Lo spionaggio aziendale è lo spionaggio condotto per scopi commerciali o finanziari. Lo spionaggio aziendale è anche conosciuto come spionaggio industriale, spionaggio economico o spionaggio aziendale.
Detto questo, lo spionaggio economico è orchestrato dai governi ed è di portata internazionale, mentre lo spionaggio industriale o aziendale si verifica generalmente tra le organizzazioni.
I governi stranieri, soprattutto quelli in cui molte aziende sono di proprietà dello Stato e hanno una forte attenzione allo sviluppo economico, sono utenti comuni di spionaggio aziendale. Di conseguenza, anche altri governi si trovano coinvolti. Una delle principali motivazioni che il presidente degli Stati Uniti Donald Trump ha dato per intensificare la guerra commerciale con la Cina è stata la lotta contro il furto cinese di segreti commerciali delle aziende statunitensi.
Quali sono le forme di spionaggio economico e industriale?
Lo spionaggio economico e industriale ha due forme:
- Acquisizione di proprietà intellettuale, come processi o tecniche di fabbricazione, luoghi di produzione, informazioni proprietarie o operative come i dati dei clienti, prezzi, vendite, ricerca e sviluppo, politiche, offerte potenziali, pianificazione o strategie di marketing.
- Furto di segreti commerciali, corruzione, ricatto o sorveglianza tecnologica con diversi tipi di malware.
Oltre a orchestrare lo spionaggio su organizzazioni commerciali, anche i governi possono essere obiettivi. Ad esempio per determinare i termini di una gara d’appalto per un contratto governativo.
Cos’è un segreto commerciale?
I segreti commerciali sono definiti nell’Uniform Trade Secrets Act (UTSA) e nelle leggi statali basate sull’UTSA.
Il termine segreto commerciale significa tutte le forme e i tipi di informazioni finanziarie, commerciali, scientifiche, tecniche, economiche o ingegneristiche, compresi modelli, piani, compilazioni, dispositivi di programma, formule, disegni, prototipi, metodi, tecniche, processi, procedure, programmi o codici, sia tangibili che intangibili, e se o come memorizzati, compilati o memorizzati fisicamente, elettronicamente, graficamente, fotograficamente o per iscritto se:
- Il proprietario ha adottato misure ragionevoli per mantenere tali informazioni segrete; e
- Le informazioni traggono un valore economico indipendente, effettivo o potenziale, dal fatto di non essere generalmente note al pubblico e non essere facilmente reperibili con mezzi adeguati.
Come si svolge lo spionaggio industriale?
Ci sono diverse tecniche che rientrano nel concetto di spionaggio industriale:
- Intrusioni nella proprietà di un concorrente o accesso non autorizzato ai suoi file
- Spacciarsi per un dipendente di un concorrente per apprendere segreti commerciali o accedere alle informazioni personali identificabili (PII) dei suoi clienti
- Utilizzare le intercettazioni, la mancanza di SSL o un’altra forma di attacco man-in-the-middle per ascoltare le comunicazioni dei concorrenti.
- Entrare o disabilitare il computer di un concorrente utilizzando un attacco informatico come l’attacco ransomware WannaCry.
- Modificare la registrazione del nome di dominio di un concorrente utilizzando l’hijacking del dominio.
- Accedere alla rete interna di un concorrente abusando di pratiche di sicurezza di rete scadenti.
- Attaccare il sito web di un concorrente sfruttando una vulnerabilità elencata in CVE.
- Utilizzare l’email spoofing e il phishing per indurre i dipendenti di un concorrente a rivelare informazioni riservate o dati sensibili.
- Cercare violazioni di dati di terzi e fughe di dati sul dark web.
Detto questo, non tutto lo spionaggio aziendale è così drammatico. La maggior parte viene da un insider che trasferisce segreti commerciali da una società all’altra. I dipendenti scontenti o un ex dipendente che ora lavora per un concorrente possono inavvertitamente o direttamente rivelare informazioni proprietarie e segreti aziendali.
Dato il vantaggio competitivo che deriva dall’innovazione, non è difficile capire perché lo spionaggio aziendale è diventato un rischio così grande per la cybersecurity.
Qual è la differenza tra competitive intelligence e spionaggio aziendale?
La competitive intelligence, per dirla in termini di sicurezza informatica, è la versione white hat dello spionaggio aziendale.
Le aziende di competitive intelligence generalmente usano metodi legali per raccogliere e analizzare le informazioni che sono pubblicamente disponibili, che siano notizie di fusioni e acquisizioni, nuovi regolamenti governativi, contenuti di blog o rumore dei social media. Infatti, il controspionaggio basato su informazioni pubbliche può avere così tanto successo che molte aziende ora hanno team OPSEC che gestiscono quali informazioni vengono rilasciate al pubblico.
Detto questo, altre aziende di competitive intelligence attraversano la linea e cadono nello spionaggio aziendale illegale.
Lo spionaggio industriale è illegale?
Non è illegale spiare una società privata finché le informazioni sono ottenute con mezzi legali. Per esempio, è totalmente legale comprare immagini satellitari del parcheggio di un concorrente per determinare quanti clienti servono ogni anno o pagare un investigatore privato per camminare intorno a una fiera e condividere ciò che sente.
Tuttavia, acquisire segreti commerciali senza il consenso del titolare della proprietà intellettuale è generalmente contro la legge.
Il governo degli Stati Uniti regola lo spionaggio aziendale con l’Economic Espionage Act del 1996.
La legge ha codificato cosa fosse un segreto commerciale e ha reso il furto di segreti commerciali un crimine federale. Le pene per lo spionaggio aziendale possono comportare il carcere e milioni di dollari di danni. Le pene più severe sono rivolte a coloro che trasferiscono segreti commerciali a società straniere o governi. Infatti, la prima condanna in base all’Economic Espionage Act del 1996 ha coinvolto un ingegnere della Boeing che ha venduto segreti commerciali alla Cina.
Come fa il Dipartimento di Giustizia degli Stati Uniti a decidere quali casi di spionaggio industriale perseguire?
Non tutti i casi meritano un’azione penale, il Dipartimento di Giustizia degli Stati Uniti ha delle linee guida di quali casi perseguirà in base a:
- Portata dell’attività criminale
- Evidenza dell’impegno estero
- Grado di danno economico al proprietario della proprietà intellettuale
- Tipo di segreto commerciale rubato
- Efficacia dei rimedi civili disponibili
- Valore del caso come potenziale deterrente
Detto questo, solo perché il Dipartimento di Giustizia non persegue un caso di spionaggio industriale non rende legale il furto di segreti commerciali. Molte violazioni possono servire come base per azioni legali nei tribunali civili e molti stati americani hanno leggi aggiuntive sullo spionaggio aziendale che possono essere più severe della legge federale.
Quali industrie sono obiettivi comuni per lo spionaggio aziendale?
Lo spionaggio industriale ed economico è comunemente associato alle industrie high-tech come:
- Software per computer
- Hardware
- Biotecnologia
- Aerospaziale
- Telecomunicazioni
- Trasporti e tecnologia dei motori
- Automobili
- Macchine utensili
- Energia
- Materiali
- Rivestimenti
La Silicon Valley è una delle aree più prese di mira per lo spionaggio aziendale. Insieme alla Silicon Valley, le case automobilistiche spesso mascherano i prossimi modelli di auto con modelli di vernice mimetica, coperture imbottite e decalcomanie ingannevoli per offuscare il design del veicolo.
In realtà, qualsiasi organizzazione con informazioni sensibili può essere l’obiettivo dello spionaggio aziendale.
Come i computer hanno cambiato lo spionaggio aziendale?
A causa dell’ascesa di Internet e della crescente connettività delle reti di computer, la gamma e il dettaglio delle informazioni disponibili, così come la facilità di accesso ha aumentato immensamente la popolarità dello spionaggio informatico.
L’uso dello spionaggio aziendale basato sul computer è aumentato rapidamente negli anni ’90. Le informazioni vengono comunemente rubate da individui che si presentano come lavoratori, come gli addetti alle pulizie o alle riparazioni, che hanno accesso a computer incustoditi e copiano informazioni da essi. I computer portatili rimangono anche un obiettivo primario per coloro che viaggiano all’estero per lavoro.
Gli autori di spionaggio sono noti per ingannare gli individui a separarsi, spesso solo temporaneamente, dal loro computer portatile, permettendo loro di accedere e rubare informazioni. Gli hotel, i taxi, i contatori dei bagagli degli aeroporti, i caroselli dei bagagli e i treni sono luoghi comuni in cui questo accade.
Anche i cyber-attaccanti basati su Internet sono comuni, anche se di solito rientrano nella categoria dello spionaggio economico effettuato dai governi piuttosto che dai concorrenti.
Oltre al furto di informazioni sensibili, la crescente dipendenza dai computer significa che lo spionaggio industriale può estendersi al sabotaggio. Questa è una preoccupazione crescente per i governi a causa di potenziali attacchi da parte di gruppi terroristici o di governi stranieri ostili tramite DDoS (distributed denial of service) o altri attacchi informatici.
Come prevenire lo spionaggio informatico
Prevenire lo spionaggio informatico è simile a prevenire qualsiasi forma di incidente di sicurezza.
Una strategia di difesa in profondità che utilizza una serie di misure difensive ridondanti stratificate è la chiave.
I dati sono diventati un obiettivo chiave dello spionaggio industriale a causa della facilità con cui possono essere copiati e trasmessi, portando molte organizzazioni a digital forensics e attribuzione IP per cercare di determinare se, quando, come e chi ha causato una violazione dei dati o una fuga di dati. Se a questo si aggiunge il fatto che la maggior parte delle aziende sta esternalizzando più che mai e che molti fornitori terzi hanno scarse misure di sicurezza, la necessità di prevenire le violazioni dei dati non è mai stata così alta.
Operare un quadro di gestione del rischio di terze parti, una politica di gestione dei fornitori e un programma di gestione del rischio dei fornitori (VRM) è laborioso. Negli ultimi anni, il costo di una violazione dei dati è salito a 3,92 milioni di dollari. Le violazioni dei dati che coinvolgono terze parti sono stimate essere più costose di 370.000 dollari con un costo totale medio di 4,29 milioni di dollari.
Questo ha portato molte organizzazioni a correre verso un software per automatizzare la gestione del rischio del fornitore per ridurre il rischio di terze e quarte parti.
Non è più sufficiente che la politica di sicurezza delle informazioni si concentri solo sulla vostra organizzazione. Le minacce informatiche all’interno e all’esterno della vostra organizzazione possono portare al furto di segreti commerciali e il vostro processo di gestione del rischio informativo e di valutazione del rischio di sicurezza informatica dovrebbe riflettere questo. Non è mai stato così importante avere una robusta sicurezza informatica per prevenire lo spionaggio aziendale.
Quali sono le origini dello spionaggio aziendale?
Francois Xavier d’Entrecolles a Jingdezhen, in Cina, rivelando i metodi di produzione della porcellana cinese all’Europa nel 1712 è stato un primo caso di spionaggio industriale.
Ci sono resoconti storici di spionaggio industriale tra la Gran Bretagna e la Francia nel XVIII secolo, attribuiti all’emergere della Gran Bretagna come creditore industriale. Ci fu uno sforzo su larga scala sponsorizzato dallo stato per rubare la tecnologia industriale britannica per la Francia.
Nel 20° secolo, lo spionaggio economico Est contro Ovest divenne popolare. Lo spionaggio industriale sovietico era una parte ben nota delle loro attività generali di spionaggio fino agli anni ’80, con molte CPU che sembravano essere copie vicine o esatte dei prodotti americani.
Dopo la scomparsa dell’Unione Sovietica e la fine della guerra fredda, molti paesi occidentali ed ex comunisti hanno iniziato a utilizzare le loro spie sottoccupate per lo spionaggio aziendale internazionale. Non solo il personale è stato reindirizzato, ma le attrezzature di spionaggio come i database dei computer, gli strumenti di intercettazione, i satelliti spia, le cimici e i fili sono stati tutti impiegati per lo spionaggio industriale.
Quali sono esempi notevoli di spionaggio industriale?
- Hewlett-Packard: Nel 2006, Hewlett-Packard, nel tentativo di scoprire la fuga di segreti alla stampa ha assunto investigatori che hanno usato il “pretexting”, un metodo ingannevole e illegale di ottenere informazioni private per raccogliere i registri telefonici di diversi giornalisti. Hewlett-Packard alla fine pagò 14,5 milioni di dollari allo stato della California e altri soldi ai giornalisti che aveva spiato.
- IBM e Texas Instruments: Tra il 1987 e il 1989 IBM e Texas Instruments sono state prese di mira da spie francesi con l’intenzione di aiutare il francese Groupe Bull.
- General Motors: Opel, la divisione Germain di General Motors accusò Volkswagen di spionaggio industriale nel 1993 dopo che il capo della produzione di Opel e altri sette dirigenti si trasferirono a Volkswagen. Il caso fu risolto nel 1997 con Volkswagen che accettò di pagare 100 milioni di dollari a General Motors e di comprare almeno 1 miliardo di dollari di parti di automobili da oltre 7 anni.
- Google: Il 13 gennaio 2010 Google ha annunciato che operatori dall’interno della Cina avevano violato la loro operazione Google Cina e rubato la proprietà intellettuale e l’accesso agli account di posta elettronica degli attivisti dei diritti umani. L’attacco è stato pensato per essere parte di un diffuso attacco informatico alle aziende in Cina ed è diventato noto come Operazione Aurora.
- Oracle: Nel 2000, Oracle è stata sorpresa a pagare gli investigatori per acquisire la spazzatura di Microsoft perché sospettavano che stesse pagando due organizzazioni di ricerca apparentemente indipendenti per rilasciare rapporti pro-Microsoft.
- Gillette: Nel 1997, un ingegnere dei controlli di processo alla Wright Industries Inc, un subappaltatore di Gillette era stato retrocesso ad un ruolo inferiore nel progetto Mach 3 della società e decise di inviare segreti commerciali a più rivali di Gillette. Schick ha riferito l’atto a Gillette che ha coinvolto l’FBI.
Come UpGuard può proteggere la vostra organizzazione da violazioni e fughe di dati
Non c’è dubbio che la sicurezza informatica è più importante che mai. Ecco perché aziende come Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar e NASA usano UpGuard per proteggere i loro dati e prevenire le violazioni di dati.
Siamo esperti in violazioni di dati, infatti la nostra ricerca sulle violazioni di dati è stata presentata nel New York Times, Bloomberg, Washington Post, Forbes, Reuters e Techcrunch.
UpGuard BreachSight può aiutare a combattere il typosquatting, a prevenire le violazioni dei dati e le fughe di dati, a evitare le multe regolamentari e a proteggere la fiducia dei vostri clienti attraverso valutazioni della sicurezza informatica e il rilevamento continuo dell’esposizione.
UpGuard Vendor Risk può ridurre al minimo la quantità di tempo che la vostra organizzazione spende nella gestione delle relazioni con le terze parti automatizzando i questionari dei fornitori e monitorando continuamente la postura di sicurezza dei vostri fornitori nel tempo, facendo un benchmarking rispetto al loro settore.
Ogni fornitore viene valutato in base a più di 50 criteri come la presenza di SSL e DNSSEC, così come il rischio di dirottamento del dominio, attacchi man-in-the-middle e spoofing delle email per il phishing.
Ogni giorno, la nostra piattaforma assegna ai tuoi fornitori un punteggio di Cyber Security Rating su 950. Possiamo anche avvisarti se il loro punteggio scende.
Prenota una demo oggi.