filer
- Stille sig op som en konkurrents medarbejder for at få kendskab til forretningshemmeligheder eller få adgang til deres kunders personligt identificerbare oplysninger (PII)
- Anvendelse af aflytning, manglende SSL eller en anden form for man-in-the-middle-angreb for at lytte med på konkurrentens kommunikation.
- Hacking ind i eller deaktivering af en konkurrents computer ved hjælp af et cyberangreb som WannaCry-ransomwareangrebet.
- Ændring af registreringen af en konkurrents domænenavn ved hjælp af domænekapring.
- At få adgang til en konkurrents interne netværk ved at misbruge dårlig praksis for netværkssikkerhed.
- Angreb på en konkurrents websted ved at udnytte en sårbarhed på CVE-listen.
- Anvendelse af e-mail-spoofing og phishing for at narre en konkurrents medarbejdere til at afsløre fortrolige oplysninger eller følsomme data.
- Søgning efter databrud fra tredjeparter og datalækager på dark web.
Det er dog ikke al virksomhedsspionage, der er så dramatisk. Meget af det kommer fra en insider, der overfører forretningshemmeligheder fra en virksomhed til en anden. Utilfredse medarbejdere eller en tidligere medarbejder, der nu arbejder for en konkurrent, kan utilsigtet eller direkte afsløre fortrolige oplysninger og virksomhedshemmeligheder.
I betragtning af den konkurrencefordel, der følger af innovation, er det ikke svært at se, hvorfor virksomhedsspionage er blevet en så stor cybersikkerhedsrisiko.
Hvad er forskellen mellem konkurrencemæssig efterretning og virksomhedsspionage?
Konkurrencemæssig efterretning er, for at sige det i informationssikkerhedstermer, den hvide hat-version af virksomhedsspionage.
Competitive Intelligence-virksomheder bruger generelt lovlige metoder til at indsamle og analysere oplysninger, der er offentligt tilgængelige, hvad enten det drejer sig om nyheder om fusioner og opkøb, nye statslige regler, blogindhold eller støj på sociale medier. Faktisk kan kontraspionage baseret på offentlige oplysninger være så vellykket, at mange virksomheder nu har OPSEC-teams, der styrer, hvilke oplysninger der frigives til offentligheden.
Det sagt, går andre konkurrencemæssige efterretningsvirksomheder over stregen og falder ind under ulovlig virksomhedsspionage.
Er industrispionage ulovligt?
Det er ikke ulovligt at udspionere en privat virksomhed, så længe oplysningerne er indhentet med lovlige midler. Det er f.eks. helt lovligt at købe satellitbilleder af en konkurrents parkeringsplads for at finde ud af, hvor mange kunder de betjener hvert år, eller at betale en privatdetektiv for at gå rundt på en messe og dele det, de hører.
Det er imidlertid generelt ulovligt at erhverve forretningshemmeligheder uden samtykke fra indehaveren af den intellektuelle ejendomsret.
Den amerikanske regering regulerer virksomhedsspionage ved Economic Espionage Act of 1996.
Loven kodificerede, hvad en forretningshemmelighed var, og gjorde tyveri af forretningshemmeligheder til en forbundsforbrydelse. Straffe for virksomhedsspionage kan resultere i fængselsstraf og millioner af dollars i erstatning. De strengeste straffe er rettet mod dem, der overdrager forretningshemmeligheder til udenlandske virksomheder eller regeringer. Faktisk involverede den første dom i en retssag i henhold til loven om økonomisk spionage fra 1996 en Boeing-ingeniør, som solgte forretningshemmeligheder til Kina.
Hvordan beslutter det amerikanske justitsministerium, hvilke sager om industrispionage der skal forfølges?
Det er ikke alle sager, der fortjener strafferetlig forfølgelse, men det amerikanske justitsministerium har retningslinjer for, hvilke sager det vil forfølge på grundlag af:
- Omfanget af den kriminelle aktivitet
- Bevis for udenlandsk engagement
- Grad af økonomisk skade for ejeren af den intellektuelle ejendomsret
- Type af stjålet forretningshemmelighed
- Effektivitet af tilgængelige civile retsmidler
- Sagens værdi som potentiel afskrækkelse
Det sagt, bare fordi justitsministeriet ikke forfølger en sag om industrispionage, er det ikke lovligt at stjæle forretningshemmeligheder. Mange overtrædelser kan danne grundlag for retssager ved civile domstole, og mange amerikanske delstater har yderligere love om virksomhedsspionage, som kan være strengere end den føderale lovgivning.
Hvilke brancher er almindelige mål for virksomhedsspionage?
Industriel og økonomisk spionage er almindeligvis forbundet med højteknologiske industrier som f.eks:
- Computersoftware
- Hardware
- Bioteknologi
- Luft- og rumfart
- Telekommunikation
- Transport- og motorteknologi
- Automobiler
- Værktøjsmaskiner
- Energi
- Materialer
- Beklædninger
Silicon Valley er et af verdens mest målrettede områder for virksomhedsspionage. Sammen med Silicon Valley forklæder bilproducenter ofte kommende bilmodeller med camouflagelakmønstre, polstrede overtræk og bedrageriske decals for at sløre bilens design.
I virkeligheden kan enhver organisation med følsomme oplysninger være mål for virksomhedsspionage.
Hvordan har computere ændret virksomhedsspionage?
Som følge af internettets fremkomst og computernetværkets stigende tilslutningsmuligheder har omfanget og detaljerne af de tilgængelige oplysninger samt den lette adgang øget cyberspionagens popularitet enormt.
Anvendelsen af computerbaseret virksomhedsspionage steg hurtigt i 1990’erne. Oplysninger stjæles almindeligvis af personer, der udstationeres som arbejdere, f.eks. rengøringsfolk eller reparatører, som får adgang til uovervågede computere og kopierer oplysninger fra dem. Bærbare computere er også fortsat et vigtigt mål for dem, der rejser til udlandet på forretningsrejse.
Det er kendt, at spionageforbrydere snyder personer til at aflevere, ofte kun midlertidigt, deres bærbare computer, så de kan få adgang til og stjæle oplysninger. Hoteller, taxaer, bagageskranker i lufthavne, bagagebånd og tog er almindelige steder, hvor dette sker.
Internetbaserede cyberangribere er også almindelige, selv om de normalt vil falde ind under kategorien økonomisk spionage, der udføres af regeringer snarere end af konkurrenter.
Sammen med tyveri af følsomme oplysninger betyder den stigende afhængighed af computere, at industrispionage kan strække sig til sabotage. Dette er en stigende bekymring for regeringerne på grund af potentielle angreb fra terrorgrupper eller fjendtlige udenlandske regeringer via DDoS-angreb (distributed denial of service) eller andre cyberangreb.
Hvordan man forebygger cyberspionage
Forebyggelse af cyberspionage svarer til forebyggelse af enhver form for sikkerhedshændelse.
Et forsvar i dybden-strategi, der anvender en række lagdelte redundante forsvarsforanstaltninger, er nøglen.
Data er blevet et centralt mål for industrispionage på grund af den lethed, hvormed de kan kopieres og overføres, hvilket har ført til, at mange organisationer anvender digital kriminalteknik og IP-tilskrivning for at forsøge at fastslå, om, hvornår, hvordan og hvem der har forårsaget et databrud eller datalækage. Kombiner dette med det faktum, at de fleste virksomheder outsourcer mere end nogensinde før, og at mange tredjepartsleverandører har dårlige sikkerhedsforanstaltninger, og behovet for at forhindre databrud har aldrig været større.
Operationalisering af en ramme for risikostyring for tredjepartsleverandører, en politik for leverandørstyring og et program for leverandørrisikostyring (VRM) er besværligt. I de seneste år er omkostningerne ved et brud på datasikkerheden steget til anslået 3,92 millioner dollars. Databrud, der involverer tredjeparter, anslås at være 370.000 dollars dyrere med en gennemsnitlig samlet omkostning på 4,29 millioner dollars.
Dette har fået mange organisationer til at køre til software for at automatisere leverandørrisikostyring for at reducere tredjepartsrisikoen og fjerdepartsrisikoen.
Det er ikke længere nok, at din informationssikkerhedspolitik kun fokuserer på din organisation. Cybertrusler inden for og uden for din organisation kan føre til, at forretningshemmeligheder bliver stjålet, og din informationsrisikostyring og din proces til vurdering af cybersikkerhedsrisici bør afspejle dette. Det har aldrig været vigtigere at have robust cybersikkerhed for at forhindre virksomhedsspionage.
Hvad er oprindelsen til virksomhedsspionage?
Francois Xavier d’Entrecolles i Jingdezhen i Kina, der afslørede fremstillingsmetoderne for kinesisk porcelæn til Europa i 1712, var et tidligt tilfælde af industrispionage.
Der er historiske beretninger om erhvervsspionage mellem Storbritannien og Frankrig i det 18. århundrede, som tilskrives Storbritanniens fremkomst som industriel kreditor. Der var en storstilet statssponsoreret indsats for at stjæle britisk industriteknologi til Frankrig.
I det 20. århundrede blev økonomisk spionage mellem øst og vest populær. Sovjetisk industrispionage var en velkendt del af deres generelle spionageaktiviteter op til 1980’erne, hvor mange CPU’er viste sig at være tætte eller nøjagtige kopier af amerikanske produkter.
Efter Sovjetunionens undergang og afslutningen af den kolde krig begyndte mange vestlige og tidligere kommunistiske lande at bruge deres underbeskæftigede spioner til international erhvervsspionage. Ikke blot blev personalet omdirigeret, men spionageudstyr som computerdatabaser, aflytningsværktøjer, spionsatellitter, mikrofoner og ledninger blev også anvendt til industrispionage.
Hvad er bemærkelsesværdige eksempler på industrispionage?
- Hewlett-Packard: I 2006 hyrede Hewlett-Packard i et forsøg på at finde ud af, at der blev lækket hemmeligheder til pressen, efterforskere, der brugte “pretexting”, en vildledende og ulovlig metode til at indhente private oplysninger, til at indsamle telefonoptegnelser fra flere journalister. Hewlett-Packard betalte i sidste ende 14,5 millioner dollars til staten Californien og yderligere penge til de journalister, som virksomheden spionerede på.
- IBM og Texas Instruments: Mellem 1987 og 1989 blev IBM og Texas Instruments anset for at være blevet målrettet af franske spioner med henblik på at hjælpe det franske Groupe Bull.
- General Motors: Opel, General Motors’ Germain-afdeling, beskyldte Volkswagen for industrispionage i 1993, efter at Opels produktionschef og syv andre ledere var flyttet til Volkswagen. Sagen blev afgjort i 1997, hvor Volkswagen indvilligede i at betale General Motors 100 mio. dollars og købe bildele for mindst 1 mia. dollars i løbet af 7 år.
- Google: Den 13. januar 2010 meddelte Google, at operatører fra Kina havde hacket sig ind i deres Google China-operation og stjålet intellektuel ejendom og fået adgang til menneskerettighedsaktivisters e-mail-konti. Angrebet blev anset for at have været en del af et omfattende cyberangreb på virksomheder i Kina og er blevet kendt som Operation Aurora.
- Oracle: I 2000 blev Oracle taget i at betale efterforskere for at erhverve Microsofts skrald, fordi de havde mistanke om, at selskabet betalte to angiveligt uafhængige forskningsorganisationer for at udgive Microsoft-venlige rapporter.
- Gillette: I 1997 var en processtyringsingeniør hos Wright Industries Inc. en underleverandør til Gillette blevet degraderet til en lavere rolle i virksomhedens Mach 3-projekt og besluttede at sende forretningshemmeligheder til flere Gillette-konkurrenter. Schick rapporterede handlingen til Gillette, som fik FBI involveret.
Hvordan UpGuard kan beskytte din organisation mod databrud og datalækager
Der er ingen tvivl om, at cybersikkerhed er vigtigere end nogensinde før. Derfor bruger virksomheder som Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar og NASA UpGuard til at beskytte deres data og forhindre databrud.
Vi er eksperter i databrud, og vores forskning i databrud er faktisk blevet omtalt i New York Times, Bloomberg, Washington Post, Forbes, Reuters og Techcrunch.
UpGuard BreachSight kan hjælpe med at bekæmpe typosquatting, forebygge databrud og datalækager, undgå bøder fra myndighederne og beskytte dine kunders tillid ved hjælp af cybersikkerhedsvurderinger og løbende opdagelse af eksponering.
UpGuard Vendor Risk kan minimere den tid, din organisation bruger på at administrere relationer med tredjeparter ved at automatisere spørgeskemaer til leverandører og løbende overvåge dine leverandørers sikkerhedstilstand over tid og samtidig benchmarke dem i forhold til deres branche.
Hver leverandør vurderes ud fra mere end 50 kriterier såsom tilstedeværelse af SSL og DNSSEC samt risiko for domænekapring, man-in-the-middle-angreb og e-mailforfalskning til phishing.
Hver dag giver vores platform dine leverandører en cybersikkerhedsvurdering ud af 950. Vi kan endda advare dig, hvis deres score falder.
Book en demo i dag.