Jak walczyć ze szpiegostwem przemysłowym

Jak walczyć ze szpiegostwem przemysłowym

09/12/2014

Gdy dzięki innowacyjności lub modelowi biznesowemu twoja firma zaczyna błyszczeć, bądź pewien, że są na nią zwrócone nie tylko oczy klientów. Jeśli zaś myślisz, że twojego rynku szpiegostwo przemysłowe nie dotyczy, to jesteś w błędzie.

W tajnej służbie jej przebiegłej konkurencji
Gdy w połowie XIX w. botanik Robert Fortune na zlecenie Brytyjskiej Kompanii Wschodnioindyjskiej wykradł sposób uprawy chińskiej herbaty oraz jej sadzonki, spółce udało się przełamać monopol Chińczyków na rynku herbaty. Nie do końca wiadomo, jakie informacje zabrał szef zakupów Opla J.I. Lopez, odchodząc w 1993 r. do Volkswagena, jednak zakończony ugodą czteroletni proces pomiędzy VW a właścicielem Opla – General Motors – o wartości 100 mln dolarów oraz upowszechnienie wśród menedżerów GM trzyletniego zakazu konkurencji, wskazują, że nie były to jedynie numery telefonów wewnętrznych…

O ile szpiegostwo polityczne przemawia do wyobraźni dzięki licznym filmom, to wiele osób nie zdaje sobie sprawy z tego, czym właściwie jest szpiegostwo przemysłowe zwane też gospodarczym lub ekonomicznym (ang. industrial/economic espionage). Możemy przyjąć, że jest to bezprawne – wbrew woli uprawnionego – pozyskanie wiedzy stanowiącej tajemnicę jego przedsiębiorstwa. Tajemnica przedsiębiorstwa została zdefiniowana w ustawie z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji jako „nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności”. Rynek ma na to krótsze określenie – know-how.

Wiedza pozyskana przez przedsiębiorców podlega ochronie prawnej. W zależności od charakteru firmy, przedmiotu know-how oraz rodzaju naruszenia będzie się zmieniać jej intensywność. Prawo polskie w sposób szczególny traktuje interesy ekonomiczne państwa, powierzając ich ochronę Agencji Bezpieczeństwa Wewnętrznego. „Interesy” te obejmują zarówno technologie, jak i spółki czy poszczególne projekty strategiczne dla polskiej gospodarki. Szpiegostwo na ich szkodę stanowi zbrodnię zagrożoną karą od 3 do 15 lat pozbawienia wolności. W wypadku podmiotów prywatnych muszą one same zapewnić sobie ochronę „kontrwywiadowczą”, jednak gdy występują naruszenia, mogą liczyć na pomoc prokuratury i policji na podstawie przepisów dotyczących przestępstw przeciwko ochronie informacji.

Dokładna skala szpiegostwa przemysłowego nie jest w Polsce znana, co wynika po części z niewiedzy niektórych przedsiębiorców, że stali się ofiarami, z niechęci przyznania się, że byli ofiarą, a przede wszystkim z faktu, że organy państwowe nie prowadzą miarodajnej statystyki w tym zakresie. Co do tego, że problem dotyczy naszego kraju, nie może być wątpliwości. Niedawno firma Symantec pisała na swoim blogu o działaniu grupy Dragonfly infiltrującej m.in. polskie spółki energetyczne. Wobec coraz częściej powstających w naszym kraju strategicznych technologii (wspomnieć można tylko dwie najgłośniejsze w ostatnich latach – niebieski laser oraz innowacyjny sposób wytwarzania grafenu) brak kompleksowych danych powinien niepokoić. Firmy mogą być bowiem infiltrowane nie tylko przez konkurencję lokalną czy globalną, ale również przez wywiady państwowe pozyskujące technologie dla swoich gospodarek, jak to robią Amerykanie, Brytyjczycy i Francuzi, a obecnie na znaczną skalę również Chińczycy i Rosjanie.

Jak walczyć ze szpiegostwem przemysłowym

Luka, szpieg, zdrajca, kret
Można wskazać cztery główne drogi, którymi nieuczciwi konkurenci starają się dostać do celu. Pierwszą jest przełamanie zabezpieczeń informatycznych i uzyskanie dostępu do bazy danych upatrzonej firmy, jak to było w wypadku Dragonfly. Drugą jest przekupienie obecnego lub odchodzącego pracownika do „wyniesienia” informacji. Trzecią – wprowadzenie do celu „swojego” człowieka, ostatnią zaś – manipulacja pracownikami konkurenta posiadającymi strategiczne informacje za pomocą metod socjotechnicznych. Na marginesie można wspomnieć o środkach takich jak laserowe mikrofony służące do podsłuchów na odległość czy metodzie „na kelnera” wykorzystej w czasie tzw. afery taśmowej.

Wydaje się, że właśnie droga „pracownicza” wydaje się najprostsza dla konkurencji. Twoje biuro ma siedzibę w centrum dużego miasta? Zakładasz, że w przerwie obiadowej lub „na papierosa” pracownicy rozmawiają wyłącznie o polityce, sporcie i sprawach osobistych? Niepokoi cię jednak, że konkurencyjna firma zaoferowała twojemu głównemu klientowi usługę na dokładnie takich samych warunkach, ale taniej?

Ochrona prawna
Jeśli dojdzie do naruszenia tajemnicy przedsiębiorstwa, twoja firma ma prawne środki cywilne i karne zarówno przeciwko „szpiegom”, jak i ich zleceniodawcom. Gdy chodzi o prywatnych przedsiębiorców, poza żądaniem usunięcia szkody i wypłaty odszkodowania możliwa jest droga karna na podstawie przepisów o ochronie informacji. W zależności od specyfiki poszczególne przypadki mogą się kwalifikować pod przepisy o ochronie własności przemysłowej i prawa konkurencji. Warto mieć na uwadze, że w wypadku przestępstwa przeciwko „istotnym polskim interesom gospodarczym” polskie prawo karne ma zastosowanie nawet w stosunku do cudzoziemców działających zagranicą.

Pozostaje pytanie, czy kara więzienia do lat dwóch (a przy włamaniu hakerskim do systemu nawet do lat pięciu) dla wykradającego lub ujawniającego informację i jego zleceniodawcy oraz obowiązek zapłaty odszkodowania wskutek wielomiesięcznego procesu (czas po uzyskaniu strategicznych informacji!), skutecznie odstrasza od działań bezprawnych.

Największym problemem związanym z dochodzeniem swoich interesów jest zebranie dowodów naruszenia prawa. Przykład Opla i VW pokazuje, że dobrze przygotowana sprawa może doprowadzić do wysokich odszkodowań, jednak podobnie jak we wszystkich obszarach ryzyka gospodarczego – najlepiej go unikać.

Procedury i świadomi pracownicy
Pierwszym krokiem służącym ochronie przed szpiegostwem przemysłowym jest zdanie sobie sprawy z tego, że jego ofiarą może paść każdy przedsiębiorca – zarówno firma hi-tech, spółka zbrojeniowa czy lokalna piekarnia wypiekająca popularny „chleb życia”. Sukces przyciąga uwagę.

Przy wskazaniu kolejnych kroków warto posłużyć się modelem zalecanym amerykańskim firmom przez FBI: rozpoznaj zagrożenie, ustal i dokonaj wartościowania tajemnicy przedsiębiorstwa, wprowadź program ochrony tajemnicy przedsiębiorstwa, zabezpiecz materialne przejawy tajemnicy przedsiębiorstwa i ogranicz do nich dostęp, wprowadź szkolenia bezpieczeństwa dla pracowników oraz rozwiń program przeciwko zagrożeniu wewnętrznemu.

Pewną wskazówką mogą być również standardy ustalone dla ochrony tajemnic państwowych. Choć niewiele firm może pozwolić sobie na urządzenia klasy TEMPEST, to stosowane procedury warte są uwagi. W końcu to procedury, a nie symboliczny sejf chronią tajemną formułę coca-coli.

Przy tworzeniu systemu ochrony, nawet z pomocą wyspecjalizowanych firm, konieczna jest jego weryfikacja z przepisami prawa pracy i ochrony danych osobowych, które mogą stanowić ograniczenie przy stosowaniu takich środków jak czytnik linii papilarnych przy drzwiach pokoju, w którym przechowuje się kluczowe dane.

Rozważni przedsiębiorcy w kontraktach pracowniczych i menedżerskich posługują się odpowiednio skonstruowanymi i dostosowanymi do specyfiki stanowiska klauzulami poufności, zakazu konkurencji oraz zwiększonej odpowiedzialności za określone zdarzenia. Obok szkoleń z procedur wewnętrznych i bezpieczeństwa istotne będą również szkolenia podnoszące świadomość prawną pracowników i menedżerów co do ich obowiązków i odpowiedzialności związanej z tajemnicą przedsiębiorstwa. W końcu twierdz nie bronią mury, lecz ludzie.

Ostatnią kwestią związaną z ochroną firmy przed szpiegostwem przemysłowym jest unikanie paranoi i proporcja środków do ryzyka. Zagrożenie szpiegostwem przemysłowym nie powinno być głównym przedmiotem działań firmy ani powodować utraty zaufania do pracowników.