Szpiegostwo korporacyjne to szpiegostwo prowadzone w celach handlowych lub finansowych. Szpiegostwo korporacyjne jest również znane jako szpiegostwo przemysłowe, szpiegostwo gospodarcze lub szpiegostwo korporacyjne.
Szpiegostwo gospodarcze jest inicjowane przez rządy i ma zasięg międzynarodowy, natomiast szpiegostwo przemysłowe lub korporacyjne występuje na ogół między organizacjami.
Rządy zagraniczne, zwłaszcza te, w których wiele firm jest własnością państwa i kładzie się duży nacisk na rozwój gospodarczy, są częstymi użytkownikami szpiegostwa korporacyjnego. W rezultacie inne rządy również dają się w to wciągnąć. Jedną z głównych motywacji prezydenta Stanów Zjednoczonych Donalda Trumpa do eskalacji wojny handlowej z Chinami była walka z chińską kradzieżą tajemnic handlowych amerykańskich firm.
Jakie są formy szpiegostwa gospodarczego i przemysłowego?
Szpiegostwo gospodarcze i przemysłowe ma dwie formy:
- Pozyskiwanie własności intelektualnej, takiej jak procesy lub techniki produkcyjne, lokalizacje produkcji, informacje zastrzeżone lub operacyjne, takie jak dane klientów, ceny, sprzedaż, badania i rozwój, polityka, potencjalne oferty, planowanie lub strategie marketingowe.
- Kradzież tajemnic handlowych, przekupstwo, szantaż lub nadzór technologiczny za pomocą różnych rodzajów złośliwego oprogramowania.
As well as orchestrating espionage on commercial organizations, governments can also be targets. Na przykład w celu określenia warunków przetargu na kontrakt rządowy.
Co to jest tajemnica handlowa?
Tajemnice handlowe są zdefiniowane w ustawie Uniform Trade Secrets Act (UTSA) oraz w ustawach stanowych opartych na UTSA.
Termin tajemnica handlowa oznacza wszystkie formy i rodzaje informacji finansowych, biznesowych, naukowych, technicznych, ekonomicznych lub inżynieryjnych, w tym wzory, plany, kompilacje, urządzenia programowe, formuły, projekty, prototypy, metody, techniki, procesy, procedury, programy lub kody, materialne lub niematerialne, a także niezależnie od tego, czy lub jak przechowywane, kompilowane lub upamiętnione fizycznie, elektronicznie, graficznie, fotograficznie lub na piśmie, jeśli:
- Właściciel tej informacji podjął uzasadnione środki w celu zachowania takiej informacji w tajemnicy; oraz
- Informacja ta czerpie niezależną wartość ekonomiczną, rzeczywistą lub potencjalną, z tego, że nie jest powszechnie znana i nie jest łatwo osiągalna za pomocą właściwych środków przez społeczeństwo.
Jak przeprowadza się szpiegostwo przemysłowe?
Istnieje szereg technik, które wchodzą w zakres szpiegostwa przemysłowego:
- Wdarcie się na teren konkurenta lub uzyskanie nieautoryzowanego dostępu do jego plików
- Postawienie się w roli pracownika konkurenta w celu poznania tajemnic handlowych lub uzyskania dostępu do informacji umożliwiających identyfikację osobistą (PII) jego klientów
- Użycie podsłuchu, brak protokołu SSL lub inna forma ataku man-in-the-middle w celu podsłuchania komunikacji konkurenta.
- Włamanie się do komputera konkurenta lub wyłączenie go przy użyciu ataku cybernetycznego, takiego jak atak typu ransomware WannaCry.
- Zmiana rejestracji nazwy domeny konkurenta za pomocą porwania domeny.
- Uzyskanie dostępu do sieci wewnętrznej konkurenta przez nadużycie słabych praktyk w zakresie bezpieczeństwa sieci.
- Atakowanie witryny internetowej konkurenta przez wykorzystanie luki w zabezpieczeniach wymienionej na liście CVE.
- Używanie spoofingu i phishingu w celu oszukania pracowników konkurencji, aby ujawnili poufne informacje lub wrażliwe dane.
- Wyszukiwanie naruszeń danych stron trzecich i wycieków danych w ciemnej sieci.
Nie wszystkie przypadki szpiegostwa korporacyjnego są tak dramatyczne. Wiele z nich wynika z przekazywania tajemnic handlowych z jednej firmy do drugiej przez osoby mające dostęp do informacji poufnych. Niezadowoleni pracownicy lub były pracownik, który teraz pracuje dla konkurenta może nieumyślnie lub bezpośrednio ujawnić zastrzeżone informacje i tajemnice korporacyjne.
Zważywszy na przewagę konkurencyjną wynikającą z innowacyjności, nietrudno zrozumieć, dlaczego szpiegostwo korporacyjne stało się tak dużym zagrożeniem dla bezpieczeństwa cybernetycznego.
Jaka jest różnica między wywiadem konkurencyjnym a szpiegostwem korporacyjnym?
Wywiad konkurencyjny, ujmując to w kategoriach bezpieczeństwa informacji, jest wersją szpiegostwa korporacyjnego w wersji white hat.
Firmy zajmujące się wywiadem konkurencyjnym zazwyczaj stosują legalne metody gromadzenia i analizowania informacji dostępnych publicznie, niezależnie od tego, czy są to wiadomości o fuzjach i przejęciach, nowe regulacje rządowe, zawartość blogów czy szum w mediach społecznościowych. W rzeczywistości, kontrwywiad oparty na informacjach publicznych może być tak skuteczny, że wiele firm posiada obecnie zespoły OPSEC, które zarządzają tym, jakie informacje są podawane do wiadomości publicznej.
Mimo to, inne firmy zajmujące się wywiadem konkurencyjnym przekraczają granicę i popadają w nielegalne szpiegostwo korporacyjne.
Czy szpiegostwo przemysłowe jest nielegalne?
Szpiegowanie prywatnej firmy nie jest nielegalne, o ile informacje są pozyskiwane legalnymi środkami. Na przykład, całkowicie legalne jest kupienie zdjęć satelitarnych parkingu konkurenta w celu ustalenia, ilu klientów obsługuje każdego roku lub zapłacenie prywatnemu detektywowi za chodzenie po targach handlowych i dzielenie się tym, co usłyszy.
Jednakże zdobywanie tajemnic handlowych bez zgody posiadacza własności intelektualnej jest generalnie niezgodne z prawem.
Rząd Stanów Zjednoczonych reguluje kwestie szpiegostwa korporacyjnego ustawą o szpiegostwie gospodarczym z 1996 roku.
Prawo skodyfikowało, co tajemnica handlowa była i uczynił kradzież tajemnic handlowych przestępstwem federalnym. Kary za szpiegostwo korporacyjne mogą skutkować karą więzienia i milionami dolarów odszkodowania. Jego najsurowsze kary są skierowane do tych, którzy przekazują tajemnice handlowe do zagranicznych firm lub rządów. W rzeczywistości, pierwszy proces skazujący na podstawie Ustawy o Szpiegostwie Gospodarczym z 1996 roku dotyczył inżyniera Boeinga, który sprzedał tajemnice handlowe do Chin.
Jak amerykański Departament Sprawiedliwości decyduje, które sprawy dotyczące szpiegostwa przemysłowego należy prowadzić?
Nie każda sprawa zasługuje na ściganie karne, amerykański Departament Sprawiedliwości ma wytyczne, które sprawy będzie prowadził w oparciu o:
- Zakres działalności przestępczej
- Dowody zaangażowania zagranicznego
- Stopień szkody ekonomicznej dla właściciela własności intelektualnej
- Rodzaj skradzionej tajemnicy handlowej
- Skuteczność dostępnych cywilnych środków zaradczych
- Wartość sprawy jako potencjalnego czynnika odstraszającego
To powiedziawszy, tylko dlatego, że Departament Sprawiedliwości nie prowadzi sprawy o szpiegostwo przemysłowe, nie oznacza, że kradzież tajemnic handlowych jest legalna. Wiele naruszeń może służyć jako podstawa do pozwów w sądach cywilnych, a wiele stanów USA ma dodatkowe przepisy dotyczące szpiegostwa korporacyjnego, które mogą być bardziej rygorystyczne niż prawo federalne.
Jakie branże są częstym celem szpiegostwa korporacyjnego?
Szpiegostwo przemysłowe i gospodarcze jest powszechnie związane z branżami zaawansowanymi technologicznie, takimi jak:
- Oprogramowanie komputerowe
- Hardware
- Biotechnologia
- Aerospace
- Telekomunikacja
- Transport i technologia silników
- Automobiles
- Machine tools
- Energy
- Materials
- Coatings
.
Dolina Krzemowa jest jednym z najbardziej docelowych obszarów szpiegostwa korporacyjnego na świecie. Podobnie jak Dolina Krzemowa, producenci samochodów często ukrywają nadchodzące modele samochodów za pomocą wzorów farb maskujących, wyściełanych pokrowców i zwodniczych naklejek, aby ukryć projekt pojazdu.
W rzeczywistości każda organizacja posiadająca poufne informacje może stać się celem szpiegostwa korporacyjnego.
Jak komputery zmieniły szpiegostwo korporacyjne?
Dzięki rozwojowi Internetu i rosnącej łączności sieci komputerowych, zakres i szczegółowość dostępnych informacji, a także łatwość dostępu ogromnie zwiększyły popularność cyberszpiegostwa.
Wykorzystanie komputerowego szpiegostwa korporacyjnego gwałtownie wzrosło w latach dziewięćdziesiątych. Informacje są powszechnie kradzione przez osoby delegowane jako pracownicy, tacy jak sprzątacze lub serwisanci, którzy uzyskują dostęp do nienadzorowanych komputerów i kopiują z nich informacje. Laptopy pozostają również głównym celem osób podróżujących służbowo za granicę.
Przestępcy szpiegostwa są znani z tego, że podstępem zmuszają osoby fizyczne do rozstania się, często tylko tymczasowo, z laptopem, umożliwiając im dostęp do informacji i ich kradzież. Hotele, taksówki, lotniskowe kasy bagażowe, karuzele bagażowe i pociągi są częstymi miejscami, w których to się zdarza.
Internetowe ataki cybernetyczne są również powszechne, choć zazwyczaj należą do kategorii szpiegostwa gospodarczego prowadzonego przez rządy, a nie konkurentów.
Oprócz kradzieży poufnych informacji, rosnąca zależność od komputerów oznacza, że szpiegostwo przemysłowe może rozszerzyć się na sabotaż. Jest to coraz większy problem dla rządów ze względu na potencjalne ataki grup terrorystycznych lub wrogich rządów obcych państw poprzez rozproszoną odmowę usługi (DDoS) lub inne ataki cybernetyczne.
Jak zapobiegać cyberszpiegostwu
Zapobieganie cyberszpiegostwu jest podobne do zapobiegania wszelkim formom incydentów bezpieczeństwa.
Operacjonalizacja ram zarządzania ryzykiem strony trzeciej, polityka zarządzania dostawcami i program zarządzania ryzykiem dostawcy (VRM) jest pracochłonne. W ostatnich latach koszt naruszenia danych wzrósł do około 3,92 miliona dolarów. Szacuje się, że naruszenie danych z udziałem stron trzecich jest o 370 000 USD droższe, a średni koszt całkowity wynosi 4,29 mln USD.
Spowodowało to, że wiele organizacji zaczęło korzystać z oprogramowania do automatyzacji zarządzania ryzykiem dostawcy w celu zmniejszenia ryzyka strony trzeciej i czwartej.
Nie wystarczy już, aby polityka bezpieczeństwa informacji koncentrowała się tylko na organizacji. Zagrożenia cybernetyczne wewnątrz i na zewnątrz organizacji mogą prowadzić do kradzieży tajemnic handlowych, a proces zarządzania ryzykiem informacyjnym i oceny ryzyka związanego z bezpieczeństwem cybernetycznym powinien to odzwierciedlać. Nigdy wcześniej nie było ważniejsze posiadanie solidnych zabezpieczeń cybernetycznych w celu zapobiegania szpiegowaniu firm.
Jakie są początki szpiegostwa korporacyjnego?
Francois Xavier d’Entrecolles w Jingdezhen w Chinach, który ujawnił Europie metody produkcji chińskiej porcelany w 1712 r., był wczesnym przypadkiem szpiegostwa przemysłowego.
Istnieją historyczne relacje z korporacyjnego szpiegostwa między Wielką Brytanią a Francją w 18 wieku, przypisywane do pojawienia się Wielkiej Brytanii jako wierzyciela przemysłowego. Był to wysiłek na dużą skalę sponsorowany przez państwo, mający na celu kradzież brytyjskiej technologii przemysłowej dla Francji.
W XX wieku szpiegostwo gospodarcze między Wschodem a Zachodem stało się popularne. Radzieckie szpiegostwo przemysłowe było dobrze znaną częścią ich ogólnej działalności szpiegowskiej aż do lat 80. Wiele procesorów wydawało się być bliskimi lub dokładnymi kopiami produktów amerykańskich.
Po upadku Związku Radzieckiego i zakończeniu zimnej wojny, wiele krajów zachodnich i byłych krajów komunistycznych zaczęło wykorzystywać swoich niedostatecznie zatrudnionych szpiegów do międzynarodowego szpiegostwa korporacyjnego. Do szpiegostwa przemysłowego wykorzystywano nie tylko personel, ale również sprzęt szpiegowski, taki jak komputerowe bazy danych, narzędzia podsłuchowe, satelity szpiegowskie, pluskwy i przewody.
Jakie są godne uwagi przykłady szpiegostwa przemysłowego?
- Hewlett-Packard: W 2006 roku firma Hewlett-Packard, chcąc dowiedzieć się o przecieku tajemnic do prasy, wynajęła śledczych, którzy użyli „pretekstu”, zwodniczej i nielegalnej metody uzyskiwania prywatnych informacji, aby zebrać bilingi telefoniczne kilku reporterów. Hewlett-Packard ostatecznie zapłacił 14,5 miliona dolarów na rzecz stanu Kalifornia i dodatkowe pieniądze reporterom, których szpiegował.
- IBM i Texas Instruments: Uważa się, że w latach 1987-1989 IBM i Texas Instruments były celem francuskich szpiegów z zamiarem pomocy francuskiej Groupe Bull.
- General Motors: Opel, oddział Germain firmy General Motors oskarżył Volkswagena o szpiegostwo przemysłowe w 1993 roku po tym, jak szef produkcji Opla i siedmiu innych dyrektorów przeniosło się do Volkswagena. Sprawa została rozstrzygnięta w 1997 roku z Volkswagen zgadza się zapłacić General Motors 100 milionów dolarów i kupić co najmniej 1 miliard dolarów części samochodowych z ponad 7 lat.
- Google: W dniu 13 stycznia 2010 roku Google ogłosił, że operatorzy z Chin włamał się do ich operacji Google Chiny i ukradł własności intelektualnej i dostęp do kont e-mail działaczy na rzecz praw człowieka. Atak był uważany za część szerokiego ataku cybernetycznego na firmy w Chinach i stał się znany jako Operacja Aurora.
- Oracle: W 2000 roku firma Oracle została przyłapana na płaceniu śledczym za przejęcie śmieci Microsoftu, ponieważ podejrzewano, że płaciła dwóm rzekomo niezależnym organizacjom badawczym za publikowanie raportów pro-Microsoftowych.
- Gillette: W 1997 roku, inżynier kontroli procesu w Wright Industries Inc, podwykonawca Gillette został zdegradowany do niższej roli w projekcie Mach 3 firmy i postanowił wysłać tajemnice handlowe do wielu rywali Gillette. Schick zgłosił ten czyn firmie Gillette, która zaangażowała w to FBI.
Jak UpGuard może chronić Twoją organizację przed naruszeniami danych i wyciekami danych
Nie ma wątpliwości, że cyberbezpieczeństwo jest ważniejsze niż kiedykolwiek wcześniej. Właśnie dlatego firmy takie jak Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar i NASA używają UpGuard do ochrony swoich danych i zapobiegania naruszeniom danych.
Jesteśmy ekspertami w dziedzinie naruszeń danych, w rzeczywistości nasze badania dotyczące naruszeń danych były przedstawiane w New York Times, Bloomberg, Washington Post, Forbes, Reuters i Techcrunch.
UpGuard BreachSight może pomóc w zwalczaniu typosquattingu, zapobieganiu naruszeniom danych i wyciekom danych, unikaniu kar regulacyjnych i ochronie zaufania klientów dzięki ocenom cyberbezpieczeństwa i ciągłemu wykrywaniu zagrożeń.
UpGuard Vendor Risk może zminimalizować ilość czasu, jaki Twoja organizacja poświęca na zarządzanie relacjami z podmiotami zewnętrznymi poprzez automatyzację kwestionariuszy dostawców i ciągłe monitorowanie postawy bezpieczeństwa Twoich dostawców w czasie, jednocześnie porównując je z ich branżą.
Każdy sprzedawca jest oceniany na podstawie 50+ kryteriów, takich jak obecność SSL i DNSSEC, jak również ryzyko porwania domeny, ataki man-in-the-middle i spoofing e-mail dla phishingu.
Każdego dnia, nasza platforma ocenia dostawców z Cyber Security Rating z 950. Możemy nawet powiadomić Cię, jeśli ich wynik spadnie.
Zarezerwuj demo już dziś.