Stanowi rodzaj działań wywiadowczych prowadzonych w celach komercyjnych, w odróżnieniu od tych działań wywiadowczych, które prowadzone są przez państwa dla zabezpieczenia swoich interesów narodowych. Szpiegostwo przemysłowe (korporacyjne) jest w pewnym sensie lustrzanym odbiciem szpiegostwa, a właściwie wywiadu „państwowego” – przejęło wiele metod jego działania, adaptując je do własnych potrzeb.
Kwestiom definicyjnym i pojęciowym związanym z wywiadem oraz szpiegostwem warto poświęcić nieco więcej uwagi. Często mamy bowiem do czynienia z ich niezrozumieniem, a także dlatego, że prawna i moralna ocena działań wywiadu (szpiegostwa) państwowego i szpiegostwa przemysłowego musi być zróżnicowana.
Wywiad państwowy, działający w interesie konkretnego (np. naszego) kraju jest legalną instytucją, zdobywającą informacje niezbędne dla jego bezpieczeństwa zewnętrznego. Funkcjonuje na podstawie ustaw, a jego funkcjonariusze są legalnymi urzędnikami państwowymi. Akceptowane są metody jego działania, nawet te związane z werbowaniem do współpracy obywateli obcych państw; pracowników wywiadu zdobywających tajne informacje często honorujemy i traktujemy jak bohaterów narodowych. Jednak działania tego samego wywiadu na terenie innego kraju postrzegane są jako nielegalne, a wręcz przestępcze, i nazywane szpiegostwem. Podobnie jest z działaniami obcych wywiadów na terenie naszego kraju. Oceniamy je jednoznacznie jako działania szpiegowskie i zwalczamy za pomocą kontrwywiadu. Pojęcia „wywiad” i „szpiegostwo” można traktować więc, jako „dwie strony tego samego medalu”.
Inaczej wygląda kwestia związana ze zdobywaniem informacji na potrzeby prowadzenia działalności gospodarczej. Wywiad gospodarczy i szpiegostwo przemysłowe prowadzą działalność polegającą na zdobywaniu informacji na potrzeby walki konkurencyjnej. Jednak wywiad gospodarczy uzyskuje je za pomocą powszechnie uznanych, legalnych metod, takich jak: przegląd oficjalnych baz danych i stron internetowych, publikacje prasowe, audycje radiowe i telewizyjne, uczestnictwo w konferencjach, wystawach itp. Wywiad gospodarczy posługuje się zatem metodami, które określane są mianem „białego wywiadu” lub „wywiadu ze źródeł otwartych” (z ang. OSINT – open source intelligence).
Szpiegostwo przemysłowe adaptowało natomiast do swoich potrzeb wiele innych metod działań wywiadów państwowych, takich jak: wykorzystanie osobowych źródeł informacji (z ang. HUMINT – human intelligence), wywiad teleinformatyczny (z ang. SIGINT – signal intelligence), elektroniczny (z ang. ELINT – electronic intelligence) itp.
Celem prowadzenia przemysłowych operacji szpiegowskich mogą być tajemnice handlowe, takie jak specyfikacje, przepisy, plany techniczne konkretnych produktów czy biznesplany. Szpiegostwo korporacyjne (przemysłowe) obejmuje również korupcję, szantaż i szeroko pojmowaną inwigilację technologiczną. W wielu przypadkach celem szpiegostwa przemysłowego jest uzyskanie jakichkolwiek danych o konkurencyjnym przedsiębiorstwie, które mogą być wykorzystane dla uzyskania przewagi na rynku.
Szpiegiem przemysłowym może być tzw. insider, czyli osoba, której udało się uzyskać zatrudnienie w przedsiębiorstwie będącym celem ataku szpiegowskiego lub inny niezadowolony pracownik takiego przedsiębiorstwa, który handluje informacjami dla zysku czy z osobistej zemsty. Dlatego bardzo ważna jest weryfikacja potencjalnego pracownika i przygotowanie raportu o osobie, która dołączy do zespołu. Szpiedzy mogą również infiltrować konkurencyjne przedsiębiorstwa wykorzystując taktykę tzw. inżynierii społecznej (socjotechniki) poprzez przemyślne wprowadzanie w błąd pracowników przedsiębiorstwa, skłaniające ich do ujawnienia jego tajemnic.
Czasami szpiedzy przemysłowi dokonują fizycznego włamania do pomieszczeń przedsiębiorstwa będącego celem ich przeszukania. W takich przypadkach mogą oni skopiować zbiory na dyskach twardych niezabezpieczonych komputerów, skopiować pozostawione dokumenty, a nawet przeszukać kosze na śmieci w poszukiwaniu brudnopisów dokumentów. Obecnie coraz bardziej rośnie liczba wtargnięć poprzez sieci korporacyjne przedsiębiorstw. Wspomniane wyżej fizyczne włamania przeprowadzane są również po to, aby uzyskać początkowy dostęp do sieci przedsiębiorstwa będącego celem ataku. Na podstawie np. skradzionych kodów dostępowych przeprowadzany jest zaawansowany atak na jego system informatyczny, a następnie ciągła kradzież danych.
Do celów szpiegostwa przemysłowego wykorzystywane są również możliwości nagrywania i transmisji danych, w jakie wyposażone są telefony komórkowe. Pozostawienie takiego telefonu w pomieszczeniach, w których prowadzone są narady lub inne ważne konsultacje umożliwia ich zdalne kontrolowanie. Powszechne staje się również wykorzystywanie do celów szpiegowskich, urządzeń nagrywających lub monitorujących ukrytych w okularach, piórach i długopisach lub przenośnych pamięciach USB.
Za jeden z elementów szpiegostwa przemysłowego można uznać dezinformację. Dezinformacja w walce konkurencyjnej korporacji to posłużenie się celową informacją (fałszywą lub częściowo prawdziwą) zmierzającą do wywarcia wpływu na określoną grupę ludzi, w większości kierownictwo firmy konkurencyjnej tak, aby zachowywała się w sposób pożądany przez dezinformujących. Jedną z odmian dezinformacji jest tzw. czarny PR, polegający na kreśleniu agresywnego i niebudzącego zaufania wizerunku konkurentów, aby zniechęcić ich potencjalnych sojuszników i kontrahentów.
Eksperci twierdzą, że kradzież tajemnic handlowych korporacji osiągnęła poziom epidemii. W Polsce nie prowadzi się statystyk spraw związanych z wykradaniem tajemnic przedsiębiorstw. Natomiast w USA, według analiz statystycznych przeprowadzonych przez firmę prawniczą O’Melveny & Myers, liczba spraw związanych z takimi kradzieżami, prowadzonych przed sądami federalnymi uległa podwojeniu w latach 1988–95 i ponownemu podwojeniu w latach 1995–2004. Przewiduje się, że podobne podwojenie nastąpi do końca 2017 roku. Z szacunkowych danych statystycznych amerykańskich ekspertów wynika, że w 2006 roku w efekcie działań związanych ze szpiegostwem korporacyjnym, globalny biznes poniósł straty w wysokości 200 miliardów USD.
W polskim prawodawstwie szpiegostwo korporacyjne (przemysłowe) pojmowane jest w węższym znaczeniu (w tym wypadku użyto określenia „gospodarcze”) i określane jako fakt bezprawnego uzyskania informacji stanowiącej tajemnice przedsiębiorstwa, ujawnienie jej innej osobie lub wykorzystanie we własnej działalności gospodarczej. W Polsce nie ma odrębnego prawa penalizującego szpiegostwo przemysłowe, natomiast przewiduje się odpowiedzialność za naruszenia lub spowodowanie zagrożenia naruszeniem tajemnicy przedsiębiorstwa. Przedsiębiorca, którego interes został zagrożony lub naruszony, może wykorzystać ustawę o zwalczaniu nieuczciwej konkurencji i żądać, zgodnie z art. 18 tej ustawy zaniechania niedozwolonych działań, usunięcia ich skutków, złożenia jednokrotnego lub wielokrotnego oświadczenia, naprawienia wyrządzonej szkody, wydania bezpodstawnie uzyskanych korzyści lub zasądzenia odpowiedniej sumy pieniężnej na określony cel społeczny.
Natomiast art. 23 tej ustawy stanowi, że kto wbrew ciążącemu na nim obowiązkowi w stosunku do przedsiębiorcy ujawnia innej osobie lub wykorzystuje we własnej działalności gospodarczej informację stanowiącą tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę przedsiębiorcy, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Naruszenie tajemnicy przedsiębiorstwa stanowić może również przestępstwo, o którym mowa w art. 23 wymienionej ustawy oraz art. 260 kodeksu karnego.
W Polsce firmy często rezygnują z dochodzenia sprawiedliwości, głównie ze względu na trudności z udowodnieniem przestępstwa szpiegostwa przemysłowego, a także ze względu na stosunkowo niskie kary dla potencjalnych szpiegów. Zdarza się jednak, że wykorzystują wiedzę o fakcie kradzieży informacji jako narzędzie szantażu np. w negocjacjach z firmą, która dopuściła się kradzieży jej tajemnic. A przypadki szpiegostwa przemysłowego w Polsce również mają miejsce. Już w 2000 roku wykryto podsłuch w gabinecie prezesa PZU, a kilka lat później podobne urządzenie w listwie zasilającej w gabinecie prezesa KGHM.
Tymczasem na świecie przestępstwa związane ze szpiegostwem przemysłowym karane są z całą bezwzględnością. W Stanach Zjednoczonych przestępstwa tego rodzaju karane są na podstawie ustawy Economic Espionage Act z 1996 roku, która przewiduje m.in. karę 15 lat więzienia dla osoby, która w wyniku szpiegostwa przemysłowego spowodowała straty określonej organizacji gospodarczej na kwotę większą niż 500 tys. USD, a firmę, która przyczyniła się do powstania takiej straty – na grzywnę w wysokości 10 mln USD.
Siergiej Alejnikow – programista banku inwestycyjnego Goldman Sachs, który ukradł kody oprogramowania operacji giełdowych z zamiarem przekazania nowemu pracodawcy, firmie Teza Technologies z Chicago – skazany został na karę 15 lat więzienia. Natomiast Hervé Falciani, były inżynier systemów informatycznych w HSBC, który w wielu krajach uważany jest za „whistleblowera”, w związku z ujawnieniem szczegółów kont bankowych 100 tys. klientów, w Szwajcarii został oskarżony o szpiegostwo przemysłowe i zostanie w tym kraju aresztowany, jeżeli tylko się w nim pojawi.
Nie odstrasza to innych. Potencjalne zyski przewyższają najczęściej straty, jakie mogą wyniknąć z faktu ujawnienia stosowania nielegalnych metod zdobywania informacji o konkurencji. Świadczyć może o tym kilka przykładów głośnych afer związanych ze szpiegostwem przemysłowym.
W 1993 roku należący do General Motors niemiecki koncern samochodowy Opel oskarżył swojego wielkiego konkurenta Volkswagena o szpiegostwo przemysłowe. Zdaniem Opla, setki poufnych informacji dotyczących technologii, produkcji aut i wyników finansowych miał wynieść kierujący produkcją José Ignacio López i siedmiu innych członków zarządu, którzy w marcu 1993 roku przenieśli się do Volkswagena. Dało to początek trwającej ponad cztery lata batalii sądowej, w której obie strony obrzucały się oskarżeniami (VW groził oskarżeniem Opla o zniesławienie). Sprawa zakończyła się w 1997 roku praktycznie najwyższą w tym czasie ugodą w historii spraw o szpiegostwo przemysłowe. W rezultacie ugody Volkswagen zgodził się zapłacić na rzecz GM 100 mln USD odszkodowania i do 2004 roku zakupić części do samochodów od Opla za blisko miliard dolarów. Choć zdaniem wielu ekspertów Volkswagen pośrednio przyznał się do winy, to koncern nie przeprosił za spowodowane szkody.
W 2003 roku Lockheed Martin oskarżył o szpiegostwo przemysłowe Boeinga. Sprawa dotyczyła przetargu na system wyrzutni promów kosmicznych Evolved Expendable Launch Vehicle, który odbył się w 1998 roku. Zdaniem koncernu Lockheed, jego były pracownik Kenneth Branch, który przeniósł się do McDonnell Douglas i Boeinga, wyniósł 25 tys. poufnych dokumentów, które przekazał swoim nowym pracodawcom. Według Lockheed Martin pozwoliło to Boeingowi wygrać 21 z 28 przetargów na wyrzutnie wojskowych satelitów. W lipcu 2003 roku Pentagon ukarał Boeinga, odbierając mu warte miliard dolarów kontrakty i przyznając je Lockheed Martin. Boeing dostał też 20-miesięczny zakaz startowania w przetargach na kontrakty rakietowe do 2005 roku.
Inny przykład szpiegostwa przemysłowego wykorzystującego tzw. osobowe źródło informacji pochodzi z zarzutów sądowych, jakie amerykański PNC Bank wysunął wobec swojej byłej pracownicy Eileen Daly i jej nowemu pracodawcy bankowi Morgan Stanley (sprawa sądowa z 14 marca 2014). Daly przed odejściem z pracy, mając jeszcze dostęp do listy klientów, która stanowiła tajemnicę handlową banku, „ściągnęła” ją na swój firmowy komputer i sfotografowała za pomocą niewielkiego smartfonu. Zdjęcia te przekazała następnie swemu nowemu pracodawcy, który w ten sposób stał się właścicielem ściśle chronionej informacji, istotnej dla przyszłości instytucji. Powyższa historia jest szczególnym przypadkiem szpiegostwa korporacyjnego, kiedy jedna z firm próbuje wykraść drugiej ważne dla niej informacje, wykorzystując tzw. insidera, pracownika pierwszej z firm, odchodzącego z pracy.
Jak łatwo zauważyć, problem nie jest już jedynie teoretycznym zagadnieniem, nad którym na początku lat dziewięćdziesiątych rozwodzili się prekursorzy tematyki związanej bezpieczeństwem biznesu. Szpiegostwo przemysłowe jest dziś realnym zagrożeniem, na równi z nietrafionymi inwestycjami, nieuczciwymi kontrahentami oraz niekorzystną koniunkturą i jako takie wymaga podjęcia odpowiednich kroków. Należy przy tym pamiętać, że zagrożenie to może przybierać bardzo różne formy, począwszy od cyberprzestępczości i kradzieży zasobów sieciowych, poprzez zastosowanie technicznych środków inwigilacji, aż po działania werbunkowe lub zmierzające wprost do ulokowania w organizacji podstawionych ludzi. Z tego względu podstawowym elementem działań zmierzających do zabezpieczenia organizacji przed niebezpieczeństwem wynikającym ze szpiegostwa przemysłowego jest prawidłowe zidentyfikowanie jego rodzaju. Ten z kolei zależny jest w głównej mierze od profilu działalności firmy.
Bez względu jednak na te dwa elementy, wspólnym mianownikiem każdej polityki bezpieczeństwa w organizacji powinny być szkolenia oraz odpowiedni poziom świadomości pracowników zarówno szeregowych, jak i tych na szczeblu kierowniczym. W tym zakresie warto skorzystać z doświadczeń i oferty firm zajmujących się kwestiami budowy i wdrażania polityki bezpieczeństwa informacji oraz pogłębiania wiedzy w tej dziedzinie. Poza budowaniem zaufania i świadomości pracowników, należy również zadbać o techniczną stronę problemu. Stanowi ją zarówno funkcjonowanie sieci teleinformatycznej, jak również sposób przechowywania i przetwarzania materiałów stanowiących dane wrażliwe przedsiębiorstwa oraz zabezpieczenie siedziby pod kątem inwigilacji przy użyciu sprzętu techniki specjalnej. Tego typu działania świadczone są na rynku przez podmioty specjalizujące się w zagadnieniach z pogranicza bezpieczeństwa biznesu i przeciwdziałania podsłuchiwaniu i kradzieży danych.
Ostatnim elementem budowy skutecznego systemu ochrony danych wrażliwych w organizacji jest stworzenie konstrukcji prawnej, zabezpieczającej przed próbami penetracji i kradzieży informacji przez personel. Wdrożoną politykę ochrony tajemnicy przedsiębiorstwa, należy oprzeć na odpowiednio skonstruowanych umowach z pracownikami, a także działaniach zmierzających do weryfikacji personelu, zwłaszcza osób mających dostęp do danych wrażliwych. Mimo iż kwestie bezpieczeństwa prowadzenia działalności biznesowej są w Polsce zagadnieniem stosunkowo nowym, na rynku działa już znaczna liczba podmiotów świadczących tego rodzaju usługi. Zatem zasadnicze pytanie nie powinno dotyczyć kwestii, czy należy poważnie traktować zagrożenia wynikające ze szpiegostwa gospodarczego, ale w jaki sposób wybrać firmy, które będą w stanie profesjonalnie i skutecznie pomóc zagrożonej organizacji w ich zwalczaniu.
Autor:
Krzysztof Surdyk, mec. Robert Nogacki
Profesjonalny Wywiad Gospodarczy „Skarbiec” Sp. z o.o.