Yritysvakoilu on kaupallisiin tai taloudellisiin tarkoituksiin harjoitettua vakoilua. Yritysvakoilu tunnetaan myös nimellä teollisuusvakoilu, talousvakoilu tai yritysvakoilu.
Tämän sanottuaan talousvakoilu on hallitusten järjestämää ja kansainvälistä, kun taas teollisuus- tai yritysvakoilu tapahtuu yleensä organisaatioiden välillä.
Vieraan valtion hallitukset, erityisesti ne, joissa monet yritykset ovat valtion omistuksessa ja joissa keskitytään vahvasti taloudelliseen kehitykseen, ovat yleisiä yritysvakoilun käyttäjiä. Tämän seurauksena myös muut hallitukset joutuvat sen piiriin. Yksi Yhdysvaltojen presidentti Donald Trumpin antamista tärkeimmistä motiiveista Kiinan kanssa käytävän kauppasodan kiihdyttämiselle on ollut taistelu yhdysvaltalaisten yritysten liikesalaisuuksien varastamista kiinalaisilta vastaan.
Mitkä ovat talous- ja teollisuusvakoilun muotoja?
Talous- ja teollisuusvakoilulla on kaksi muotoa:
- Henkisen omaisuuden, kuten tuotantoprosessien tai -tekniikoiden, tuotantopaikkojen, omistusoikeuden alaisten tai operatiivisten tietojen, kuten asiakastietojen, hinnoittelu-, myynti-, tutkimus- ja kehitystoiminta-, toimintatapojen, potentiaalisten tarjousten, suunnittelu- tai markkinointistrategioiden, hankkiminen.
- Liikesalaisuuksien anastaminen, lahjonta, kiristäminen tai teknologinen tarkkailu erityyppisillä haittaohjelmilla.
Kaupallisiin organisaatioihin kohdistuvan vakoilun lisäksi myös hallitukset voivat olla kohteena. Esimerkiksi valtion hankintasopimusta koskevan tarjouskilpailun ehtojen selvittämiseksi.
Mikä on liikesalaisuus?
Liikesalaisuudet määritellään yhtenäisessä liikesalaisuuslaissa (Uniform Trade Secrets Act, UTSA) ja UTSA:han perustuvissa osavaltioiden laeissa.
Käsitteellä liikesalaisuus tarkoitetaan kaikenlaista taloudellista, liiketaloudellista, tieteellistä, teknistä, taloudellista tai teknistä tietoa, mukaan lukien mallit, suunnitelmat, koosteet, ohjelmalaitteet, kaavat, mallit, mallit, prototyypit, menetelmät, tekniikat, prosessit, menettelyt, ohjelmat tai koodit, riippumatta siitä, ovatko ne aineellisia vai aineettomia, ja riippumatta siitä, ovatko ne tallennettu, koottu tai muistiin merkitty fyysisesti, sähköisesti, graafisesti, valokuvaamalla, valokuvaamalla tai kirjallisesti, jos:
- Tiedon omistaja on ryhtynyt kohtuullisiin toimenpiteisiin pitääkseen tällaisen tiedon salassa; ja
- Tieto saa itsenäistä taloudellista arvoa, todellista tai potentiaalista, siitä, että se ei ole yleisesti yleisön tiedossa ja että se ei ole helposti yleisön saatavissa asianmukaisin keinoin.
Miten teollisuusvakoilua harjoitetaan?
Teollisuusvakoilun piiriin kuuluu useita tekniikoita:
- Kilpailijan omaisuuteen tunkeutuminen tai luvaton pääsy kilpailijan tiedostoihin
- Kilpailijan työntekijäksi esiintyminen liikesalaisuuksien selvittämiseksi tai asiakkaiden henkilökohtaisten tietojen (PII) saamiseksi
- Kilpailijan viestinnän kuunteleminen salakuuntelulla, SSL:n puuttumisella tai muulla man-in-the-middle-hyökkäyksellä.
- Kilpailijan tietokoneeseen murtautuminen tai sen käyttökyvyttömäksi tekeminen WannaCry-lunnasohjelmahyökkäyksen kaltaisen kyberhyökkäyksen avulla.
- Kilpailijan verkkotunnuksen rekisteröinnin muuttaminen verkkotunnuksen kaappauksen avulla.
- Käyttäytymällä huonoja verkkoturvakäytäntöjä hyväksikäyttäen pääsyn saaminen kilpailijan sisäiseen verkkoon.
- Hyökkäys kilpailijan verkkosivustolle hyödyntämällä CVE-listalla olevaa haavoittuvuutta.
- Sähköpostiväärennösten ja phishingin käyttäminen kilpailijan työntekijöiden huijaamiseksi paljastamaan luottamuksellisia tietoja tai arkaluonteisia tietoja.
- Kolmansien osapuolten tietomurtojen ja tietovuotojen etsiminen pimeästä verkosta.
Tämän sanottuaan, kaikki yritysvakoilu ei ole näin dramaattista. Suuri osa siitä johtuu siitä, että sisäpiiriläinen siirtää liikesalaisuuksia yrityksestä toiseen. Tyytymättömät työntekijät tai entinen työntekijä, joka työskentelee nyt kilpailijan palveluksessa, voivat tahattomasti tai suoraan paljastaa omistusoikeuden alaisia tietoja ja yrityssalaisuuksia.
Kun otetaan huomioon innovaatioista saatava kilpailuetu, ei ole vaikea ymmärtää, miksi yritysvakoilusta on tullut niin suuri kyberturvallisuusriski.
Mitä eroa on kilpailutiedustelulla ja yritysvakoilulla?
Kilpailutiedustelu on tietoturvan termein ilmaistuna valkohattuinen versio yritysvakoilusta.
Kilpailutiedusteluyritykset käyttävät yleensä laillisia menetelmiä kerätäkseen ja analysoidakseen julkisesti saatavilla olevia tietoja, olivatpa ne sitten fuusio- ja yrityskauppauutisia, uusia viranomaismääräyksiä, blogisisältöä tai sosiaalisen median kohinaa. Itse asiassa julkiseen tietoon perustuva vastavakoilu voi olla niin menestyksekästä, että monilla yrityksillä on nykyään OPSEC-tiimejä, jotka hallinnoivat sitä, mitä tietoja julkisuuteen luovutetaan.
Tämän sanottuaan toiset kilpailutiedusteluyritykset ylittävät rajan ja sortuvat laittomaan yritysvakoiluun.
Onko teollisuusvakoilu laitonta?
Ei ole laitonta vakoilla yksityistä yhtiötä, kunhan tiedot hankitaan laillisin keinoin. On esimerkiksi täysin laillista ostaa satelliittikuvia kilpailijan parkkipaikasta selvittääkseen, kuinka monta asiakasta he palvelevat vuosittain, tai maksaa yksityisetsivälle siitä, että hän kävelee messuilla ja kertoo kuulemansa.
Liikesalaisuuksien hankkiminen ilman teollis- ja tekijänoikeuksien haltijan suostumusta on kuitenkin yleensä lainvastaista.
Yhdysvaltain hallitus sääntelee yritysvakoilua vuoden 1996 talousvakoilulailla.
Laki kodifioi liikesalaisuuden käsitteen ja teki liikesalaisuuksien varastamisesta liittovaltion rikoksen. Rangaistukset yritysvakoilusta voivat johtaa vankeusrangaistukseen ja miljoonien dollarien vahingonkorvauksiin. Sen ankarimmat rangaistukset kohdistuvat niihin, jotka siirtävät liikesalaisuuksia ulkomaisille yrityksille tai hallituksille. Vuoden 1996 talousvakoilulain nojalla annettu ensimmäinen tuomio koski Boeingin insinööriä, joka myi liikesalaisuuksia Kiinaan.
Miten Yhdysvaltain oikeusministeriö päättää, mitä teollisuusvakoilutapauksia se tutkii?
Eivät kaikki tapaukset ole rikosoikeudellisen syytteen arvoisia, vaan Yhdysvaltain oikeusministeriöllä on suuntaviivat siitä, mitkä tapaukset se tutkii sen perusteella:
- Rikollisen toiminnan laajuus
- Todisteet ulkomaisesta toiminnasta
- Henkisen omaisuuden omistajalle aiheutuneen taloudellisen vahingon aste
- Varastetun liikesalaisuuden tyyppi
- Varastettavissa olevien siviilioikeudellisten oikeussuojakeinojen tehokkuus
- Jutun arvo mahdollisena varoittavana tekijänä
Tämän sanottu, se, että oikeusministeriö ei tutki teollisuusvakoilua, ei tee liikesalaisuuksien varastamisesta laillista. Monet rikkomukset voivat toimia perusteena siviilituomioistuimissa nostettaville kanteille, ja monissa Yhdysvaltojen osavaltioissa on lisälakeja yritysvakoilusta, jotka voivat olla liittovaltion lakia tiukempia.
Millä toimialoilla yritysvakoilu on yleistä?
Teollisuus- ja talousvakoilu liitetään yleisesti korkean teknologian toimialoihin, kuten esim:
- Tietokoneohjelmistot
- Hardware
- Bioteknologia
- Aerospace
- Telecommunication
- Kuljetus- ja moottoriteknologia
- Autot
- Konetyökalut
- Energia
- Materiaalit
- Pinnoitteet
.
Silicon Valley on yksi maailman tavoitelluimmista yritysvakoilun alueista. Piilaakson ohella autonvalmistajat naamioivat tulevia automalleja usein naamiointimaalauskuvioilla, pehmustetuilla suojilla ja harhaanjohtavilla tarroilla ajoneuvon muotoilun hämärtämiseksi.
Todellisuudessa mikä tahansa organisaatio, jolla on arkaluonteisia tietoja, voi joutua yritysvakoilun kohteeksi.
Miten tietokoneet ovat muuttaneet yritysvakoilua?
Internetin yleistymisen ja tietoverkkojen lisääntyvän kytkeytyvyyden vuoksi saatavilla olevien tietojen laajuus ja yksityiskohtaisuus sekä helppokäyttöisyys ovat lisänneet verkkovakoilun suosiota valtavasti.
Tietokonepohjaisen yritysvakoilun käyttö lisääntyi nopeasti 1990-luvulla. Tietoja varastavat yleensä työntekijöiksi, kuten siivoojiksi tai korjaajiksi, palkatut henkilöt, jotka pääsevät käsiksi vartioimattomaan tietokoneeseen ja kopioivat sieltä tietoja. Kannettavat tietokoneet ovat edelleen myös ulkomailla työmatkalla olevien ensisijainen kohde.
Vakoilijoiden tiedetään huijaavan yksityishenkilöitä luopumaan, usein vain tilapäisesti, kannettavasta tietokoneestaan, jolloin he pääsevät käsiksi tietoihin ja varastavat niitä. Hotellit, taksit, lentokenttien matkatavaratiskit, matkatavarahihnat ja junat ovat yleisiä paikkoja, joissa näin tapahtuu.
Internet-pohjaiset verkkohyökkääjät ovat myös yleisiä, joskin ne kuuluvat yleensä pikemminkin hallitusten kuin kilpailijoiden harjoittaman talousvakoilun luokkaan.
Arkaluonteisten tietojen varastamisen ohella kasvava riippuvuus tietokoneista tarkoittaa, että teollisuusvakoilu voi ulottua sabotaasiin. Tämä on hallitusten kasvava huolenaihe terroristiryhmien tai vihamielisten ulkomaisten hallitusten mahdollisten hyökkäysten vuoksi DDoS-hyökkäysten (Distributed Denial of Service) tai muiden verkkohyökkäysten avulla.
Miten kybervakoilua voidaan ehkäistä
Kybervakoilun ehkäiseminen on samanlaista kuin minkä tahansa turvallisuusvälikohtauksen ehkäiseminen.
Syvyyspuolustusstrategia, jossa käytetään useita kerroksittaisia redundantteja puolustustoimenpiteitä, on avainasemassa.
Datasta on tullut teollisuusvakoilun keskeinen kohde, koska sitä on helppo kopioida ja välittää, mikä on johtanut siihen, että monet organisaatiot ovat turvautuneet digitaaliseen rikostekniseen tutkintaan ja IP-tietojen jäljittämiseen yrittäessään selvittää, onko tietomurto tai tietovuotokohde tapahtunut, ja jos on, niin milloin, niin millä tavalla ja kuka sen on aiheuttanut. Kun tähän yhdistetään se tosiasia, että useimmat yritykset ulkoistavat enemmän kuin koskaan ja että monilla kolmansien osapuolten toimittajilla on heikkoja turvatoimia, tarve ehkäistä tietomurtoja ei ole koskaan ollut suurempi.
Kolmannen osapuolen riskienhallintakehyksen, toimittajahallintapolitiikan ja toimittajariskienhallintaohjelman (VRM) toteuttaminen on työlästä. Viime vuosina tietomurron kustannukset ovat paisuneet arviolta 3,92 miljoonaan dollariin. Kolmansien osapuolten tietomurrot ovat arviolta 370 000 dollaria kalliimpia, ja niiden keskimääräiset kokonaiskustannukset ovat 4,29 miljoonaa dollaria.
Tämä on saanut monet organisaatiot käyttämään ohjelmistoja toimittajariskien hallinnan automatisoimiseksi, jotta voidaan pienentää kolmansien osapuolten ja neljänsien osapuolten riskejä.
Enää ei riitä, että tietoturvapolitiikassa keskitytään vain omaan organisaatioon. Organisaation sisäiset ja ulkopuoliset kyberuhat voivat johtaa liikesalaisuuksien varastamiseen, ja tietoriskien hallinnan ja kyberturvallisuusriskien arviointiprosessin tulisi heijastaa tätä. Koskaan ei ole ollut tärkeämpää, että yrityksissä on vankka kyberturvallisuus, jolla estetään yritysten vakoilu.
Mitkä ovat yritysvakoilun juuret?
Francois Xavier d’Entrecolles Jingdezhenissä, Kiinassa, kiinalaisen posliinin valmistusmenetelmien paljastaminen Euroopalle vuonna 1712 oli varhainen teollisuusvakoilun tapaus.
On olemassa historiallisia kertomuksia Ison-Britannian ja Ranskan välisestä yritysvakoilusta 1700-luvulla, mikä johtui Ison-Britannian noususta teolliseksi velkojaksi. Brittiläistä teollisuusteknologiaa pyrittiin varastamaan Ranskalle laajamittaisesti valtion tukemana.
1900-luvulla idän ja lännen välisestä talousvakoilusta tuli suosittua. Neuvostoliiton teollisuusvakoilu oli tunnettu osa sen yleistä vakoilutoimintaa aina 1980-luvulle asti, ja monet suorittimet näyttivät olevan läheisiä tai täsmällisiä kopioita amerikkalaisista tuotteista.
Neuvostoliiton hajoamisen ja kylmän sodan päättymisen jälkeen monet länsimaat ja entiset kommunistivaltiot alkoivat käyttää vajaatyöllisiä vakoojiaan kansainväliseen yritysvakoiluun. Henkilöstöä ei vain suunnattu uudelleen, vaan teollisuusvakoiluun käytettiin myös vakoiluvälineitä, kuten tietokonetietokantoja, salakuunteluvälineitä, vakoilusatelliitteja, kuuntelulaitteita ja johtoja.
Mitkä ovat merkittäviä esimerkkejä teollisuusvakoilusta?
- Hewlett-Packard: Vuonna 2006 Hewlett-Packard palkkasi lehdistölle vuotavien salaisuuksien selvittämiseksi tutkijoita, jotka käyttivät ”pretextingiä”, harhaanjohtavaa ja laitonta menetelmää yksityisten tietojen hankkimiseksi, kerätäkseen useiden toimittajien puhelutiedot. Hewlett-Packard maksoi lopulta 14,5 miljoonaa dollaria Kalifornian osavaltiolle ja lisää rahaa vakoilemilleen toimittajille.
- IBM ja Texas Instruments: Vuosina 1987-1989 IBM:n ja Texas Instrumentsin uskottiin joutuneen ranskalaisten vakoojien kohteeksi tarkoituksenaan auttaa ranskalaista Groupe Bullia.
- General Motors: Opel, General Motorsin Germain-divisioona, syytti Volkswagenia teollisuusvakoilusta vuonna 1993 sen jälkeen, kun Opelin tuotantopäällikkö ja seitsemän muuta johtajaa siirtyivät Volkswageniin. Tapaus sovittiin vuonna 1997 Volkswagenin suostuessa maksamaan General Motorsille 100 miljoonaa dollaria ja ostamaan vähintään miljardin dollarin edestä autonosia 7 vuoden aikana.
- Google: Tammikuun 13. päivänä 2010 Google ilmoitti, että Kiinasta käsin toimivat toimijat olivat hakkeroituneet heidän Google China -operaatioonsa ja varastaneet henkistä omaisuutta sekä päässeet käsiksi ihmisoikeusaktivistien sähköpostitileihin. Hyökkäyksen arveltiin olleen osa laajalle levinnyttä kyberhyökkäystä kiinalaisiin yrityksiin, ja se on tullut tunnetuksi nimellä Operaatio Aurora.
- Oracle: Vuonna 2000 Oracle jäi kiinni siitä, että se maksoi tutkijoille Microsoftin roskien hankkimisesta, koska epäiltiin, että se maksoi kahdelle muka riippumattomalle tutkimusorganisaatiolle Microsoft-myönteisten raporttien julkaisemisesta.
- Gillette: Vuonna 1997 Gilletten alihankkijana toimineen Wright Industries Inc:n prosessinohjausinsinööri oli alennettu alempaan asemaan yhtiön Mach 3 -projektissa ja päätti lähettää liikesalaisuuksia useille Gilletten kilpailijoille. Schick ilmoitti teosta Gillettelle, joka otti FBI:n mukaan asiaan.
Miten UpGuard voi suojella organisaatiotasi tietomurroilta ja tietovuodoilta
Ei ole epäilystäkään siitä, etteikö kyberturvallisuus olisi tärkeämpää kuin koskaan ennen. Siksi sellaiset yritykset kuin Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar ja NASA käyttävät UpGuardia tietojensa suojaamiseen ja tietomurtojen estämiseen.
Olemme tietomurtojen asiantuntijoita, ja tietomurtotutkimuksemme onkin ollut esillä New York Timesissa, Bloombergissä, Washington Postissa, Forbesissa, Reutersissa ja Techcrunchissa.
UpGuard BreachSight voi auttaa torjumaan kirjoitusvirheitä, ehkäisemään tietomurtoja ja tietovuotoja, välttämään viranomaismaksuja ja suojelemaan asiakkaidesi luottamusta kyberturvallisuusluokitusten ja jatkuvan altistumisen tunnistamisen avulla.
UpGuard Vendor Risk voi minimoida organisaatiosi käyttämän ajan kolmansien osapuolten suhteiden hallintaan automatisoimalla toimittajakyselyt ja seuraamalla jatkuvasti toimittajiesi tietoturvatasoa ajan mittaan sekä vertailemalla niitä toimialaansa.
Jokaista toimittajaa arvioidaan yli 50 kriteerin perusteella, kuten SSL:n ja DNSSEC:n olemassaolo sekä verkkotunnuksen kaappauksen, man-in-the-middle-hyökkäysten ja phishing-sähköpostiväärennösten riski.
Joka päivä alustamme pisteyttää toimittajasi kyberturvallisuusluokituksella 950 pisteestä. Voimme jopa varoittaa sinua, jos heidän pistemääränsä laskee.
Varaa demo jo tänään.