O que é Espionagem Corporativa?

Espionagem corporativa é a espionagem realizada para fins comerciais ou financeiros. A espionagem corporativa também é conhecida como espionagem industrial, espionagem econômica ou espionagem corporativa.

Posto isto, a espionagem económica é orquestrada por governos e tem um âmbito internacional, enquanto a espionagem industrial ou empresarial geralmente ocorre entre organizações.

Governos estrangeiros, especialmente aqueles onde muitas empresas são estatais e têm um forte foco no desenvolvimento económico, são utilizadores comuns da espionagem empresarial. Como resultado, outros governos também se vêem atraídos por ela. Uma das principais motivações do presidente dos Estados Unidos, Donald Trump, para a escalada da guerra comercial com a China tem sido a luta contra o roubo chinês de segredos comerciais de empresas americanas.

Quais são as formas de espionagem econômica e industrial?

Espionagem econômica e industrial tem duas formas:

  1. Aquisição de propriedade intelectual, como processos ou técnicas de fabricação, locais de produção, informações proprietárias ou operacionais como dados de clientes, preços, vendas, pesquisa e desenvolvimento, políticas, ofertas em perspectiva, planejamento ou estratégias de marketing.
  2. Furto de segredos comerciais, suborno, chantagem ou vigilância tecnológica com diferentes tipos de malware.
  3. >

Além de orquestrar espionagem em organizações comerciais, os governos também podem ser alvos. Por exemplo, para determinar os termos de um concurso para um contrato governamental.

O que é um segredo comercial?

Os segredos comerciais são definidos no Uniform Trade Secrets Act (UTSA) e nas leis estaduais baseadas no UTSA.

O termo segredo comercial significa todas as formas e tipos de informações financeiras, comerciais, científicas, técnicas, econômicas ou de engenharia, incluindo padrões, planos, compilações, dispositivos de programas, fórmulas, projetos, protótipos, métodos, técnicas, processos, procedimentos, programas ou códigos, sejam tangíveis ou intangíveis, e se ou como armazenados, compilados ou memorizados fisicamente, eletronicamente, graficamente, fotograficamente, ou por escrito, se:

  • O seu proprietário tomou medidas razoáveis para manter tal informação em segredo; e
  • A informação deriva de valor econômico independente, real ou potencial, de não ser geralmente conhecida e não ser prontamente averiguada pelo público através de meios apropriados.

Como é feita a espionagem industrial?

Existem várias técnicas que se enquadram no âmbito da espionagem industrial:

  • Intrusão na propriedade de um concorrente ou acesso não autorizado aos seus ficheiros
  • Postar como funcionário de um concorrente para aprender segredos comerciais ou obter acesso às informações pessoalmente identificáveis dos seus clientes (PII)
  • Usar escutas telefónicas, falta de SSL ou outra forma de ataque de homem no meio para ouvir a comunicação do concorrente.
  • Hacking into or disabling a competitor’s computer using a cyber attack like the WannaCry ransomware attack.
  • Changing the registration of a competitor’s domain name using domain hijacking.
  • Gaining access to a competitor’s internal network by abusing poor network security practices.
  • Atacar o site de um concorrente explorando uma vulnerabilidade listada no CVE.
  • >

  • Usar spoofing de e-mail e phishing para enganar os funcionários de um concorrente a revelarem informações confidenciais ou dados sensíveis.
  • >

  • Procurar violações de dados de terceiros e vazamentos de dados na web escura.
  • >

>

Posto isto, nem toda espionagem corporativa é tão dramática. Grande parte vem de um informante que transfere segredos comerciais de uma empresa para outra. Funcionários descontentes ou um ex-empregado que agora trabalha para um concorrente podem inadvertidamente ou diretamente revelar informações proprietárias e segredos corporativos.

Dada a vantagem competitiva que vem da inovação, não é difícil perceber porque a espionagem corporativa se tornou um risco tão grande de segurança cibernética.

Qual é a diferença entre inteligência competitiva e espionagem corporativa?

Inteligência competitiva, para colocar em termos de segurança da informação, é a versão branca da espionagem corporativa.

As empresas de inteligência competitiva geralmente usam métodos legais para coletar e analisar informações que estão disponíveis publicamente, sejam elas notícias de fusões e aquisições, novas regulamentações governamentais, conteúdo de blogs ou ruído das mídias sociais. Na verdade, a contra-espionagem baseada em informações públicas pode ser tão bem sucedida que muitas empresas agora têm equipes do OPSEC que gerenciam quais informações são divulgadas ao público.

Dito isto, outras empresas de inteligência competitiva cruzam a linha e caem na espionagem corporativa ilegal.

É espionagem industrial ilegal?

Não é ilegal espionar uma empresa privada desde que a informação seja obtida por meios legais. Por exemplo, é totalmente legal comprar imagens de satélite do estacionamento de um concorrente para determinar quantos clientes estão servindo a cada ano ou pagar a um investigador particular para andar em uma feira e compartilhar o que eles ouvem.

No entanto, adquirir segredos comerciais sem o consentimento do detentor da propriedade intelectual é geralmente contra a lei.

O governo dos EUA governa a espionagem corporativa através da Lei de Espionagem Económica de 1996.

A lei codificou o que era um segredo comercial e tornou o roubo de segredos comerciais um crime federal. Penalidades por espionagem corporativa podem resultar em tempo de prisão e milhões de dólares em danos. Suas punições mais severas são dirigidas àqueles que transferem segredos comerciais para empresas ou governos estrangeiros. Na verdade, a primeira condenação em julgamento ao abrigo da Lei de Espionagem Económica de 1996 envolveu um engenheiro da Boeing que vendeu segredos comerciais à China.

Como o Departamento de Justiça dos EUA decide quais os casos de espionagem industrial a serem perseguidos?

Nem todos os casos merecem processo criminal, o Departamento de Justiça dos EUA tem diretrizes de quais casos serão perseguidos com base:

>

    >

  • Escopo da atividade criminal
  • Eficácia do envolvimento estrangeiro
  • >

  • grau de dano econômico ao proprietário da propriedade intelectual
  • >

  • Tipo de segredo comercial roubado
  • >

  • Eficácia dos recursos civis disponíveis
  • >

  • Valor do caso como um potencial dissuasor
  • >

>

Dito isto, só porque o Departamento de Justiça não persegue um caso de espionagem industrial, não torna legal roubar segredos comerciais. Muitas violações podem servir de base para processos em tribunais civis e muitos estados americanos têm leis adicionais sobre espionagem corporativa que podem ser mais rigorosas do que a lei federal.

Que indústrias são alvos comuns da espionagem corporativa?

A espionagem industrial e econômica é comumente associada a indústrias de alta tecnologia, como a espionagem:

  • Software de computador
  • Hardware
  • Biotecnologia
  • Aeroespacial
  • Telecomunicações
  • Transporte e tecnologia de motores
  • Automobiles
  • Ferramentas para máquinas
  • Energia
  • Materiais
  • Revestimentos

Silicon Valley é uma das áreas mais visadas do mundo para espionagem corporativa. Juntamente com o Silicon Valley, os fabricantes de automóveis muitas vezes disfarçam os próximos modelos de automóveis com padrões de pintura camuflada, capas acolchoadas e decalques enganosos para ofuscar o design do veículo.

Na realidade, qualquer organização com informação sensível pode ser o alvo da espionagem corporativa.

Como os computadores mudaram a espionagem corporativa?

O aumento da Internet e da conectividade crescente das redes de computadores, o alcance e os detalhes da informação disponível, bem como a facilidade de acesso aumentou imensamente a popularidade da espionagem cibernética.

O uso da espionagem corporativa baseada em computadores aumentou rapidamente nos anos 90. A informação é geralmente roubada por indivíduos que se destacam como trabalhadores, como limpadores ou reparadores, que obtêm acesso a computadores sem vigilância e copiam informações deles. Os laptops também continuam sendo um alvo principal para aqueles que viajam ao exterior a negócios.

Perpetradores de espionagem são conhecidos por enganar indivíduos para que se separem, muitas vezes apenas temporariamente, de seu laptop, permitindo-lhes acessar e roubar informações. Hotéis, táxis, balcões de bagagem de aeroporto, carrosséis de bagagem e trens são lugares comuns, isso acontece.

Ataques cibernéticos baseados na Internet também são comuns, embora geralmente caiam na categoria de espionagem econômica realizada por governos e não por concorrentes.

Embora roubar informação sensível, a crescente dependência dos computadores significa que a espionagem industrial pode estender-se à sabotagem. Esta é uma preocupação crescente dos governos devido a potenciais ataques de grupos terroristas ou governos estrangeiros hostis através de negação de serviço distribuída (DDoS) ou outros ataques cibernéticos.

Como prevenir a espionagem cibernética

Prevenir a espionagem cibernética é semelhante a prevenir qualquer forma de incidente de segurança.

Uma estratégia de defesa em profundidade que usa uma série de medidas defensivas redundantes em camadas é fundamental.

Os dados tornaram-se um alvo chave da espionagem industrial devido à facilidade com que podem ser copiados e transmitidos, levando muitas organizações à forense digital e à atribuição de IP para tentar determinar se, quando, como e quem causou uma violação ou vazamento de dados. Junte isso ao fato de que a maioria das empresas estão terceirizando mais do que nunca e muitos fornecedores de terceiros têm medidas de segurança ruins e a necessidade de evitar quebras de dados nunca foi tão grande.

A operacionalização de uma estrutura de gerenciamento de risco de terceiros, política de gerenciamento de fornecedores e programa de gerenciamento de risco de fornecedores (VRM) é trabalhosa. Nos últimos anos, o custo de uma violação de dados foi estimado em 3,92 milhões de dólares. As violações de dados envolvendo terceiros são estimadas em $370.000 mais caras a um custo total médio de $4,29 milhões.

Isso levou muitas organizações a correr para software para automatizar o gerenciamento de risco de fornecedores para reduzir o risco de terceiros e o risco de terceiros.

Não é mais suficiente ter sua política de segurança da informação focada apenas na sua organização. As ameaças cibernéticas dentro e fora de sua organização podem levar ao roubo de segredos comerciais e o seu processo de gestão de riscos da informação e avaliação de riscos de segurança cibernética deve refletir isso. Nunca foi tão importante ter uma segurança cibernética robusta para evitar a espionagem corporativa.

Quais são as origens da espionagem corporativa?

Francois Xavier d’Entrecolles em Jingdezhen, China, revelando os métodos de fabrico da porcelana chinesa para a Europa em 1712 foi um caso inicial de espionagem industrial.

Existem relatos históricos de espionagem empresarial entre a Grã-Bretanha e a França no século XVIII, atribuídos ao surgimento da Grã-Bretanha como credor industrial. Houve um grande esforço patrocinado pelo Estado para roubar a tecnologia industrial britânica para a França.

No século 20, a espionagem económica Oriente vs Ocidente tornou-se popular. A espionagem industrial soviética foi uma parte bem conhecida de suas atividades de espionagem até os anos 80 com muitas CPUs parecendo ser cópias próximas ou exatas de produtos americanos.

Na sequência do fim da União Soviética e do fim da Guerra Fria, muitos países ocidentais e ex-comunistas começaram a usar seus espiões subempregados para espionagem corporativa internacional. Não só o pessoal foi redireccionado, mas também o equipamento de espionagem como bases de dados de computadores, ferramentas de escuta, satélites espiões, bugs e fios foram todos utilizados para espionagem industrial.

Que exemplos notáveis de espionagem industrial?

  • Hewlett-Packard: Em 2006, a Hewlett-Packard, em esforços para descobrir segredos vazados para a imprensa contratou investigadores que usaram “pretexto”, um método enganoso e ilegal de obter informações privadas para recolher os registos telefónicos de vários repórteres. A Hewlett-Packard acabou por pagar 14,5 milhões de dólares ao estado da Califórnia e dinheiro adicional aos repórteres que espionou.
  • IBM e Texas Instruments: Entre 1987 e 1989 a IBM e a Texas Instruments foram alvo de espiões franceses com a intenção de ajudar o Groupe Bull da França.
  • General Motors: Opel, a divisão Germain da General Motors acusou a Volkswagen de espionagem industrial em 1993, depois que o Chefe de Produção da Opel e outros sete executivos se mudaram para a Volkswagen. O caso foi resolvido em 1997 com a Volkswagen concordando em pagar à General Motors 100 milhões de dólares e em comprar pelo menos 1 bilhão de peças de automóveis de mais de 7 anos.
  • >

  • Google: Em 13 de janeiro de 2010, o Google anunciou que operadores da China invadiram a operação do Google China e roubaram propriedade intelectual e acessaram contas de e-mail de ativistas de direitos humanos. O ataque foi considerado parte de um ataque cibernético generalizado a empresas dentro da China e ficou conhecido como Operação Aurora.
  • Oracle: Em 2000, a Oracle foi apanhada a pagar aos investigadores para adquirir o lixo da Microsoft porque suspeitavam que estava a pagar a duas organizações de investigação supostamente independentes para divulgar relatórios pró-Microsoft.
  • Gillette: Em 1997, um engenheiro de controlo de processos da Wright Industries Inc., um subcontratado da Gillette tinha sido rebaixado para um papel inferior no projecto Mach 3 da empresa e decidiu enviar segredos comerciais a múltiplos rivais da Gillette. Schick relatou o ato à Gillette que envolveu o FBI.

Como o UpGuard pode proteger sua organização contra violações e vazamentos de dados

Não há dúvida de que a segurança cibernética é mais importante do que nunca. É por isso que empresas como Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar e NASA usam o UpGuard para proteger seus dados e prevenir quebras de dados.

Somos especialistas em quebra de dados, na verdade nossa pesquisa de quebra de dados foi apresentada no New York Times, Bloomberg, Washington Post, Forbes, Reuters e Techcrunch.

UpGuard BreachSight pode ajudar a combater o typosquatting, evitar violações e vazamentos de dados, evitar multas regulatórias e proteger a confiança de seus clientes através de classificações de segurança cibernética e detecção de exposição contínua.

UpGuard Vendor Risk pode minimizar a quantidade de tempo que sua organização gasta gerenciando relacionamentos com terceiros, automatizando questionários de fornecedores e monitorando continuamente a postura de segurança de seus fornecedores ao longo do tempo, ao mesmo tempo em que os compara com seu setor.

Cada fornecedor é classificado contra mais de 50 critérios como a presença de SSL e DNSSEC, bem como o risco de sequestro de domínio, ataques man-in-the-middle e spoofing de e-mail para phishing.

Cada dia, a nossa plataforma pontua os seus fornecedores com uma classificação Cyber Security Rating de 950. Podemos até alertá-lo se a pontuação deles cair.

Guardar uma demonstração hoje.

Deixe uma resposta

O seu endereço de email não será publicado.