Företagsspionage är spionage som bedrivs i kommersiellt eller ekonomiskt syfte. Företagsspionage kallas även industrispionage, ekonomiskt spionage eller företagsspionage.
Med detta sagt iscensätts ekonomiskt spionage av regeringar och är internationellt, medan industri- eller företagsspionage i allmänhet sker mellan organisationer.
Utländska regeringar, särskilt sådana där många företag är statsägda och har ett starkt fokus på ekonomisk utveckling, är vanliga användare av företagsspionage. Detta leder till att andra regeringar också dras in i det. En av de viktigaste motiveringarna som USA:s president Donald Trump har angett för att trappa upp handelskriget med Kina har varit att bekämpa kinesisk stöld av amerikanska företags affärshemligheter.
Vilka former av ekonomiskt och industriellt spionage finns det?
Ekonomiskt och industriellt spionage har två former:
- Förvärv av immateriell egendom, till exempel tillverkningsprocesser eller -tekniker, produktionsplatser, proprietär eller operativ information som kunduppgifter, prissättning, försäljning, forskning och utveckling, policyer, potentiella anbud, planerings- eller marknadsföringsstrategier.
- Stöld av affärshemligheter, mutor, utpressning eller teknisk övervakning med olika typer av skadlig kod.
Samma som att iscensätta spionage mot kommersiella organisationer kan även regeringar vara måltavlor. Till exempel för att fastställa villkoren i ett anbud för ett statligt kontrakt.
Vad är en affärshemlighet?
Handelshemligheter definieras i Uniform Trade Secrets Act (UTSA) och i delstatliga lagar som bygger på UTSA.
Med företagshemlighet avses alla former och typer av finansiell, affärsmässig, vetenskaplig, teknisk, ekonomisk eller ingenjörsmässig information, inklusive mönster, planer, sammanställningar, programanordningar, formler, mönster, prototyper, metoder, tekniker, processer, förfaranden, program eller koder, oavsett om den är materiell eller immateriell, och oavsett om eller hur den är lagrad, sammanställd eller memoriserad fysiskt, elektroniskt, grafiskt, fotografiskt eller skriftligt om:
- Ägaren har vidtagit rimliga åtgärder för att hålla informationen hemlig, och
- Informationen har ett oberoende ekonomiskt värde, faktiskt eller potentiellt, genom att den inte är allmänt känd för allmänheten och inte är lätt att ta reda på med lämpliga medel för allmänheten.
Hur utförs industrispionage?
Det finns ett antal tekniker som faller under begreppet industrispionage:
- Intrång på en konkurrents egendom eller obehörig åtkomst till deras filer
- Att ta sig in som anställd hos en konkurrent för att ta del av affärshemligheter eller få tillgång till kundernas personuppgifter
- Använda sig av avlyssning, avsaknad av SSL eller en annan form av man-in-the-middle-attack för att avlyssna kommunikation från en konkurrent.
- Hacka sig in i eller inaktivera en konkurrents dator med hjälp av en cyberattack som WannaCry-attacken med utpressningstrojaner.
- Förändra registreringen av en konkurrents domännamn med hjälp av domänkapning.
- Få tillgång till en konkurrents interna nätverk genom att missbruka bristfälliga nätverkssäkerhetsrutiner.
- Angrepp på en konkurrents webbplats genom att utnyttja en CVE-listad sårbarhet.
- Användning av e-postförfalskning och phishing för att lura en konkurrents anställda att avslöja konfidentiell information eller känsliga uppgifter.
- Söka efter dataintrång och dataläckage från tredje part på den mörka webben.
Det är dock inte allt företagsspionage som är så dramatiskt. Mycket av det kommer från en insider som överför affärshemligheter från ett företag till ett annat. Missnöjda anställda eller en tidigare anställd som nu arbetar för en konkurrent kan oavsiktligt eller direkt avslöja konfidentiell information och företagshemligheter.
Med tanke på den konkurrensfördel som kommer från innovation är det inte svårt att förstå varför företagsspionage har blivit en så stor cybersäkerhetsrisk.
Vad är skillnaden mellan konkurrensinformation och företagsspionage?
Konkurrensinformation, för att uttrycka det i informationssäkerhetstermer, är den vita hattversionen av företagsspionage.
Företagen för konkurrensinformation använder i allmänhet lagliga metoder för att samla in och analysera information som är offentligt tillgänglig, oavsett om det rör sig om nyheter om fusioner och förvärv, nya myndighetsföreskrifter, blogginnehåll eller brus i sociala medier. Faktum är att kontraspionage baserat på offentlig information kan vara så framgångsrikt att många företag numera har OPSEC-team som hanterar vilken information som släpps ut till allmänheten.
Det sagt, andra konkurrerande underrättelseföretag går över gränsen och hamnar i olagligt företagsspionage.
Är industrispionage olagligt?
Det är inte olagligt att spionera på ett privat företag så länge informationen inhämtas med lagliga medel. Det är till exempel helt lagligt att köpa satellitbilder av en konkurrents parkeringsplats för att ta reda på hur många kunder de betjänar varje år eller att betala en privatdetektiv för att gå runt på en mässa och dela med sig av vad de hör.
Det är dock generellt sett olagligt att förvärva affärshemligheter utan samtycke från innehavaren av den intellektuella äganderätten.
Den amerikanska regeringen reglerar företagsspionage genom lagen om ekonomiskt spionage från 1996 (Economic Espionage Act).
Lagen kodifierade vad en affärshemlighet var och gjorde stöld av affärshemligheter till ett federalt brott. Straff för företagsspionage kan leda till fängelsestraff och miljontals dollar i skadestånd. De hårdaste straffen riktas mot dem som överför affärshemligheter till utländska företag eller regeringar. Faktum är att den första fällande domen i en rättegång enligt lagen om ekonomiskt spionage från 1996 gällde en Boeing-ingenjör som sålde affärshemligheter till Kina.
Hur bestämmer det amerikanska justitiedepartementet vilka fall av industrispionage man ska driva?
Inte alla fall förtjänar straffrättsliga åtgärder, men det amerikanska justitiedepartementet har riktlinjer för vilka fall man kommer att driva baserat på:
- Omfattningen av den brottsliga verksamheten
- Bevis på utländsk inblandning
- Grad av ekonomisk skada för ägaren av den immateriella äganderätten
- Typ av affärshemlighet som stulits
- Effektivitet av tillgängliga civilrättsliga åtgärder
- Fallets värde som potentiellt avskräckande medel
Detta sagt, bara för att justitiedepartementet inte driver ett fall av industrispionage gör det inte att det är lagligt att stjäla företagshemligheter. Många överträdelser kan ligga till grund för stämningar i civila domstolar och många amerikanska delstater har ytterligare lagar om företagsspionage som kan vara strängare än den federala lagen.
Vilka branscher är vanliga måltavlor för företagsspionage?
Industriellt och ekonomiskt spionage förknippas ofta med högteknologiska branscher som t.ex:
- Datorprogramvara
- Hårdvara
- Bioteknik
- Flyg- och rymdteknik
- Telekommunikation
- Transport och motorteknik
- Automobiler
- Verktygsmaskiner
- Energi
- Material
- Beläggningar
.
Silicon Valley är ett av världens mest målinriktade områden för företagsspionage. Tillsammans med Silicon Valley döljer biltillverkare ofta kommande bilmodeller med kamouflagefärgmönster, vadderade överdrag och bedrägliga dekaler för att fördunkla fordonets utformning.
I verkligheten kan alla organisationer med känslig information bli måltavla för företagsspionage.
Hur har datorerna förändrat företagsspionaget?
Med Internets framväxt och den ökande uppkopplingen av datornätverken har omfattningen och detaljrikedomen av den information som finns tillgänglig, liksom den enkla åtkomsten, ökat populariteten för cyberspionage enormt.
Användningen av datorbaserat företagsspionage ökade snabbt under 1990-talet. Information stjäls vanligen av personer som utger sig för att vara arbetare, t.ex. städare eller reparatörer, som får tillgång till obevakade datorer och kopierar information från dem. Bärbara datorer förblir också ett utmärkt mål för dem som reser utomlands i affärer.
Påverkare av spionage är kända för att lura personer att avstå, ofta bara tillfälligt, från sin bärbara dator, vilket gör det möjligt för dem att få tillgång till och stjäla information. Hotell, taxibilar, bagageutlämningsdiskar på flygplatser, bagageband och tåg är vanliga platser där detta sker.
Internetbaserade cyberattackerare är också vanliga, även om de vanligtvis faller in i kategorin ekonomiskt spionage som utförs av regeringar snarare än konkurrenter.
Samt stöld av känslig information innebär det ökande beroendet av datorer att industrispionage kan sträcka sig till sabotage. Detta är ett växande bekymmer för regeringar på grund av potentiella attacker från terroristgrupper eller fientliga utländska regeringar via DDoS (Distributed Denial of Service) eller andra cyberattacker.
Hur man förhindrar cyberspionage
Förhindra cyberspionage är liktydigt med att förhindra alla former av säkerhetsincidenter.
Ett försvar på djupet som använder en rad skiktade redundanta försvarsåtgärder är nyckeln.
Data har blivit ett viktigt mål för industrispionage på grund av att det är så lätt att kopiera och överföra dem, vilket leder till att många organisationer använder sig av digital kriminalteknik och IP-tilldelning för att försöka fastställa om, när, hur och vem som orsakat ett dataintrång eller en dataläckage. Om man kombinerar detta med det faktum att de flesta företag outsourcar mer än någonsin och att många tredjepartsleverantörer har dåliga säkerhetsåtgärder har behovet av att förhindra dataintrång aldrig varit större än nu.
Operationaliseringen av ett ramverk för riskhantering för tredje part, en policy för hantering av leverantörer och ett program för hantering av leverantörsrisker (VRM) är mödosamt. Under de senaste åren har kostnaden för ett dataintrång skjutit i höjden till uppskattningsvis 3,92 miljoner dollar. Dataintrång som involverar tredje part uppskattas vara 370 000 dollar dyrare med en genomsnittlig totalkostnad på 4,29 miljoner dollar.
Detta har lett till att många organisationer har börjat använda mjukvara för att automatisera hantering av leverantörsrisker för att minska riskerna för tredje part och fjärde part.
Det räcker inte längre med att ha en informationssäkerhetspolicy som endast fokuserar på den egna organisationen. Cyberhot inom och utanför din organisation kan leda till att företagshemligheter stjäls och din process för hantering av informationsrisker och bedömning av cybersäkerhetsrisker bör återspegla detta. Det har aldrig varit viktigare att ha robust cybersäkerhet för att förhindra företagsspionage.
Vad är ursprunget till företagsspionage?
Francois Xavier d’Entrecolles i Jingdezhen i Kina som avslöjade tillverkningsmetoderna för kinesiskt porslin för Europa 1712 var ett tidigt fall av industrispionage.
Det finns historiska redogörelser för företagsspionage mellan Storbritannien och Frankrike på 1700-talet, vilket tillskrivs Storbritanniens framväxt som industriell fordringsägare. Det fanns en storskalig statssponsrad insats för att stjäla brittisk industriteknik till Frankrike.
Under 1900-talet blev ekonomiskt spionage mellan öst och väst populärt. Sovjetiskt industrispionage var en välkänd del av deras övergripande spionageverksamhet fram till 1980-talet med många CPU:er som verkade vara nära eller exakta kopior av amerikanska produkter.
Efter Sovjetunionens fall och det kalla krigets slut började många västerländska och före detta kommunistiska länder att använda sina undersysselsatta spioner för internationellt företagsspionage. Inte bara personalen omfördelades utan även spionageutrustning som datadatabaser, avlyssningsverktyg, spionsatelliter, mikrofoner och kablar användes för industrispionage.
Vad är anmärkningsvärda exempel på industrispionage?
- Hewlett-Packard: 2006 anlitade Hewlett-Packard, i ett försök att ta reda på vilka hemligheter som läckts ut till pressen, utredare som använde sig av ”pretexting”, en bedräglig och olaglig metod för att få tag på privat information, för att samla in telefonlistorna från flera reportrar. Hewlett-Packard betalade slutligen 14,5 miljoner dollar till delstaten Kalifornien och ytterligare pengar till de reportrar som företaget spionerade på.
- IBM och Texas Instruments: Mellan 1987 och 1989 trodde man att IBM och Texas Instruments var måltavlor för franska spioner i syfte att hjälpa franska Groupe Bull.
- General Motors: Opel, General Motors Germain-division, anklagade Volkswagen för industrispionage 1993 efter att Opels produktionschef och sju andra chefer flyttat till Volkswagen. Fallet löstes 1997 där Volkswagen gick med på att betala General Motors 100 miljoner dollar och att köpa bildelar för minst 1 miljard dollar från under 7 år.
- Google: Den 13 januari 2010 meddelade Google att operatörer från Kina hade hackat sig in i deras Google China-verksamhet och stulit immateriella rättigheter och fått tillgång till e-postkonton tillhörande människorättsaktivister. Attacken tros ha varit en del av en omfattande cyberattack mot företag i Kina och har blivit känd som Operation Aurora.
- Oracle: År 2000 ertappades Oracle med att betala utredare för att skaffa sig Microsofts skräp eftersom de misstänkte att företaget betalade två förment oberoende forskningsorganisationer för att släppa Microsoft-vänliga rapporter.
- Gillette: År 1997 hade en processtyrningsingenjör vid Wright Industries Inc, en underleverantör till Gillette, degraderats till en lägre roll i företagets Mach 3-projekt och bestämde sig för att skicka affärshemligheter till flera Gillette-rivaler. Schick rapporterade handlingen till Gillette som involverade FBI.
Hur UpGuard kan skydda din organisation från dataintrång och dataläckage
Det råder ingen tvekan om att cybersäkerhet är viktigare än någonsin tidigare. Det är därför företag som Intercontinental Exchange, Taylor Fry, New York Stock Exchange, IAG, First State Super, Akamai, Morningstar och NASA använder UpGuard för att skydda sina data och förhindra dataintrång.
Vi är experter på dataintrång, faktiskt har vår forskning om dataintrång presenterats i New York Times, Bloomberg, Washington Post, Forbes, Reuters och Techcrunch.
UpGuard BreachSight kan hjälpa till att bekämpa typosquatting, förebygga dataintrång och dataläckage, undvika myndighetsböter och skydda kundernas förtroende genom cybersäkerhetsbedömningar och kontinuerlig upptäckt av exponering.
UpGuard Vendor Risk kan minimera den tid som din organisation spenderar på att hantera relationer med tredje part genom att automatisera frågeformulär för leverantörer och kontinuerligt övervaka dina leverantörers säkerhetsställning över tid samtidigt som de jämförs med sin bransch.
Varje leverantör bedöms utifrån mer än 50 kriterier, t.ex. förekomst av SSL och DNSSEC samt risk för domänkapning, man-in-the-middle-attacker och e-postförfalskning för phishing.
Varje dag ger vår plattform dina leverantörer en Cyber Security Rating på 950. Vi kan till och med varna dig om deras poäng sjunker.
Boka en demo idag.