INDUSTRIAL ESPIONAGE PREVENTION STRATEGY
Nikoletta Szegfüová
Abstract
The aim of the article is to list possible ways of protection against industrial espionage. The work deals with the design of a security policy that defines possible ways of protection against industrial espionage, the characterization of industrial espionage using selected examples.
Key words: industrial espionage, security policy
Abstrakt
Cieľom článku je uviesť možné spôsoby ochrany voči priemyselnej špionáži. Práca sa zaoberá návrhom bezpečnostnej politiky, ktorá definuje možné spôsoby ochrany pred priemyselnou špionážou charakterizovanie priemyselnej špionáže pomocou vybraných príkladov.
Kľúčové slová: priemyselná špionáž, bezpečnostná politika
Úvod
Špionáž je všeobecne ľuďmi vnímaná, ako činnosť vykonávaná špiónmi za účelom získania tajomstva nepriateľa. V priemyselnej špionáži je to podobne, len záujem sa kladie na získanie obchodného tajomstva.[10] Najväčšou hrozbou informačnej bezpečnosti je samotný človek. Túto skutočnosť si treba uvedomiť, lebo pri zostavovaní bezpečnostných opatrení je kľúčová. Cieľom článku je uviesť možné spôsoby ochrany voči priemyselnej špionáži.
V článku sú uvedené spôsoby ochrany pred priemyselnou špionážou. Z hlavných bezpečnostných opatrení, ktoré môže zabrániť a znížiť mieru úspechu útokov s využitím metód sociálneho inžinierstva je zavedenie bezpečnostnej politiky. Bezpečnostná politika je vhodný nástroj na elimináciu takýchto útokov, preto bude spomenutá aj v tomto článku. Takisto sa pozrieme na nový zákon z roku 2018 o kybernetickej bezpečnosti.
Priemyselná špionáž
Priemyselná špionáž má významný vplyv na hospodárstvo, pracovné miesta a rast EÚ. Kybernetické krádeže obchodného tajomstva stoja Európsku úniu odhadom 60 miliárd EUR. V tejto súvislosti je potrebné dôkladne posúdiť, ako vzájomná závislosť a zvýšená expozícia kybernetickým hrozbám ovplyvňujú schopnosť EÚ chrániť občanov aj podniky[2].
Kríza spôsobená ochorením COVID-19 takisto zdôraznila to, ako sociálne rozdiely a neistota vedú k bezpečnostnej zraniteľnosti. Zväčšuje to potenciál rafinovanejších a hybridných útokov zo strany štátnych a neštátnych subjektov, ktoré využívajú zraniteľnosť pomocou kombinácie kybernetických útokov, poškodzovania kritickej infraštruktúry, dezinformačných kampaní a radikalizácie politického jazyka[4]. Podľa štatistík Europol, viac ako 2/3 organizácií v Európe nemá ani odhad možného finančného dopadu kybernetického útoku na ich spoločnosť, a menej ako štvrtina má vypracovaný reakčný plán pre prípad hrozby prostredníctvom kybernetického útoku[1].
Hlavným rizikom pre firmy je v súčasnosti spoliehanie sa na technológie bez organizačnej štruktúry kybernetickej bezpečnosti. Správne vypracovaná stratégia zabezpečuje ochranu a prevenciu pred stále sofistikovanejšími útokmi kybernetickej špionáže.[11] Tie môžu prebehnúť vo forme získania dôveryhodných informácií, neoprávneným prístupom, či nedostupnosťou služieb, čo v konečnom dôsledku môže ovplyvniť celkovú prevádzku firmy. Organizačnú štruktúru, ktorá takéto dopady pomáha eliminovať od slovenských firiem priamo vyžaduje už od apríla 2018 nový zákon č. 69/2018 Z. z o kybernetickej bezpečnosti[12].
Nový zákon o kybernetickej bezpečnosti pre spoločnosti zavádza povinnosť vyčleniť dostatočné prostriedky ako materiálno-technické, personálne, tak aj časové, za účelom zabezpečenia kontinuity služieb či výroby. Do šiestich mesiacov od zaradenia do registrov Národného bezpečnostného úradu sú firmy povinné mať vypracované bezpečnostné opatrenia zabezpečujúce riadenie kybernetickej bezpečnosti s technológiami spĺňajúcimi legislatívne požiadavky, ktoré budú vedieť identifikovať bezpečnostné hrozby, ako aj incidenty v takmer reálnom čase a tým predísť ďalším kybernetickým útokom[6].
Možnosťou, ako sa chrániť, je vypracovanie kvalitnej bezpečnostnej politiky organizácie a jej následné dodržiavania. Ide napr. o bezpečnosť informácií (zásady prevencie utajovania informácií), o ochranu fyzickú (bezpečnosť budov a areálu proti neoprávnenému vniknutiu, dodržiavanie pravidiel pre pohyb osôb v presne definovaných zónach, zabezpečenie proti odpočúvaniu a pod.), ochranu informačných systémov (používaním interných spojovacích ciest, spoľahlivou identifikáciou zdroja a príjemcu správy, šifrovanie správ, digitálne podpisy, bezpečnostné kódy a pod.) a o ochranu v personálnej oblasti (motivácia zamestnancov – majú pocit, že sú zamestnávateľom vykorisťovaní, túžba po prevahe nad zamestnávateľom a pod.). Spôsoby zaistenia ochrany utajovaných informácií je možné kategorizovať do nasledovných zložiek[13]:
- personálna bezpečnosť, ktorú predstavuje výber fyzických osôb, ktoré majú mať prístup k utajovaným informáciám, overovanie podmienok ich prístupu k utajovaným informáciám, ich výchova a ochrana;
- priemyslová bezpečnosť, ktorú tvorí systém opatrení na zaistenie a overenie podmienok pre prístup podnikateľa k utajovaným informáciám a na zaistenie spôsobu zaobchádzania s informáciou;
- administratívna bezpečnosť, ktorú tvorí systém opatrení pri tvorbe, príjme, evidencii, spracovaní, odosielaní, preprave, prenášaní, ukladaní, skartovaní, archivácii s utajovanými informáciami;
- fyzická bezpečnosť, ktorú tvorí systém opatrení, ktoré majú neoprávnenej osobe zabrániť, alebo sťažiť prístup k utajovaným informáciám, poprípade tento pokus zaznamenať[16];
- bezpečnosť informačných, alebo komunikačných systémov, ktorú tvorí systém opatrení, ktorých cieľom je zaistiť dôvernosť, integritu a dostupnosť utajovaných informácií, s ktorými tieto systémy narábajú a zodpovednosť správy a používateľa za ich činnosť v informačnom, alebo komunikačnom systéme[15];
- kryptografická ochrana, ktorú tvorí systém opatrení na ochranu utajovaných informácií použitím kryptografických metód a kryptografických materiálov pri spracovaní, prenose, alebo ukladaní utajovaných informácií u podnikateľa.
Obrana voči priemyselnej špionáži
Predtým, ako bude možné vypracovať účinný program proti špionáži, musí byť vykonané hodnotenie rizík zariadenia a informácií, ktoré majú byť chránené, aby bolo možné identifikovať riziko špionáže voči chráneným informáciám organizácie. Pri určovaní rizika je potrebné preskúmať informácie, ktoré sa majú chrániť, ich hodnotu, definovať, kto by ich chcel mať, určiť, do akej miery sú prístupné, a vplyv na organizáciu, ak by sa tieto informácie získali nezákonne prostredníctvom priemyselnej špionáže. Po identifikácii hrozby a rizika je potrebné určiť, čo je potrebné chrániť. Ďalej určime závažnosť hrozby a pravdepodobnosť výskytu. To sa dosiahne vykonaním preskúmania s cieľom určiť požadovanú bezpečnosť na zabránenie alebo zníženie hrozieb. Ďalším krokom je identifikácia opatrení, ktoré sa majú vykonať s cieľom znížiť hrozbu[10]. Je potrebné vykonať súpis chránených informácií prezeraním všetkých papierových kópií a počítačových informácií. Hodnotu informácií pre organizáciu je potrebné hodnotiť z finančného aj kritického hľadiska.[8] Na základe typu informácií a poslania organizácie je potrebné posúdiť, kto by tieto informácie chcel a ako by sa dali využiť, ak by sa získali prostredníctvom priemyselnej špionáže[7]. Medzi ďalšie oblasti na preskúmanie v procese hodnotenia rizika patrí kontrola toho, ako sú informácie v súčasnosti chránené[3].
V tomto hodnotení rizika je tiež potrebné preskúmať program odbornej prípravy na zvyšovanie povedomia o kontrašpionáži, ktorý je v súčasnosti k dispozícii pre zamestnancov zariadenia, vrátane informácií poskytovaných na školeniach, rozdávaní poskytnutým účastníkom a dokumentácie tohto školenia v súboroch personálu zamestnancov. Po dokončení hodnotenia rizika sa výsledky použijú na vypracovanie plánu proti špionáži.
Tento plán musí zahŕňať všetky ochranné opatrenia, ktoré sa uplatnia, vrátane všetkých oblastí určených v hodnotení rizika, ako aj opatrenia a postupy fyzickej bezpečnosti, operačné postupy bezpečnostných zložiek a bezpečnostné opatrenia počítačovej bezpečnosti. V pláne musia byť zahrnuté aj postupy ľudských postihov spojené s náborom, vyšetrovaním a ukončením konania. Do plánu, ako aj do dokumentácie o školení zamestnancov musia byť zahrnuté aj typy a metódy školenia o zvyšovaní povedomia o bezpečnosti. Metódy interných auditov na prevenciu priemyselnej špionáže a frekvencia takýchto auditov by mali byť uvedené v pláne kontrarozviedky. Musia sa určiť aj kritériá na vykonávanie vyšetrovaní v rámci špionáže. Medzi ďalšie úvahy patrí to, ktoré udalosti povedú k takémuto vyšetrovaniu, a spolu s určením toho, kto bude zodpovedný za vedenie vyšetrovania[9].
Je dôležité poskytnúť všetkým zamestnancom školenie o zvyšovaní povedomia o kontrašpionáži ako proaktívne opatrenie v prevencii špionáže[5]. Ak zamestnanci pochopia hrozbu a spôsoby zberu, budú schopní rozpoznať možnú špionáž alebo pokusy o získanie informácií od nich. Zamestnanci musia byť tiež poučení o tom, ako a komu oznámia takúto hrozbu[14].
Záver
Informačná bezpečnosť podniku a spôsoby ochrany pred externým prostredím je téma, ktorá ostáva stále aktuálna aj do ďalších rokov. Mnoho podnikov, ktoré sa už stretli s bezpečnostnými incidentmi, najmä s únikom informácií prikladá informačnej bezpečnosti zvýšenú pozornosť. Častá chyba, ktorú podniky robia je, že sa zameriavajú skôr len na technické zabezpečenie svojich informačných systémov. Chránia sa pred vonkajším prostredím, ale svoje vnútorné prostredie informačných tokov nechávajú odkryté. Pritom najslabším článkom informačnej bezpečnosti podniku sú ľudia, technické a programové bezpečnostné opatrenia majú len pomôcť prípadne vylúčiť niektoré z možností útokov. Priemyselná špionáž pomocou metód sociálneho inžinierstva sa zameriava práve na ľudí. Snaží sa získať citlivé informácie, obísť technické a programové zabezpečenia a to tým najrafinovanejším spôsobom, tak že sa na to priamo spýta kompetentných ľudí. Tých, čo nie sú s problematikou dôkladne oboznámení to môže zaskočiť a úniku informácií už nič nezabráni. Podnik tak nemá šancu zareagovať a často sa stáva, že sa o úniku informácií ani nedozvie, alebo zostáva zamlčaný.
Len správne nastavenie bezpečnostnej politiky a zodpovedná klasifikácia informácií môže vyriešiť informačnú bezpečnosť podniku, lebo stanovuje presné bezpečnostné zásady, ktoré určujú spôsob narábania z informáciami a ich tok vo vnútornom a vonkajšom prostredí podniku.
Použitá literatúra
- [1] ABB Slovenským firmám chýba stratégia kybernetickej bezpečnosti. In [online]. [cit. 2020-12-01]. Dostupné na internete: <https://new.abb.com/news/sk/detail/14782/slovenskym-firmam-chyba-strategia-kybernetickej-bezpecnosti>.
- [2] BENNY, D.J. Industrial espionage: developing a counterespionage program. . Boca Raton, Fla: CRC Press, 2014. ISBN 978-1-4665-6814-3.
- [3] GREGUŠOVÁ, D. et al. Emergence and development of legal computer science and its role in the context of knowledge management development in Slovakia. In Education excellence and innovation management [elektronický dokument] : a 2025 vision to sustain economic development during global challenges . Norristown: International business information management association, 2020. s. 1337–1346. .
- [4] JURČÁK, V. et al. Evropská bezpečnost. 4. In Bezpečnostní vědy : úvod do teorie, metodologie a bezpečnostní terminologie . Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2019. s. 89–140. ISBN 978-80-7380-758-0.
- [5] KAROVIČ, V. et al. Nasadenie virtualizačného prostredia OpenStack na výučbové účely: časť 1. In Marketing science and inspirations . 2016. s. 43–52. .
- [6] MATUŠOVIČ, M. et al. Protection of Competition – the Global Economic Crisis VI. . Mukařov – Srbín: Ľuboš Janica, 2018. 190 s. ISBN 978-80-270-1037-0.
- [7] MATUŠOVIČ, MARTIN. Business and Cyber Security. In IAktuálne problémy podnikovej sféry 2019. Medzinárodná vedecká konferencia. Aktuálne problémy podnikovej sféry 2019 : zborník vedeckých prác z medzinárodnej vedeckej konferencie, 2019, Ráztočno Handlová, Slovensko. – Bratislava : Vydavateľstvo EKONÓM . 2019. s. 312–320. .
- [8] MATUŠOVIČ, MARTIN Protection of The Sustainability of Digital Competition. In Socio-Economic Determinants of Sustainable Consumption and Production : Proceedings of Scientific Papers. – Brno : Masaryk University Press . 2020. s. 173–181. ISBN 978-80-210-9705-6.
- [9] PAWERA, R. – VESELÝ, P. Etický hacking v kontextu managementu bezpečnosti. In Bezpečná Evropa 2018 : sborník sdělení z 9 . Praha: Vysoká škola finanční a správní, 2019. s. 101–114. ISBN 978-80-7408-185-9.
- [10] PERÁČEK, T. et al. Legislative aspects of custody of securities in the conditions of the Slovak Republic. In Finance and sustainability [elektronický dokument] : Proceedings from the 2nd Finance and sSustainability Conference, Wroclaw 2018 . Cham: Springer Verlag, 2020. s. 237–247. ISBN 978-3-030-34400-9.
- [11] PORADA, V. et al. Kybernetická bezpečnost. 6. In Bezpečnostní vědy : úvod do teorie, metodologie a bezpečnostní terminologie . Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2019. s. 160–182. ISBN 978-80-7380-758-0.
- [12] VESELÝ, P. Definice kybernetické bezpečnosti, kybernetických útoků a kybernetické kriminality. In Bezpečnostní vědy : úvod do teorie, metodologie a bezpečnostní terminologie . Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2019. s. 160–175. ISBN 978-80-7380-758-0.
- [13] VESELÝ, P. Manažment ochrany informácií. . Praha: TopSmart Business, 2020. ISBN 978-80-270-9014-3.
- [14] VESELÝ, P. et al. Marketingové problémy predmetu etický hacking. In Marketing science and inspirations . 2016. s. 32–37. .
- [15] VESELÝ, P. Šifrovanie dát a osobných údajov. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [16] VESELÝ, P. – KAROVIČ, V. Active security testing according to OWASP in the organization in terms of GDPR. In Progresívne prístupy a metódy zvyšovania efektívnosti a výkonnosti organizácií [elektronický dokument] . Košice: Slovenská asociácia procesného riadenia, 2018. s. 114–124. ISBN 978-80-972984-1-8.
Celé vydanie časopisu Manažérska Informatika ročník 1, 2020, číslo 2
Indexed : GOOGLE SCHOLAR