Corporatiespionage is spionage voor commerciële of financiële doeleinden. Bedrijfsspionage wordt ook wel industriële spionage, economische spionage of bedrijfsspionage genoemd.
Dat gezegd hebbende, economische spionage wordt georkestreerd door regeringen en is internationaal in omvang, terwijl industriële of bedrijfsspionage over het algemeen plaatsvindt tussen organisaties.
Buitenlandse regeringen, vooral die waar veel bedrijven in handen zijn van de staat en sterk gericht zijn op economische ontwikkeling, zijn veelgebruikte gebruikers van bedrijfsspionage. Als gevolg daarvan worden andere regeringen er ook bij betrokken. Een van de belangrijkste motivaties die de Amerikaanse president Donald Trump heeft gegeven voor het escaleren van de handelsoorlog met China is het bestrijden van Chinese diefstal van handelsgeheimen van Amerikaanse bedrijven.
Wat zijn de vormen van economische en industriële spionage?
Economische en industriële spionage kent twee vormen:
- Verwerven van intellectueel eigendom, zoals fabricageprocessen of -technieken, productielocaties, bedrijfseigen of operationele informatie zoals klantgegevens, prijsstelling, verkoop, onderzoek en ontwikkeling, beleid, prospectieve biedingen, planning of marketingstrategieën.
- Diefstal van handelsgeheimen, omkoping, chantage of technologische bewaking met verschillende soorten malware.
Naast het orkestreren van spionage op commerciële organisaties, kunnen ook overheden doelwit zijn. Bijvoorbeeld om de voorwaarden van een aanbesteding voor een overheidscontract te bepalen.
Wat is een handelsgeheim?
Handelsgeheimen worden gedefinieerd in de Uniform Trade Secrets Act (UTSA) en op de UTSA gebaseerde wetten van de staten.
De term handelsgeheim betekent alle vormen en soorten van financiële, zakelijke, wetenschappelijke, technische, economische of technische informatie, met inbegrip van patronen, plannen, compilaties, programma-apparaten, formules, ontwerpen, prototypen, methoden, technieken, processen, procedures, programma’s of codes, hetzij tastbaar of ontastbaar, en ongeacht of of hoe opgeslagen, gecompileerd, of fysiek, elektronisch, grafisch, fotografisch, of schriftelijk vastgelegd als:
- De eigenaar ervan heeft redelijke maatregelen genomen om dergelijke informatie geheim te houden; en
- De informatie ontleent onafhankelijke economische waarde, feitelijk of potentieel, aan het feit dat zij niet algemeen bekend is bij, en niet gemakkelijk kan worden achterhaald met de juiste middelen door, het publiek.
Hoe wordt industriële spionage uitgevoerd?
Er zijn een aantal technieken die onder de paraplu van industriële spionage vallen:
- Het betreden van het terrein van een concurrent of het verkrijgen van ongeoorloofde toegang tot hun bestanden
- Zich voordoen als werknemer van een concurrent om handelsgeheimen te leren kennen of toegang te krijgen tot de persoonlijk identificeerbare informatie (PII) van hun klanten
- Het gebruik van afluisteren, een gebrek aan SSL of een andere vorm van man-in-the-middle aanval om de communicatie van de concurrent af te luisteren.
- Hacken of uitschakelen van de computer van een concurrent met behulp van een cyberaanval zoals de WannaCry ransomware-aanval.
- Het wijzigen van de registratie van de domeinnaam van een concurrent met behulp van domeinkaping.
- Toegang krijgen tot het interne netwerk van een concurrent door misbruik te maken van slechte netwerkbeveiligingspraktijken.
- De website van een concurrent aanvallen door misbruik te maken van een kwetsbaarheid die op de CVE-lijst staat.
- E-mailspoofing en phishing gebruiken om werknemers van een concurrent te verleiden vertrouwelijke informatie of gevoelige gegevens te onthullen.
- Op zoek gaan naar inbreuken op gegevens van derden en gegevenslekken op het dark web.
Dat gezegd hebbende, niet alle bedrijfsspionage is zo dramatisch. Veel komt van een insider die bedrijfsgeheimen van het ene bedrijf naar het andere overbrengt. Ontevreden werknemers of een voormalige werknemer die nu voor een concurrent werkt, kunnen onbedoeld of rechtstreeks bedrijfseigen informatie en bedrijfsgeheimen onthullen.
Gezien het concurrentievoordeel dat innovatie oplevert, is het niet moeilijk te begrijpen waarom bedrijfsspionage zo’n groot cyberbeveiligingsrisico is geworden.
Wat is het verschil tussen competitive intelligence en bedrijfsspionage?
Competitive intelligence, om het in informatiebeveiligingstermen te zeggen, is de witte hoed-versie van bedrijfsspionage.
Competitive intelligence bedrijven gebruiken over het algemeen legale methoden om informatie te verzamelen en te analyseren die publiekelijk beschikbaar is, of dat nu fusie- en overnamenieuws, nieuwe overheidsregels, bloginhoud of social media-ruis is. In feite kan contraspionage op basis van openbare informatie zo succesvol zijn dat veel bedrijven nu OPSEC-teams hebben die beheren welke informatie wordt vrijgegeven aan het publiek.
Dat gezegd hebbende, andere concurrerende inlichtingenbedrijven overschrijden de lijn en vallen in illegale bedrijfsspionage.
Is bedrijfsspionage illegaal?
Het is niet illegaal om een particulier bedrijf te bespioneren, zolang de informatie op legale wijze wordt verkregen. Het is bijvoorbeeld volkomen legaal om satellietbeelden van de parkeerplaats van een concurrent te kopen om te bepalen hoeveel klanten ze elk jaar bedienen of om een privédetective te betalen om op een handelsbeurs rond te lopen en te delen wat ze horen.
Het verwerven van handelsgeheimen zonder toestemming van de houder van het intellectuele eigendom is echter in het algemeen in strijd met de wet.
De Amerikaanse overheid regelt bedrijfsspionage door de Economic Espionage Act van 1996.
De wet codificeerde wat een handelsgeheim was en maakte het stelen van handelsgeheimen een federale misdaad. Straffen voor bedrijfsspionage kunnen resulteren in gevangenisstraf en miljoenen dollars schadevergoeding. De zwaarste straffen zijn gericht op diegenen die handelsgeheimen overdragen aan buitenlandse bedrijven of regeringen. De eerste veroordeling op grond van de Economische Spionage Wet van 1996 betrof een Boeing-ingenieur die bedrijfsgeheimen aan China verkocht.
Hoe besluit het Amerikaanse Ministerie van Justitie welke zaken van bedrijfsspionage worden vervolgd?
Niet elke zaak verdient strafrechtelijke vervolging, het Amerikaanse Ministerie van Justitie heeft richtlijnen voor welke zaken zij zal vervolgen op basis van:
- Scope of criminal activity
- Evidence of foreign engagement
- Degrade of economic injury to the intellectual property owner
- Type of trade secret stolen
- Effectiveness of available civil remedies
- Value of the case as a potential deterrent
Dat gezegd hebbende, het feit dat het Ministerie van Justitie geen zaak van industriële spionage aanspant, maakt het stelen van handelsgeheimen nog niet legaal. Veel schendingen kunnen dienen als basis voor rechtszaken in civiele rechtbanken en veel Amerikaanse staten hebben aanvullende wetten over bedrijfsspionage die strenger kunnen zijn dan de federale wetgeving.
Welke bedrijfstakken zijn vaak het doelwit van bedrijfsspionage?
Industriële en economische spionage wordt vaak geassocieerd met high-tech industrieën zoals:
- Computer software
- Hardware
- Biotechnologie
- Aerospace
- Telecommunicatie
- Transport en motortechnologie
- Automobielen
- Machinegereedschappen
- Energie
- Materialen
- Coatings
Silicon Valley is een van ’s werelds meest doelwit voor bedrijfsspionage. Net als Silicon Valley verhullen autofabrikanten aanstaande automodellen vaak met camouflage-verfpatronen, gewatteerde hoezen en bedrieglijke stickers om het ontwerp van het voertuig te verdoezelen.
In werkelijkheid kan elke organisatie met gevoelige informatie het doelwit zijn van bedrijfsspionage.
Hoe hebben computers bedrijfsspionage veranderd?
Door de opkomst van het Internet en de toenemende connectiviteit van computernetwerken, heeft het bereik en de gedetailleerdheid van beschikbare informatie, evenals het gemak van toegang, de populariteit van cyberspionage enorm doen toenemen.
Het gebruik van bedrijfsspionage via de computer is in de jaren negentig snel toegenomen. Informatie wordt gewoonlijk gestolen door personen die zich voordoen als werknemers, zoals schoonmakers of reparateurs, die zich toegang verschaffen tot onbeheerde computers en daar informatie van kopiëren. Laptops blijven ook een doelwit bij uitstek voor mensen die voor zaken naar het buitenland reizen.
Daders van spionage staan erom bekend dat zij mensen verleiden om, vaak slechts tijdelijk, afstand te doen van hun laptop, zodat zij toegang krijgen tot informatie en deze kunnen stelen. Hotels, taxi’s, bagagebalies op luchthavens, bagagebanden en treinen zijn veel voorkomende plaatsen waar dit gebeurt.
Op internet gebaseerde cyberaanvallers komen ook veel voor, hoewel ze meestal in de categorie van economische spionage vallen, uitgevoerd door overheden in plaats van concurrenten.
Naast het stelen van gevoelige informatie, betekent de toenemende afhankelijkheid van computers dat bedrijfsspionage zich kan uitbreiden tot sabotage. Dit is een toenemende zorg voor regeringen vanwege mogelijke aanvallen door terroristische groeperingen of vijandige buitenlandse regeringen via distributed denial of service (DDoS) of andere cyberaanvallen.
Hoe cyberspionage te voorkomen
Het voorkomen van cyberspionage is vergelijkbaar met het voorkomen van elke vorm van beveiligingsincident.
Een defense in depth-strategie die gebruikmaakt van een reeks gelaagde, redundante verdedigingsmaatregelen is de sleutel.
Data zijn een belangrijk doelwit geworden van industriële spionage vanwege het gemak waarmee ze kunnen worden gekopieerd en verzonden, wat ertoe leidt dat veel organisaties overgaan op digitaal forensisch onderzoek en IP-attributie om te proberen vast te stellen of, wanneer, hoe en wie een datalek of -lek heeft veroorzaakt. Koppel dit aan het feit dat de meeste bedrijven meer dan ooit outsourcen en dat veel externe leveranciers slechte beveiligingsmaatregelen hebben, en de noodzaak om datalekken te voorkomen is nog nooit zo groot geweest.
Het opzetten van een raamwerk voor risicobeheer bij derden, een beleid voor leveranciersbeheer en een programma voor leveranciersrisicobeheer (VRM) is bewerkelijk. In de afgelopen jaren zijn de kosten van een datalek opgelopen tot een geschatte 3,92 miljoen dollar. Datalekken waarbij derde partijen betrokken zijn, zijn naar schatting $ 370.000 duurder bij een gemiddelde totale kostprijs van $ 4,29 miljoen.
Dit heeft ertoe geleid dat veel organisatie naar software rennen om het leveranciersrisicobeheer te automatiseren om het risico van derde partijen en vierde partijen te verminderen.
Het is niet langer voldoende om uw informatiebeveiligingsbeleid alleen op uw organisatie te laten richten. Cyberdreigingen binnen en buiten uw organisatie kunnen ertoe leiden dat handelsgeheimen worden gestolen en uw informatierisicobeheer en risicobeoordelingsproces voor cyberbeveiliging moeten dit weerspiegelen. Het is nog nooit zo belangrijk geweest om robuuste cyberbeveiliging te hebben om bedrijfsspionage te voorkomen.
Wat is de oorsprong van bedrijfsspionage?
Francois Xavier d’Entrecolles in Jingdezhen, China, die in 1712 de fabricagemethoden van Chinees porselein aan Europa onthulde, was een vroeg geval van bedrijfsspionage.
Er zijn historische getuigenissen van bedrijfsspionage tussen Groot-Brittannië en Frankrijk in de 18e eeuw, toegeschreven aan de opkomst van Groot-Brittannië als industriële schuldeiser. Er was een grootschalige door de staat gesponsorde poging om Britse industriële technologie te stelen voor Frankrijk.
In de 20e eeuw werd economische spionage tussen Oost en West populair. Sovjet-industriële spionage was een bekend onderdeel van hun algemene spionage-activiteiten tot in de jaren ’80, waarbij veel CPU’s dicht bij of exacte kopieën van Amerikaanse producten bleken te zijn.
Na de ondergang van de Sovjet-Unie en het einde van de Koude Oorlog begonnen veel Westerse en voormalige communistische landen hun onderbezette spionnen in te zetten voor internationale bedrijfsspionage. Niet alleen werd personeel overgeplaatst, maar ook spionage-apparatuur zoals computerdatabases, afluisterapparatuur, spionagesatellieten, afluisterapparatuur en afluisterapparatuur werden ingezet voor industriële spionage.
Wat zijn opmerkelijke voorbeelden van bedrijfsspionage?
- Hewlett-Packard: In 2006 huurde Hewlett-Packard, in een poging om uit te vinden of er geheimen naar de pers lekten, rechercheurs in die gebruik maakten van “pretexting”, een bedrieglijke en illegale methode om privé-informatie te verkrijgen, om de telefoongegevens van verschillende verslaggevers te verzamelen. Hewlett-Packard betaalde uiteindelijk 14,5 miljoen dollar aan de staat Californië en extra geld aan de verslaggevers die het bespioneerde.
- IBM en Texas Instruments: Tussen 1987 en 1989 zouden IBM en Texas Instruments het doelwit zijn geweest van Franse spionnen met de bedoeling de Franse Groupe Bull te helpen.
- General Motors: Opel, de Germain-divisie van General Motors beschuldigde Volkswagen in 1993 van industriële spionage nadat Opels productiechef en zeven andere leidinggevenden naar Volkswagen waren overgestapt. De zaak werd in 1997 geschikt, waarbij Volkswagen ermee instemde General Motors 100 miljoen dollar te betalen en over een periode van 7 jaar voor minstens 1 miljard dollar aan auto-onderdelen te kopen.
- Google: Op 13 januari 2010 kondigde Google aan dat operators vanuit China hun Google China-operatie hadden gehackt en intellectueel eigendom hadden gestolen en toegang hadden tot e-mailaccounts van mensenrechtenactivisten. De aanval zou deel hebben uitgemaakt van een wijdverspreide cyberaanval op bedrijven in China en is bekend geworden als Operatie Aurora.
- Oracle: in 2000 werd Oracle betrapt op het betalen van onderzoekers om de rotzooi van Microsoft te verkrijgen, omdat ze vermoedden dat het twee zogenaamd onafhankelijke onderzoeksorganisaties betaalde om pro-Microsoft-rapporten uit te brengen.
- Gillette: In 1997 was een procescontrole-ingenieur bij Wright Industries Inc, een onderaannemer van Gillette, gedegradeerd tot een lagere rol in het Mach 3-project van het bedrijf en besloot om handelsgeheimen naar meerdere Gillette-rivalen te sturen. Schick rapporteerde de daad aan Gillette, die de FBI erbij haalde.
Hoe UpGuard uw organisatie kan beschermen tegen datalekken en datalekken
Het lijdt geen twijfel dat cyberbeveiliging belangrijker is dan ooit tevoren. Daarom gebruiken bedrijven als Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar en NASA UpGuard om hun gegevens te beschermen en datalekken te voorkomen.
Wij zijn experts op het gebied van datalekken, in feite is ons onderzoek naar datalekken vermeld in de New York Times, Bloomberg, Washington Post, Forbes, Reuters en Techcrunch.
UpGuard BreachSight kan helpen bij het bestrijden van typosquatting, het voorkomen van datalekken en datalekken, het vermijden van boetes op grond van regelgeving en het beschermen van het vertrouwen van uw klanten door middel van cyberbeveiligingsbeoordelingen en continue detectie van blootstelling.
UpGuard Vendor Risk kan de hoeveelheid tijd die uw organisatie besteedt aan het beheren van relaties met derden tot een minimum beperken door vragenlijsten voor leveranciers te automatiseren en continu de beveiligingsstatus van uw leveranciers te bewaken terwijl u ze vergelijkt met hun branche.
Elke leverancier wordt beoordeeld op basis van 50+ criteria, zoals de aanwezigheid van SSL en DNSSEC, evenals het risico van domeinkaping, man-in-the-middle-aanvallen en e-mail-spoofing voor phishing.
Elke dag scoort ons platform uw leveranciers met een Cyber Security Rating van 950. We kunnen u zelfs waarschuwen als hun score daalt.
Boek vandaag nog een demo.