Oczywistym jest, że firmy – zwłaszcza te duże – zbierają informacje o swoich rywalach rynkowych. Taki rekonesans jest dopuszczalny, dopóki mieści się w ramach legalnej działalności, np. białego wywiadu, stanowiącego formę wywiadu gospodarczego i nie zaczyna wypełniać znamion szpiegostwa przemysłowego, czy innej formy działalności przestępczej.
Legalne i nielegalne pozyskiwanie informacji
Biały wywiad, jak już wielokrotnie pisaliśmy, polega na pozyskiwaniu informacji z ogólnodostępnych źródeł. Są to zatem informacje upublicznione przez osobę, czy podmiot, których dotyczą, bądź znajdujące się w publicznych rejestrach, bądź bazach danych, do których dostęp może uzyskać każdy. Pozyskiwanie informacji w taki sposób jest jak najbardziej legalne, a zdobycie określonych materiałów uzależnione jest często od świadomości osoby prowadzącej wywiad odnośnie tego, gdzie należy szukać, by pozyskać możliwie najwięcej informacji. Jeśli chodzi np. o osoby fizyczne to można przeszukiwać chociażby publiczne rejestry pod kątem prowadzonej przez nie działalności gospodarczej oraz powiązań biznesowych z innymi podmiotami. Z kolei użycie narzędzi pozwalających na kojarzenie relacji oraz aktywności danej osoby w mediach społecznościowych pozwala wskazać siatkę jej bliższych i dalszych znajomości, zainteresowań oraz udzielania się na forum publicznym na przestrzeni wielu lat.
Wiele osób nie zdaje sobie sprawy, że samo inwigilowanie osoby fizycznej, bądź przedsiębiorstwa, polegające na poszukiwaniu wiadomości na temat prowadzonej przez niego działalności, jest zgodne z prawem, mimo, że czasami może być nieetyczne. Czasami jednak tak pojmowaną działalność wywiadowczą, od pozyskiwania informacji na granicy prawa, bądź wręcz poza nim, dzieli tylko krok.
Szpiegostwo przemysłowe – wejście na drogę przestępczą
Szpiegostwo przemysłowe (określane także jako szpiegostwo korporacyjne, czy szpiegostwo gospodarcze) to forma zdobywania informacji w sposób sprzeczny z prawem. Najczęściej kojarzone jest z działalnością wywiadowczą „kreta” zatrudnionego w strukturach konkurencji, jednak istnieje wiele technik składających się na ten przestępczy proceder, w tym:
1.Wkroczenie do obiektów konkurenta w celu uzyskania dostępu do dokumentów, bądź informacji składających się na tajemnicę przedsiębiorstwa
2. Założenie urządzeń podsłuchowych u konkurenta
3. Włamanie do sieci komputerowej konkurenta, bądź pojedynczych stacji roboczych
4. Atakowanie witryny internetowej konkurenta złośliwym oprogramowaniem
Najczęstszą postacią szpiegostwa korporacyjnego jest zwerbowanie niezadowolonego pracownika organizacji, który najczęściej w zamian za niewielką gratyfikację finansową przekazuje tajemnice firmowe obcym podmiotom. Czasami bywa i tak, że osoba przekazująca dane robi to niejako z zemsty na pracodawcy i bardziej satysfakcjonujący jest dla niej sam fakt możliwości zaszkodzenia szefostwu, niż wymiar finansowy. Choć zdarza się i tak, że osoba choć co prawda chce dopiec pracodawcy, to nie ma zamiaru wyrządzać wielkich szkód – bardziej zależy jej na zwróceniu na siebie uwagi, zastaniu docenioną, czy pochwaloną za swą pracę. Niemniej jednak jej szpiegowska działalność zwykle wymyka się spod kontroli i przynosi niezwykle negatywne następstwa.
Bardzo często najsłabszym ogniwem w zakresie ochrony tajemnicy przedsiębiorstwa jest osoba z samego dołu firmowej hierarchii, która z racji pozornie małej wagi pracy, którą wykonuje, bywa traktowana niemal jak duch, tzn. dla osób piastujących wyższe stanowiska jest niezauważalna, jak np. sprzątaczka, czy konserwator. Niemniej jednak, paradoksalnie, z uwagi na obowiązki realizowane na rzecz firmy, osoby te mają dostęp do praktycznie wszystkich pomieszczeń, stąd łatwość założenia podsłuchu, czy wykonania kopii dokumentacji. W wielu przypadkach złodziejem firmowych tajemnic okazuje się osoba przechodząca do konkurencji, która z bazy wykradzionej dotychczasowemu pracodawcy robi kartę przetargową w procesie rekrutacji u nowego pracodawcy.
Wszystkie te działania, mimo, że z punktu widzenia sprawcy wydają się być tylko drobnym przewinieniem, ponieważ wiele osób nadal przymyka oko na okradanie pracodawcy, to stanowią czyny nieuczciwej konkurencji objęte m.in. art. 12 pkt. 1 ustawy z dnia 16 kwietnia 1993 roku o zwalczaniu nieuczciwej konkurencji, który stanowi:
Czynem nieuczciwej konkurencji jest nakłanianie osoby świadczącej na rzecz przedsiębiorcy pracę, na podstawie stosunku pracy lub innego stosunku prawnego, do niewykonania lub nienależytego wykonania obowiązków pracowniczych albo innych obowiązków umownych, w celu przysporzenia korzyści sobie lub osobom trzecim albo szkodzenia przedsiębiorcy.
O odpowiedzialności karnej za szpiegostwo przemysłowe pisaliśmy w artykule Charakter prawny szpiegostwa przemysłowego.
Szpiegostwo technologiczne
Biorąc pod uwagę przeniesienie funkcjonowania większości przedsiębiorstw i organizacji do wymiaru cyfrowego, współczesne szpiegostwo gospodarcze, sprowadza się w dużej mierze do kradzieży danych elektronicznych. By uzyskać dostęp do cyfrowych zasobów konkurencji wystarczy włamać się do jej sieci (która nie zawsze jest odpowiednio zabezpieczona), bądź przejąć chociażby komputer pracujący w sekretariacie firmy, np. poprzez zainstalowanie na nim keyloggera, bądź oprogramowania pozwalającego na bieżący podgląd treści wyświetlanych na monitorze urządzenia.
Bardziej zaawansowaną postacią szpiegostwa są akcje sabotażowe polegające na niszczeniu danych cyfrowych konkurencji, bądź atakowaniu jej domeny internetowej oraz stron www, tak by utrudnić kontakt klientów z firmą, bądź osłabić jej pozycję rynkową. Z tego powodu – z obawy przed odbiorem społecznym, w tym utratą zaufania klientów, firmy wybierają mniejsze zło i wiele przypadków szpiegostwa w ogóle nie jest zgłaszanych odpowiednim służbom.
I w błędzie jest ten kto uważa, że szpiegostwo przemysłowe dotyczy wyłącznie wielkich korporacji. Najczęstszymi ofiarami swych pracowników padają małe i średnie firmy, które często nie potrafią nawet nazwać zjawiska, które ich dotknęło. Bo co ma powiedzieć mała, rodzinna firma sprzątająca, której jedyny handlowiec odpowiedzialny za pozyskiwanie nowych kontaktów odchodzi z pracy, zabierając ze sobą nie tylko całą bazę kontaktów, a także część klientów. Działanie takie stanowi nic innego jak najczystszą postać szpiegostwa przemysłowego. Jednakże niska świadomość prawna mikroprzedsiębiorców, a także lęk przed kontaktami z wymiarem sprawiedliwości sprawia, że właściciele nie podejmują często żadnej akcji przeciwko nieuczciwym pracownikom.
Jak walczyć ze szpiegostwem przemysłowym?
Akty szpiegostwa przemysłowego każdego roku kosztują firmy na całym świecie miliony dolarów. Wykradanie własności intelektualnej – patentów, pomysłów oraz gotowych projektów to już standard w przemyśle motoryzacyjnym oraz w firmach technologicznych. Producenci mają świadomość, że wygrywa ten, kto pierwszy skomercjalizuje dobry pomysł.
Dokładna skala szpiegostwa przemysłowego w naszym kraju nie jest znana – po pierwsze nikt nie prowadzi oficjalnych statystyk w tym zakresie, po drugie – przedsiębiorcy często nie zdają sobie sprawy z faktu, iż stali się ofiarami szpiegostwa, bądź nie zgłaszają incydentów służbom. Dlatego tak naprawdę nie wiadomo ilu naszych rodzimych przedsiębiorców pada rokrocznie ofiarami cyberszpiegow. I choć nie istnieją niezawodne mechanizmy zapobiegające aktom szpiegostwa przemysłowego, to warto podejmować działania mające na celu minimalizację potencjalnych zagrożeń. Co zatem można zrobić?
Przede wszystkim warto wdrożyć i przestrzegać w firmie (nawet małej) polityki bezpieczeństwa, obejmującej tajemnicę przedsiębiorstwa oraz cyfrowe zasoby organizacji. W tym celu konieczne jest zdefiniowanie, które obszary stanowią tajemnicę przedsiębiorstwa oraz ustalenie mechanizmów jej ochrony przed osobami nieuprawnionymi. W odniesieniu do osób piastujących stanowiska związane z dostępem do poufnych danych korporacyjnych, w umowach łączących je z przedsiębiorstwem należy uwzględnić zapisy przewidujące odpowiedzialność za złamanie nakazu poufności. Poza tym, konieczne jest odpowiednie wyedukowanie całego personelu, który należy uczulać na niebezpieczeństwa czyhające z zewnątrz, a jednocześnie ostrzegać przed odpowiedzialnością cywilną i karną za przestępczą działalność szpiegowską.
Po drugie należy dbać o bezpieczeństwo zasobów cyfrowych, tak by zminimalizować ryzyko ataków hakerskich zagrażających danym elektronicznym. Jak wynika z badania przeprowadzonego na zlecenie Urzędu Komunikacji Elektronicznej Badanie opinii publicznej w zakresie funkcjonowania rynku usług telekomunikacyjnych oraz preferencji konsumentów/ klientów instytucjonalnych – 88,2% badanych przedsiębiorców – mikro -, małych i średnich przedsiębiorstw nie zatrudnia osoób odpowiedzialnych za zabezpieczenie sieci i bezpieczeństwo danych.
Informatyka śledcza w walce ze szpiegostwem przemysłowym
Choć wielu przedsiębiorców ma świadomość kradzieży danych przez osoby współpracujące z organizacją, to nie zawsze wiedzą jak pozyskać dowody na poparcie swych podejrzeń. W kwestii kradzieży zasobów cyfrowych z pomocą przychodzi informatyka śledcza. Narzędzia jakimi dysponują eksperci z zakresu computer forensic pozwalają na identyfikację i wskazanie sprawców kradzieży informacji stanowiących tajemnicę przedsiębiorstwa. Współpraca z laboratorium informatyki śledczej pozwala na dostarczenie twardych dowodów elektronicznych na nielojalność oraz przestępczą działalność personelu, które mogą zostać wykorzystane w procesie sądowym. Ekspert nie tylko opracuje raport z przeprowadzonych prac, ale może wystąpić również przez sądem jako biegły z zakresu informatyki śledczej.
Cyfrowe zasoby współczesnych firm i instytucji stanowią często ich podstawową wartość, dlatego coraz większy nacisk kładzie się na kwestie cyberbezpieczeństwa wewnątrz organizacji. Niemniej, w razie naruszenia tajemnic firmowych narzędzia wykorzystywane w informatyce śledczej pozwalają na skuteczną walkę z nieuczciwością pracowników oraz konkurencji.