Szpiegostwo przemysłowe jest w Polsce traktowane jak niecodzienna sensacja, gdy tymczasem "zbieranie informacji" o konkurencji stało się nagminne.

W konkurencji liczy się skuteczność, a jednym z najskuteczniejszych narzędzi walki konkurencyjnej jest informacja o tym, co ma lub wkrótce mieć będzie w zanadrzu bezpośrednia konkurencja. Zdobywanie informacji to oczywiście eleganckie nazwanie tego, co fachowo nazywa się po prostu szpiegostwem przemysłowym. Skala tego zjawiska jest większa niż może się wydawać, a jego potencjał - ogromny. Jeśli sądzimy, że nasz konkurent nie jest technicznie w stanie zdobyć dla niego cennych dotyczących nas informacji, możemy być w wielkim błędzie. Informacje może zbierać wytrawny specjalista na jego zlecenie. Odporność na szpiegostwo przemysłowe znacznej części polskich przedsiębiorstw jest żałośnie niska, co wynika przede wszystkim z braku świadomości istnienia takiego zagrożenia.

Nawet gdy istnieje świadomość zagrożenia, najczęściej można usłyszeć: "A czego oni będą u mnie szukać" albo "Tak mocnej firmy nikt nie ruszy". Bywa też, że oczywiste dowody ataku są ignorowane. Osoby decydujące w sprawach biznesowych nie widzą problemu, dopóki nie okazuje się dotkliwy. Zwykle sądzą, że "informatykowi znów coś się pomyliło", albo że "jest nawiedzony". Czyżby?

Wiedzieć, co się ma

Podstawowym zadaniem na drodze do ochrony firmy przed szpiegostwem przemysłowym powinno być rozdzielenie informacji publicznie dostępnej od wewnętrznej i tej wyżej klasyfikowanej - poufnej i ewentualnie tajnej. Wyraźna klasyfikacja jest ważna, gdyż wiele wycieków danych z firmy związanych jest z wykorzystaniem braku wiedzy pracowników o rzeczywistej wartości informacji, do której mają dostęp, wykonując swoje codzienne obowiązki. Jeżeli informacja będzie jasno oznaczona pod względem klasy poufności, osoba mająca do niej dostęp zastanowi się, zanim przekaże ją dalej.

Niezależnie od klasyfikacji informacji należy przemyśleć znakowanie egzemplarzy szczególnie ważnych dokumentów. Mogą to być drobne zmiany treści, umieszczanie różnych obiektów (np. spacji), drobne zmiany czcionek, umieszczanie informacji w obiektach graficznych, a nawet wewnątrz tekstu za pomocą stosownego oprogramowania steganograficznego. Samo oznakowanie nie spowoduje podwyższenia bezpieczeństwa, niemniej znacznie ułatwia wykrycie "miejsca przecieku".

Najważniejszy jest zdrowy rozsądek i świadomość współodpowiedzialności pracowników, czemu powinny służyć szkolenia. W dziedzinie bezpieczeństwa informacji na szkoleniach oszczędzać nie warto. Trzeba położyć nacisk na umiejętność wychwycenia przez pracowników typowych zabiegów socjotechnicznych stosowanych przez szpiegów gospodarczych. Szkolić należy także np. pracowników recepcji i ochrony w celu uniknięcia prób zdobywania informacji.

Rozważnie i... wygodnie

Każda firma, nawet najmniejsza, ma cenne informacje i powinna podejmować działania utrudniające (nawet jedynie potencjalnemu) przeciwnikowi bezkarne buszowanie po jego danych i dokumentach. Że nie ma w nich na pierwszy rzut oka nic specjalnego? To się jeszcze zobaczy - po skopiowaniu dokumentów można je sobie czytać offline do woli. Nawet jeśli nie było zlecenia, zawsze jakieś pieniądze się "wyrwie" - na dane osobowe zawsze chętni się znajdą.

Sprzymierzeńcem odporności na zakusy szpiegów jest porządek, który wyraża się m.in. poprzez dobry obieg informacji w firmie. W tym względzie liczy się raczej pewność co do źródła informacji i jego rzetelności, a nie ten czy inny system pracy grupowej czy system obiegu dokumentów. Dozbrojenie prawidłowego obiegu informacji w firmie w odpowiednie zasady przynosi bardzo dobre efekty stosunkowo szybko.

Będzie tak jednak tylko wtedy, gdy system ten będzie rzeczywiście funkcjonować. Wdrożenie systemu, który nie przystaje do firmy lub wdrożenie go z pominięciem istotnych uwag użytkowników będzie skutkować tym, że powstanie drugi, niekontrolowany obieg informacji. Będzie się więc wydawać, że wszystko jest pod kontrolą, gdy tymczasem w rzeczywistości będzie odwrotnie. Nie trzeba dodawać, że sytuacja taka znacząco ułatwia zadanie potencjalnemu złodziejowi informacji.

Aby zapobiec wytwarzaniu dwóch obiegów informacji, należy przygotować jeden, ale za to sprawnie działający system wspomagający obieg. Powinien on z jednej strony zasadzać się na spójnym systemie klasyfikacji informacji we wszystkich jej formach, z drugiej zaś uwzględniać realia i potrzeby użytkowników w dziedzinie ergonomii pracy. I żeby nie było wątpliwości: to jest wykonalne w rozsądnym budżecie i czasie.

Informatyczne oczywistości

Zabezpieczając firmę przed realnym lub nawet tylko potencjalnym szpiegowaniem, nie można pominąć dobrego zabezpieczenia systemów teleinformatycznych. W dziedzinie zabezpieczeń technicznych trzeba zachować proporcje względem zabezpieczeń proceduralnych, co jednak nie znaczy, że technologia nie ma znaczenia. Należy zastosować tak dobre zabezpieczenia, by nie opłacało się ich przełamywać włamywaczom o średnich umiejętnościach, bo przed profesjonalistami firma i tak się nie obroni.

Podstawą jest znaczące utrudnienie pozyskiwania informacji za pomocą metod prymitywnych i łatwo dostępnych, jak podsłuchiwanie komunikacji czy kopiowanie z dysków lokalnych. Bezwzględnie należy zabezpieczyć sieci bezprzewodowe, a dla spokojnego snu najlepiej w ogóle z nich nie korzystać. O zaporach internetowych, skanerach antywirusowych i antyszpiegowskich (na serwerach i stacjach roboczych) tylko wspominam, bo to oczywistość.

Jeśli firma korzysta z usług zdalnych, takich jak serwer terminalowy czy łącza VPN, należy koniecznie zadbać o dwustopniowe uwierzytelnienie (hasła jednorazowe, karty chipowe, tokeny itp.). Oczywiście, wszystkie systemy muszą być aktualizowane, a najnowsze łaty zakładane w miarę możliwości tak szybko, jak się da. Nie dla wszystkich jest to niestety oczywiste.

Im większa firma, tym większa anonimowość i szpiegom prościej podszyć się pod pracownika firmy. Warto na tę okoliczność przygotować system uwierzytelnienia oraz przemyśleć procedury. Przykładowo, należy zapewnić, że przez telefon nie wolno udzielać informacji dotyczących spraw spoza własnego działu itp. W ten sposób uniknie się wycieku informacji, które w innym dziale mogą być traktowane jako poufne. Ostrożność jest wskazana także w dziedzinie poczty elektronicznej. Bez dodatkowego mechanizmu weryfikacji tożsamości nadawcy, np. podpisu elektronicznego, trudno dziś poczcie bezkrytycznie ufać.

Mocne drzwi i twardy paragraf

Zabezpieczenia przed szpiegostwem to także bezpieczeństwo fizyczne. Solidne drzwi z zamkami patentowymi to wciąż jeden z podstawowych mechanizmów ochrony. Należy go uzupełnić innymi środkami, jak systemy kontroli dostępu, systemy alarmowe oraz wyspecjalizowanych pracowników. Wszystko to dotyczy nie tylko obrzeża firmy, ale także jej wnętrza, a przynajmniej jego kluczowych lokalizacji, takich jak pomieszczenia zarządu, serwerownia, archiwum itp.

Zamykania pokoi na klucz nie należy traktować jako przejawu paranoi bezpieczeństwa - wie to każdy, komu "zniknął" notebook lub telefon komórkowy po wizycie "kuriera". W notebooku są przecież dokumenty, czasem bardzo ważne. Utratę notebooka należy koniecznie przewidzieć i przedsięwziąć odpowiednie kroki zapobiegawcze, np. automatyczne szyfrowanie danych.

Poza zabezpieczeniami technicznymi, proceduralnymi i administracyjnymi należy przedsięwziąć odpowiednie zabezpieczenia prawne. Obejmują one np. właściwe przygotowanie umów o pracę i umów specjalnych z pracownikami - co najmniej zakaz konkurencji oraz odpowiedzialność za zachowanie tajemnicy służbowej.