Publikacje

Świadomość zagrożeń wynikająca z zagrożenia szpiegostwem przemysłowym/korporacyjnym rośnie z każdym rokiem. Głośne przypadki szpiegów przemysłowych wynoszących tajemnice firm i narażających je na wielomilionowe straty, działają na wyobraźnię menadżerów i prezesów. Dotyczy to przede wszystkim dużych przedsiębiorstw i korporacji, chociaż wykradanie tajemnic w mniejszych organizacjach gospodarczych jest równie nagminne. Bardzo często w małych firmach fakty wykrycia przypadków szpiegostwa przemysłowego, z różnych względów nie są nagłaśniane, a przeciwnie ukrywane, w obawie przed utratą kontrahentów, zemstą tych „wielkich” lub po prostu z braku środków na procesy sądowe. Zdarza się również, że firmy nie zdają sobie nawet sprawy z tego, że wykradziono ich nowe technologie, rozwiązania organizacyjne czy przygotowywane miesiącami reklamowe akcje promocyjne. Nie są w stanie poprzeć dowodami, swoich niejasnych podejrzeń wobec konkurencji.

Aby uchronić firmę przed ogromnymi nieraz startami, wynikającego ze szpiegostwa przemysłowego, zarząd korporacji musi mieć przede wszystkim świadomość istnienia szpiegostwa korporacyjnego i wynikających stąd zagrożeń dla bezpieczeństwa instytucji. Polityka bezpieczeństwa organizacji powinna wskazywać, jak zarządzać, chronić i dystrybuować informacje, a procedury opracowane na jej podstawie powinny odzwierciedlać to, w jaki sposób polityka bezpieczeństwa ma być implementowana. Poza tym każda organizacja gospodarcza, która chce skutecznie zmierzyć się z problemem szpiegostwa przemysłowego powinna wypracować swego rodzaju kulturę bezpieczeństwa powodującą, że dbałość o ochronę informacji nie będzie jednorazową akcją. Organizacja musi wypracować atmosferę docenienia przez personel znaczenia bezpieczeństwa informacyjnego i atmosferę codziennej, osobistej odpowiedzialności za to bezpieczeństwo. No i jeszcze jedna bardzo ważna kwestia. Działania szpiegów przemysłowych stają się coraz bardziej profesjonalne, wzorowane na działaniach wywiadów państwowych, a sami agenci ulokowani w firmach lub korporacjach, kierowani są przez byłych oficerów operacyjnych tych wywiadów. O istnieniu szpiegów lub kradzieży cennych informacji organizacja często dowiaduje się, obserwując działania konkurentów.

W dużych zachodnich korporacjach i bankach już wiele lat temu zauważono, że rosnący profesjonalizm szpiegów korporacyjnych wymusza wprowadzenie w firmie/korporacji profesjonalnego przeciwdziałania tj. struktur kontrwywiadu przemysłowego/korporacyjnego. Taka struktura, komórka wywiadowcza powinna prowadzić w firmie nie tylko działalność analityczną, której praca powinna wskazywać skąd mogą pochodzić możliwe zagrożenia szpiegostwem, ostrzegać przed nieuczciwą konkurencją itp., ale również prowadzić operacyjną działalność kontrwywiadowczą.

Ulokowanie takiej komórki w strukturach firmy może być różne, ale powinno zapewniać jej swobodę działania zarówno podczas prowadzenia działań oficjalnych, jak i nieoficjalnych. Jedną z możliwości takiego usytuowania może być wydział (departament) zajmujący się audytem wewnętrznym. Jest to o tyle wygodne, jej pracownicy mogą mieć swobodny dostęp do wyników wszelkich działań kontrolnych wewnątrz firmy, a nawet w nich uczestniczyć, co znacznie ułatwia pracę kontrwywiadowcom. Komórka audytu wewnętrznego dla pracowników kontrwywiadu może być zarówno oficjalnym miejscem zatrudnienia, jak i swego rodzaju instytucją przykrycia, która zabezpiecza ich nieoficjalną pracę operacyjną.

Realizując działania oficjalne, zatrudnieni, jako pracownicy audytu kontrwywiadowcy prowadzą m.in.: analizę stanu bezpieczeństwa firmy, przedstawiają propozycje dot. wdrażania procedur bezpieczeństwa, prowadzą opracowanie i nadzór nad audytami: bezpieczeństwa fizycznego, sieci informatycznych, odporności na atak socjotechniczny, bezpieczeństwa sieci bezprzewodowych, a także prowadzą szkolenia z zakresu ochrony informacji. Sporządzane dodatkowo, na podstawie uzyskanych materiałów, analizy pozwalają na opracowanie zbiorczych analiz kontrwywiadowczych dla kierownictwa.

Natomiast równolegle grupa kontrwywiadu przemysłowego, zatrudniona w audycie, może prowadzić działania nieoficjalne, które sprowadzają się do prowadzenia operacyjnej działalności kontrwywiadowczej, a w tym: pozyskiwanie osobowych źródeł informacji /OZI/ spośród pracowników przedsiębiorstwa, kierowanie tymi OZI, rozpoznanie zagrożeń osobowych dla przedsiębiorstwa, identyfikacja zagrożeń technicznych /podsłuchy, podglądy/, zabezpieczenie ważnych przedsięwzięć organizacji pod względem KW, rozpracowanie wiarygodności potencjalnych partnerów, weryfikacja kadr.

Prowadzenie kontrwywiadowczych działań operacyjnych dla ochrony przedsiębiorstwa jest niezbędne, jeżeli potencjalnym przeciwnikiem jest doskonale przeszkolony i profesjonalnie prowadzony agent (szpieg) przemysłowy. Wyjawienie jego działalności w firmie jest niezmiernie trudne i dopiero wykorzystując osobowe źródła informacji kontrwywiadu, czyli osoby pracujące razem z agentem, spędzające z nim dużo czasu również poza godzinami służbowymi są w stanie wskazać pracownikom KW, jakiś ślad.

W skład komórki kontrwywiadu przemysłowego/korporacyjnego „pod przykryciem”, w zależności od wielkości przedsiębiorstwa wchodzi od kilku do kilkunastu osób. Zazwyczaj jest to kilka (2-5) osób pracujących operacyjnie z osobowymi źródłami informacji, 1-3 osoby zajmujące się bezpieczeństwem teleinformatycznym i 1-2 osoby zajmujące się analizami kontrwywiadowczymi. Oczywiście na tzw. „kontakcie” grupy pozostają pozyskane OZI, czyli informatorzy kontrwywiadu w poszczególnych komórkach organizacyjnych.

Informatorzy ci odnotowują wszelkie symptomy mogące świadczyć o prowadzeniu przez pracowników firmy działalności szpiegowskiej lub mającej na celu kradzież ważnych informacji, do których należą m.in.: pozostawanie w pracy bez potrzeb i bez zgody przełożonych; zabieranie do domu własnych lub innych dokumentów firmowych w postaci papierowej, na dyskach twardych lub innych nośnikach elektronicznych; zbyteczne kopiowanie materiałów, szczególnie, jeśli są to własne materiały pracownika lub materiały niejawne; nie akceptowanie polityki instytucji w zakresie zakazu instalowania własnego oprogramowania na komputerach firmowych, wykorzystywania własnych komputerów; wykonywania nieautoryzowanych przeszukiwań archiwów firmy lub zapisywania niejawnych dokumentów; podejrzane spotkania z konkurencją, partnerami.

Jednym z ważniejszych zagrożeń związanych z infiltracją firmy, obok działalności agenturalnej szpiegów przemysłowych, są również działania socjotechniczne. Socjotechnika, w dużym uproszczeniu — to skłanianie ludzi do tego, by robili rzeczy, których zwykle nie robi się dla nieznajomych. Ochrona przed osobami stosującymi socjotechnikę jest trudna, gdyż wykorzystują oni ludzkie słabości i przyzwyczajenia.

Aby minimalizować ryzyko, należy przygotować pracowników firmy pod kątem odparcia ataku socjotechnicznego. Oznacza to m.in. szkolenie personelu, obejmujące ochronę informacji firmowych przed światem zewnętrznym. W jego zakresie powinny znaleźć się instrukcje:

• dla pracowników - związane z kontrolą dostępu do pomieszczeń firmy;
• dla pracowników-handlowców - jak powinni reagować na próby wypytywania o informacje z firmy;
• dot. rozmów z osobami podającymi się za dziennikarzy branżowych;
• dot. bezpiecznego publikowania informacji o firmie w Internecie;
• dot. upubliczniania szczegółów technicznych i technologicznych oraz programów marketingowych produktu;
• dot. powstrzymywania się od dyskusji technologicznych, a także na tematy objęte tajemnicą handlową na konferencjach - szczególnie dotyczy to   pracowników innych firm, osób postronnych i tych, którzy podają się za dziennikarzy;
• dot. analizy treści ogłoszeń zatrudnienia nowych pracowników przed umieszczeniem w prasie. Należy unikać szczegółów dotyczących zakresu wymaganych umiejętności, w tym obsługi specjalistycznego sprzętu i oprogramowania;
• obchodzenia się z nieaktualną dokumentacją i nieudanymi prototypami;
• kontroli dostępu do kopiarek;
• kontroli dostępu do podsieci dla gości.

We współczesnym biznesie organizacje gospodarcze, które bagatelizują swoje bezpieczeństwo informacyjne nie mogą liczyć na powodzenie. Wcześniej czy później spotkają się z nieuczciwą konkurencją, która wykorzystując ich braki w systemie bezpieczeństwa wewnętrznego, podejmą próby dotarcia do ich tajemnic, pozyskując pracownika, jako agenta lub wykorzystując sztuczki socjotechniczne. Dlatego kwestie przeciwdziałania szpiegostwu przemysłowemu warto traktować poważnie biorąc sobie do serca chociażby "Złote reguły prewencji", które niemiecki Federalny Urząd Ochrony Konstytucji, opracował dla niemieckich przedsiębiorców. Stwierdzają one m.in., że nie należy czekać, aż firma stanie się celem szpiegostwa, a podejmować aktywne przeciwdziałanie. Zalecają one również traktowanie ochrony informacji, jako nie tylko taktyczny, ale także strategiczny czynnik sukcesu.