Jak walczyć ze szpiegostwem przemysłowym?

Gdy dzięki innowacyjności lub modelowi biznesowemu twoja firma zaczyna błyszczeć bądź pewien, że nie tylko oczy klientów są na nią zwrócone. Jeśli zaś myślisz, że twojego rynku szpiegostwo przemysłowe nie dotyczy to jesteś w błędzie.

W tajnej służbie jej przebiegłej konkurencji

Co łączy chińskich plantatorów herbaty z General Motors? Straty z utraty tajemnic. Gdy w połowie XIX w. botanik Robert Fortune wykradł sposób uprawy oraz sadzonki chińskiej herbaty na zlecenie Brytyjskiej Kompanii Wschodnioindyjskiej, spółce udało się przełamać monopol Chińczyków na rynku herbaty. Nie do końca wiadomo jakie informacje zabrał odchodząc w 1993 r. do Volkswagena szef zakupów Opla J. I. Lopez, jednak czteroletni proces zakończony ugodą pomiędzy VW a właścicielem Opla – General Motors o wartości 100 mln. dolarów oraz upowszechnienie wśród menedżerów GM trzyletniego zakazu konkurencji wskazują, że nie były to numery telefonów wewnętrznych.

O ile szpiegostwo polityczne przemawia do wyobraźni dzięki licznym filmom, to dla wielu nie jest jasne czym właściwie jest szpiegostwo przemysłowe, zwane też gospodarczym lub ekonomicznym (ang. industrial/economic espionage). Możemy przyjąć, że jest to bezprawne pozyskanie wbrew woli uprawnionego wiedzy stanowiącej tajemnicę jego przedsiębiorstwa. Tajemnica przedsiębiorstwa została zdefiniowana w ustawie z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji jako nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. Rynek ma na to krótsze określenie – know-how.

Wiedza rozwijana przez przedsiębiorców podlega ochronie prawnej. W zależności od charakteru firmy, przedmiotu know-how oraz rodzaju naruszenia będzie się zmieniać jej intensywność. Prawo polskie w sposób szczególny traktuje interesy ekonomiczne państwa powierzając ich ochronę Agencji Bezpieczeństwa Wewnętrznego. „Interesy” te obejmują technologie jak i spółki czy poszczególne projekty strategiczne dla polskiej gospodarki. Szpiegostwo na ich szkodę stanowi zbrodnię zagrożoną karą od 3 do 15 lat pozbawienia wolności. W przypadku podmiotów prywatnych muszą one same zapewnić sobie ochronę „kontrwywiadowczą”, jednak gdy występują naruszenia mogą liczyć na pomoc prokuratury i policji w oparciu o przepisy dotyczące przestępstw przeciwko ochronie informacji.

Dokładna skala szpiegostwa przemysłowego nie jest w Polsce znana, co wynika po części z niewiedzy niektórych przedsiębiorców, że stali się ofiarami, z niechęci przyznania się, że byli ofiarą, a przede wszystkim z faktu, iż organy państwowe nie prowadzą miarodajnej statystyki w tym zakresie. Co do tego, że problem dotyczy naszego kraju nie może być wątpliwości. Niedawno firma Symantec alarmowała na swoim blogu o działaniu grupy Dragonfly infiltrującej m.in. polskie spółki energetyczne. Wobec powstających coraz częściej w naszym kraju strategicznych technologii (wspomnieć można tylko dwie najgłośniejsze w ostatnich latach – niebieski laser oraz innowacyjny sposób wytwarzania grafenu) brak kompleksowych danych powinien niepokoić. Firmy mogą być bowiem infiltrowane nie tylko przez konkurencję lokalną czy globalną, ale również przez wywiady państwowe pozyskujące technologie dla swoich gospodarek, jak to robią Amerykanie, Brytyjczycy i Francuzi, a obecnie na znaczną skalę – Chińczycy i Rosjanie.

Luka, szpieg, zdrajca, kret

Można wskazać cztery główne drogi, którymi nieuczciwi konkurenci starają się dostać do celu. Pierwszą jest przełamanie zabezpieczeń informatycznych i uzyskanie dostępu do bazy danych upatrzonej firmy, jak w przypadku Dragonfly. Drugą jest przekupienie obecnego lub odchodzącego pracownika do „wyniesienia” informacji. Trzecią jest wprowadzenie do celu „swojego” człowieka, zaś ostatnią – manipulacja pracownikami konkurenta posiadającymi strategiczne informacje za pomocą metod socjotechnicznych. Na marginesie można wspomnieć takie środki jak laserowe mikrofony służące do podsłuchów na odległość, czy metodę „na kelnera”, wykorzystywaną w czasie tzw. afery taśmowej.

Wydaje się, że właśnie droga „pracownicza” wydaje się najprostsza dla konkurencji. Twoje biuro ma siedzibę w centrum dużego miasta? Zakładasz, że w przerwie obiadowej lub „na papierosa” pracownicy rozmawiają wyłącznie o polityce, sporcie i sprawach osobistych? Niepokoi cię jednak, że konkurencyjna firma zaoferowała twojemu głównemu klientowi usługę na dokładnie takich samych warunkach, ale taniej?

Ochrona prawna

W przypadku naruszenia tajemnicy przedsiębiorstwa twoja firma ma prawne środki cywilne i karne zarówno przeciwko „szpiegom” jak i ich zleceniodawcom. W przypadku prywatnych przedsiębiorców poza żądaniem usunięcia szkody (np. odszkodowanie), możliwa jest droga karna na podstawie przepisów o ochronie informacji. W zależności od specyfiki poszczególne przypadki mogą się kwalifikować pod przepisy o ochronie własności przemysłowej i prawa konkurencji. Warto mieć na uwadze, że w przypadku przestępstwa przeciwko „istotnym polskim interesom gospodarczym” polskie prawo karne ma zastosowanie nawet w stosunku do cudzoziemców działających zagranicą.

Pytaniem jest, czy kara więzienia do lat 2 (przy włamaniu hakerskim do systemu nawet do lat 5) dla wykradającego lub ujawniającego informację i jego zleceniodawcy oraz obowiązek zapłaty odszkodowania wskutek wielomiesięcznego procesu (czas po uzyskaniu strategicznych informacji!), stanowi odstraszenie dla bezprawnych działań.

Największym problemem związanym z dochodzeniem ochrony swoich interesów jest zebranie dowodów naruszenia. Przykład Opla i VW pokazuje, że dobrze przygotowana sprawa może doprowadzić do wysokich odszkodowań, jednak podobnie jak we wszystkich obszarach ryzyka gospodarczego – najlepiej go unikać.

Procedury i świadomi pracownicy

Pierwszym krokiem służącym ochronie przed szpiegostwem przemysłowym jest zdanie sobie sprawy z tego, że jego ofiarą może paść każdy przedsiębiorca – zarówno firma hi-tech, spółka zbrojeniowa czy lokalna piekarnia wypiekająca popularny „chleb życia”. Sukces przyciąga uwagę.

Przy wskazaniu kolejnych kroków warto posłużyć się modelem zalecanym amerykańskim firmom przez FBI (i) rozpoznaj zagrożenie; (ii) ustal i dokonaj wartościowania tajemnicy przedsiębiorstwa; (iii) wprowadź program ochrony tajemnicy przedsiębiorstwa; (iv) zabezpiecz materialne przejawy tajemnicy przedsiębiorstwa i ogranicz do nich dostęp; (v) wprowadź szkolenia bezpieczeństwa dla pracowników oraz (vi) rozwiń program przeciwko zagrożeniu wewnętrznemu.

Pewną wskazówką mogą być również standardy ustalone dla ochrony tajemnic państwowych. Choć niewiele firm może pozwolić sobie na urządzenia klasy TEMPEST, to stosowane procedury warte są uwagi. W końcu to procedury, a nie symboliczny sejf, chronią tajemną formułę Coca-Coli.

Przy tworzeniu systemu ochrony, nawet z pomocą wyspecjalizowanych firm, konieczna jest jego weryfikacja z przepisami prawa pracy i ochrony danych osobowych, które mogą stanowić ograniczenie przy stosowaniu takich środków jak czytnik linii papilarnych przy pokoju z danymi kluczowymi.

Rozważni przedsiębiorcy posługują się w kontraktach pracowniczych i menedżerskich odpowiednio skonstruowanymi i dostosowanymi do specyfiki stanowiska klauzulami poufności, zakazu konkurencji oraz zwiększonej odpowiedzialności za określone zdarzenia. Obok szkoleń z procedur wewnętrznych i bezpieczeństwa istotne będą również szkolenia podnoszące świadomość prawną pracowników i menedżerów co do ich obowiązków i odpowiedzialności związanej z tajemnicą przedsiębiorstwa. W końcu twierdz nie bronią mury, lecz ludzie.

Ostatnią kwestią związaną z ochroną firmy przed szpiegostwem przemysłowym jest unikanie paranoi i  proporcja środków do ryzyka. Zagrożenie szpiegostwem przemysłowym nie powinno być głównym przedmiotem działań firmy ani powodować utraty zaufania do pracowników.