CEO (Chief Executive Officer)

Označuje nejvýše postaveného člověka ve firmě, který celou společnost vede. Spolupracuje s ostatními řediteli, jejichž činnost řídí, koordinuje a kontroluje. Vytváří celkovou strategii a politiku směřování společnosti k vytyčeným cílům.

Jak odhalit a zabránit firemní špionáži

 

Kvalitní zaměstnanci jsou největším bohatstvím každé prosperující instituce nebo společnosti. Zaměstnanci, kteří vytvářejí a používají obchodní tajemství dané firmy, se však mohou stát jednou z největších hrozeb organizace, pokud by tyto informace sdíleli s třetí stranou (např. s konkurencí). V takovém případě se jedná o formu podnikové špionáže.

 

I když firemní špionáž může společnosti způsobit nákladné a kritické problémy, správná detekce a prevence může toto riziko zmírnit. V tomto článku se budeme zabývat vším, co se týká podnikové špionáže, včetně jejích různých forem, běžně postižených odvětví, významných případů a osvědčených postupů, jak se jí vyhnout.

 

Co je to firemní špionáž?

Firemní špionáží se rozumí jednání, při kterém jsou bez souhlasu společnosti převzaty její chráněné informace, duševní vlastnictví nebo obchodní tajemství a předány jiné straně - obvykle za účelem finančního nebo obchodního zisku. Někdy se jí říká "průmyslová špionáž" a zahrnuje širokou škálu jednoduchých i složitých způsobů krádeže informací.

Je důležité si uvědomit, že ačkoli se tyto dva pojmy často spojují, "podniková špionáž" a "hospodářská špionáž" jsou dva odlišné pojmy. Zatímco podniková špionáž je prováděna mezi organizacemi, hospodářská (ekonomická) špionáž probíhá mezi vládami a jedná se o mezinárodní akt.

My se zaměříme na podnikovou špionáž, která se často s hospodářskou překrývá. Důvodem je, že zájmy a priority vlád a podniků se často shodují, což je obzvláště matoucí a tím pádem je obtížné rozlišit formu špionáže.

 

Jaké jsou formy podnikové špionáže?

Širší zastřešení podnikové špionáže zahrnuje několik různých forem tohoto jednání. Mezi dva nejběžnější typy patří např:

Získávání duševního vlastnictví - získávání duševního vlastnictví - známé také jako krádež duševního vlastnictví - je činnost spočívající v krádeži jedinečných vynálezů, nápadů nebo informací od jiných stran za účelem zisku, ať už finančního nebo jiného. Dnešní hyperinovační, globálně konkurenční trh vyžaduje nové nápady, neotřelé informace a nové postupy, což činí ze získávání duševního vlastnictví velmi nebezpečnou hrozbu. Zloději se zmocňují duševního vlastnictví jiné strany, aby získali konkurenční výhodu, zpeněžili výrobek nebo ukradli "tajnou ingredienci", která je hnacím motorem úspěchu určité společnosti. Organizace musí krádeže duševního vlastnictví držet na uzdě, aby se vyhnuly problémům s produktivitou, ztrátě finančních příjmů, dalším dlouhodobým škodám na své značce a životaschopnosti.

Krádež obchodního tajemství - za obchodní tajemství se považuje jakýkoli typ neveřejné informace, která má potenciální ekonomickou hodnotu pro organizaci, jíž patří. Zaměstnanci vytvářejí, přesouvají a sdílejí obchodní tajemství v pravidelné kadenci, což je činí obzvláště obtížně chránitelnými. E-maily, textové zprávy, historie prohlížeče, osobní disky a další informace mohou obsahovat obchodní tajemství, která chtějí škodlivé subjekty ukrást. Jelikož je obtížné zjistit, kdy a kam se obchodní tajemství přesouvá, může dojít k jeho odhalení beze stopy.

 

Metody firemní špionáže

Firemní špionáž není v žádném případě novým pojmem. Ale s tím, jak se organizace rozšiřují a využívají stále více nástrojů a technologií, se nechtěně zvyšují rizika odhalení. Vzhledem k novým možnostem přístupu lze ke shromažďování informací pro nekalé účely použít mnoho metod:

Neoprávněný přístup - neoprávněným přístupem se rozumí jakýkoli případ, kdy osoba (interní nebo externí) získá přístup k sítím, datům, koncovým bodům, zařízením nebo aplikacím bez povolení. Získané informace se použijí k dalšímu přístupu nebo ke zničení systémů a sítí.

Phishing - phishingové útoky obvykle začínají e-mailem, který obsahuje dokument nebo odkaz. Ten se zdá být legitimní, ale ve skutečnosti je pečlivě navržen tak, aby získal informace nebo pronikl do systému či sítě. Přestože existuje několik různých typů phishingových útoků, každý z nich láká uživatele k akci, která následně poskytne útočníkovi informace nebo kontrolu.

SQL injections - SQL injection (někdy nazývaná SQLI) je technika využívající kód SQL k manipulaci se zálohovými databázemi a získání přístupu k neautorizovaným informacím. Útočníci pak mohou databázi prohlížet, upravovat nebo zašifrovat zpravidla za účelem získání výkupného.

Hrozby zevnitř - hrozba zevnitř je pravděpodobně nejneočekávanější metodou firemní špionáže, protože k ní může dojít jak záměrně, tak náhodně (bez odhalení). Ve skutečnosti se považuje za nejobtížněji odhalitelnou hrozbu ze strany interních pracovníků (27 %), která se umístila nad odhalením dat v cloudu (26 %) a malwarem (22 %). K vnitřním hrozbám vede lidská chyba, usnadňování si pracovních povinností a samozřejmě i zlý úmysl zaměstnanců. Tito uživatelé mají často autorizovaný přístup ke klíčovým informacím a datům, což notoricky ztěžuje zmírnění vnitřních hrozeb. Zlomyslní insideři, obchvatníci zabezpečení, nedbalí pracovníci a odcházející zaměstnanci se mohou dopustit firemní špionáže; v konečném důsledku poškodí pověst společnosti a odhalí její chráněné informace.

 

Jaká odvětví jsou běžně postižena firemní špionáží?

Technicky vzato se obětí podnikové špionáže může stát jakýkoli podnik v jakémkoli odvětví. Existuje však několik oblastí, které jsou postiženy častěji než jiné:

Podniky, které navrhují a publikují počítačový software, vyvíjejí nové a cenné produkty, což z nich činí větší cíle podnikové špionáže.

Výroba - útočníci se často pokoušejí ukrást firmám, které navrhují a vyrábějí technologické produkty, informace o tom, jak vyrábějí svůj hardware.

Biotechnologie - zahraniční útočníci využívají podnikovou i ekonomickou špionáž ke krádeži citlivých informací a dat týkající se pokročilé výroby, robotiky a chemických látek.

Letectví a kosmonautika - avionika, návrhy letadel a kosmonautika patří ke dvěma nejčastějším obchodním tajemstvím odhaleným a ukradeným při špionážních akcích v leteckém průmyslu.

Chemický průmysl - průmysloví špioni se zaměřují na chemické společnosti, aby získali údaje o jejich zákaznících, marketingové plány a obchodní tajemství výrobků a získali tak významnou výhodu oproti konkurenci.

Finanční sektor - ve finančním sektoru jsou data ještě cennější než hotovost, zejména proto, že je lze přesouvat anonymně.

Maloobchod - vysoce konkurenční maloobchodní odvětví a společnosti nemají zajištěnou dostatečnou kybernetickou bezpečnost, proto jsou častým cílem špionážních útoků. V rámci maloobchodu dochází k úniku údajů o zákaznících, finančních informacích a marketingových plánech.

 

Data napříč odvětvími vyžadují zvláštní ochranu kvůli časté hrozbě firemní špionáže. Mezi ně patří např:

Zdrojový kód - jedny z nejcennějších údajů, které společnost má, jsou její zdrojové kódy. Vzhledem k tomu, že software většiny podniků jim poskytuje konkurenční výhodu, zlí činitelé kradou data zdrojových kódů, aby je připravili o výhodu, nebo narušováním programování podniku zničili jeho současný provoz.

Informace o zákaznících - mnoho softwarových nástrojů, které podniky používají, uchovává informace o zákaznících (například systémy CRM, software pro správu pohledávek atd.). Útočníci mohou tato citlivá data využít k získání konkurenční výhody nebo zneužití jejich finančních informací.

Finanční informace - útočníci kradou finanční informace, aby zjistili, jak nalákat zákazníky konkurence na výhodnější nabídky.

Marketingové informace - pokud jsou útočníci vyzbrojeni marketingovými údaji, mohou předběhnout vaše marketingové kampaně a zmařit vaše úsilí o získání nových zákazníků.

Obchodní tajemství - obchodní tajemství je obtížné sledovat, spravovat a chránit, protože se neustále vyvíjí v daném prostoru a čase. 

 

Významné případy firemní špionáže

Nezáleží na tom, jak vyspělá nebo uznávaná společnost je - organizace jakékoli velikosti může zažít útok firemní špionáže. Přesto existuje několik známých případů, které si možná vybavíte, když uvidíte tato velká jména v titulcích zpráv:

Google - v roce 2010 byla čínská pobočka společnosti Google napadena hackery, kteří získali přístup k informacím o účtu Gmail čínských aktivistů za lidská práva a podařilo se jim ukrást duševní vlastnictví. Jednalo se o šokující incident, protože se ukázalo, že technologický gigant není vůči záškodníkům zcela imunní.

Oracle - v roce 2000 byla společnost Oracle přistižena (a přiznala se k tomu) při špehování společnosti Microsoft, aby zjistila, zda její nezávislé skupiny pro podporu práv jsou ve skutečnosti krycími organizacemi financovanými společností Microsoft. Společnost Oracle ukradla Microsoftu "skartovaná" data, aby se dostala k jeho obchodním tajemstvím.

Amazon - společnost Amazon se v roce 2020 stala obětí firemní špionáže formou krádeže zevnitř, když jeden ze zaměstnanců odhalil e-mailové adresy zákazníků třetí straně.

Coca-Cola - k dalšímu případu krádeže zevnitř došlo v roce 2021, kdy byl zaměstnanec společnosti Coca-Cola odsouzen za prodej obchodního tajemství týkajícího se bisfenolu A (BPA). Citlivé informace společnosti vyfotografovala svým mobilním telefonem, aby obešla bezpečnostní opatření společnosti.

Gillette - poté, co byla společnost v roce 1997 degradována na nižší pozici, nespokojený subdodavatel společnosti Gillette rozeslal obchodní tajemství několika konkurentům.

 

Jak zabránit firemní špionáži?

Zatímco útočníci neustále vymýšlejí nové metody, jak provádět firemní špionáž, organizace mohou přijmout preventivní opatření, aby pokusy o ni úspěšně omezily. Aby si bezpečnostní týmy udržely náskok před záškodníky, měly by zavést následující osvědčené postupy:

 

1. Zavést zásady přijatelného používání

Protože k odhalení často dochází v důsledku neznalosti v oblasti sdílení informací, je nezbytné vytvořit zásady, které zaměstnance informují o tom, jak správně sdílet firemní data. Všichni zaměstnanci, dodavatelé a zainteresované strany z řad třetích stran by měli mít k těmto pokynům přístup v reálném čase, aby byli dobře informováni o tom, kdo může přistupovat k citlivým datům. Šablona zásad přijatelného používání může vašemu týmu pomoci začít s tím, co do nich zahrnout, a také s tím, jak dokument rozeslat příslušným uživatelům.

 

2. Provádějte hodnocení rizik

Rizika se neustále vyvíjejí, proto je důležité pravidelně vyhodnocovat rizikovou pozici. Důkladné posouzení vám pomůže pochopit, kdo jsou vaši hlavní aktéři hrozeb, jak mohou být ovlivněny vaše kritické procesy a jaké jsou vaše současné možnosti prevence rizik. Zjištěním svých silných i slabých stránek můžete provést potřebné úpravy, abyste udrželi informace vlastněné vaší firmou v co největším bezpečí.

 

3. Ať  bezpečnost není pro zaměstnance překážkou

Vaši zaměstnanci každý den vědomě i nevědomě odhalují a exfiltrují firemní data. I když to nedělají se zlým úmyslem, vytvářejí riziko tím, že nacházejí zkratky, jak rychleji vykonat svou práci (např. používají neautorizované informační technologie bez výslovného schválení). Vaše technologie a politiky by měly bezpečnostnímu týmu umožnit rozlišit zlý úmysl od neznalosti a následně vám umožnit odpovídající reakci. Koneckonců nechcete trestat ani bránit spolupráci zaměstnanců - chcete jen upřednostnit bezpečnost, aniž byste zpomalili celý pracovní proces a komunikaci.

 

4. Buďte cloudově orientovaní, ale onpremis řešení vybalancuje bezpečnost

Není žádným tajemstvím, že cloud-native aplikace jsou na pracovištích napříč všemi odvětvími populárnější, než kdy jindy. Jsou škálovatelné, nákladově efektivní a ideální pro rozptýlené pracovní síly. Organizace by měla přizpůsobit své možnosti a zásady tak, aby podporovala holistické přijetí cloudových aplikací. Bezpečnostní a IT týmy získají větší flexibilitu a kontrolu díky investicím do řešení, která nevyžadují on-prem hardware nebo sítě, protože budou muset chránit pouze data uložená na jednom místě, nikoli na dvou. Přechodem na 100% cloudovou technologii budou odborníci IT investovat do bezpečnostních postupů, které tento přechod podporují. Mohou se následně lépe zaměřit na funkce, jež potřebují k ochraně dat při jejich toku mezi koncovým zařízením a cloudovými aplikacemi.

pozn: On-premise řešení představuje software či hardware, který je uložen v interní infrastruktuře a prostoru společnosti. 

 

Bezpečnostní tým musí pracovat na základě poznání, že žádná společnost není zcela imunní vůči podnikové špionáži. Využitím vhodných procesů, zásad a nástrojů mohou pomoci co nejvíce snížit riziko své firmy. Abyste udrželi firemní informace ve správných rukou, potřebujete sofistikovaná řešení, která udrží na uzdě kybernetické zločince i vnitřní hrozby.

 

VIDEO: Office of the Director of National Intelligence

Jsou Vaši zaměstnanci poučení o riziku průmyslové špionaže na konferencích?

Zdroj: US / The Office of the Director of National Intelligence's official YouTube channel.

---

Zabezpečení CEO je klíčové nejenom pro jeho osobu, ale i pro stabilitu a bezpečnost organizace. Je důležité, aby CEO a jeho tým byli vždy obezřetní a aktivně se podíleli na ochraně své osoby a informací. Bezpečnostní opatření by měla být pravidelně aktualizována a zdokonalována v souladu s nejnovějšími hrozbami.

---

Záleží pouze na Vás jestli si uvědomíte význam bezpečnosti pro celkový úspěch organizace.

---

Záleží pouze na Vás jestli zajistíte, že jsou podniknuty všechny potřebné kroky  pro ochranu Vaší osoby a integritu společnosti.

---