Turbulencje gospodarcze sprzyjają szpiegostwu przemysłowemu. Rośnie pokusa, by pójść na skróty, wykraść tajemnice rywala i uniknąć kosztownej rynkowej walki. Z badania firmy Symantec wynika, że ponad połowa polskich firm obawia się utraty ważnych danych, a 1/3 padła co najmniej raz ofiarą szpiegostwa przemysłowego.
W czasie kryzysu tajemnice konkurencji to szczególnie atrakcyjny kąsek. Firmy szpiegują się na niespotykaną skalę, zakładając podsłuchy, włamując się do elektronicznych baz danych lub po prostu kupując informacje od pracowników.
Siergiej Alejnikow był jednym z czołowych programistów banku inwestycyjnego Goldman Sachs. Kilka dni temu sąd w Nowym Jorku nie okazał mu litości i skazał go na 15 lat za kradzież oprogramowania, dzięki któremu bank przeprowadza operacje na giełdach. Pozwala ono na śledzenie przez komputery ofert akcji, wynajdywanie tych najlepszych i błyskawiczną reakcję – zakup w ciągu mikrosekund, a więc zanim zlecenie złoży konkurencja. I to wszystko bez udziału człowieka. W czerwcu 2009 roku, dzień przed odejściem z banku, Alejnikow wysłał warte grube miliony dolarów kody na serwer w Niemczech. Zabrał je zresztą na spotkanie z nowym pracodawcą, firmą Teza Technologies z Chicago. Wpadł, bo choć kasował ślady swego procederu, system komputerowy Goldman Sachs zachował kopię zapasową.
Takich historii nie brakuje i w Polsce, choć firmy znacznie mniej chętnie przyznają się, że padły ofiarą szpiegostwa przemysłowego. To wstydliwy temat. Ofiary milczą, bo nie chcą ryzykować utraty wiarygodności i zaufania klientów czy kontrahentów.
Czas turbulencji gospodarczych sprzyja takim praktykom. Rośnie pokusa, by pójść na skróty, wykraść tajemnice rywala i uniknąć kosztownej walki rynkowej. Najbardziej zagrożone są firmy handlowe dysponujące wielkimi bazami klientów, telekomunikacyjne oraz branża farmaceutyczna. W tym ostatnim przypadku celem są kosztowne technologie i receptury.
– Konkurencja zaostrza się, rośnie presja właścicieli na wyniki, pracownicy są niezadowoleni z płac albo obawiają się zwolnienia, budżety na bezpieczeństwo są cięte – wymienia przyczyny rozkwitu tego procederu Mariusz Witalis, dyrektor działu zarządzania ryzykiem nadużyć w Ernst & Young. – Szpiegostwo przemysłowe to obecnie temat na topie wśród naszych klientów. Od roku, dwóch coraz więcej z nich pyta nas o sposoby zapobiegania wyciekom.
Z najnowszego raportu Ernst & Young „Światowe badanie bezpieczeństwa informacji”, który ma być upubliczniony w styczniu, wynika, że połowa respondentów z kilkudziesięciu krajów, w tym Polski, planuje w najbliższym roku inwestycje w zabezpieczenia.
Nieliczne dostępne dane mogą szokować. Z przeprowadzonego w ubiegłym roku przez firmę Symantec badania wynika, że ponad 55 proc. polskich przedsiębiorstw obawia się utraty ważnych danych, a ponad jedna trzecia utraciła dane przynajmniej raz. Firmy wśród najczęstszych i najpoważniejszych konsekwencji wymieniają: straty finansowe (27 proc.), utratę klientów (prawie 25 proc.) oraz utratę dobrego wizerunku (17 proc.).

Pluskwa w gabinecie

Biznesmen negocjuje z partnerami handlowymi umowę. W pewnej chwili wychodzi, niby do toalety, zostawiając urządzenie podsłuchowe. Przedstawiciele drugiej strony – sądząc, że nikt ich nie słyszy – dyskutują bez skrępowania, na ile mogą ustąpić. Biznesmen wraca i jest panem sytuacji. To już banalna sztuczka. Równie często wysyła się za przedstawicielami konkurencji człowieka z walizką, w której znajduje się mikrofon kierunkowy – w ten sposób można podsłuchać rozmowę z odległości nawet 2 km. Albo kieruje mikrofon laserowy na okno gabinetu, zbierając rozmowy dzięki drganiom szyby.
W sklepach można kupić legalnie cały arsenał urządzeń szpiegowskich, można też zdać się na usługi wyspecjalizowanych firm. Najtańsza pluskwa „made in China” kosztuje niespełna 8 zł, a wraz z odbiornikiem 20 zł. Wydatek kilkuset złotych i elektroniczny szpieg może się znajdować w podarowanym przez konkurencję gadżecie, np. odtwarzaczu CD, długopisie, spinkach do mankietów czy myszce komputerowej. Może to być zarówno transmitująca rozmowy tradycyjna pluskwa (w języku służb jej nazwa to sonda), jak i urządzenie z kamerą. Coraz częściej pluskwa zaopatrzona bywa w moduł GSM, dzięki czemu można ją zdalnie aktywować, dzwoniąc na wybrany numer, i podsłuchiwać rozmowy z praktycznie każdego zakątka globu. Największym problemem jest zasilanie, więc firmowy kret umieszcza nadajnik najczęściej przy gniazdku elektrycznym. Tak było w przypadku wykrytego w 2000 roku podsłuchu w gabinecie prezesa PZU. Kilka lat później wykryto urządzenie w listwie zasilającej w gabinecie prezesa KGHM.
To oczywiście nielegalne, gdyż w Polsce podsłuchiwać mogą tylko policja i kilka rodzajów służb, jak celna, ABW czy Wywiad Skarbowy. Nikt się tym jednak nie przejmuje. Urządzenia klasyfikuje się nie jako służące do podsłuchu, ale do monitoringu.
– Najlepszym źródłem informacji jest telefon komórkowy czołowych menedżerów firmy – uważa Czesław Wiencis, szef warszawskiej firmy Euro Soft. Dlatego ci bardziej uświadomieni wyjmują baterię podczas ważniejszych rozmów z kontrahentami. W przeciwnym razie nawet wyłączona komórka zainfekowana specjalnym programem (kosztuje kilkaset złotych) może się stać ulokowanym w kieszeni szpiegiem, transmitującym wszystkie rozmowy w promieniu kilku metrów. Najczęściej informacje pozyskuje się na nieformalnych spotkaniach, np. na grillu, gdy po kilku kieliszkach panowie zaczynają się chwalić i mówić rzeczy, których normalnie by nie powiedzieli.
Czesław Wiencis ma miesięcznie 2 – 3 zlecenia od firm na audyt bezpieczeństwa, czyli sprawdzenie, czy w biurze nie ma podsłuchu (przeczesuje częstotliwości, na których mogą pracować urządzenia podsłuchowe, a nawet korzysta z wykrywaczy metalu), a także w telefonach komórkowych pracowników. Firmy bronią się też, kupując do biur generatory szumu czy urządzenia zakłócające działanie komórek.

Włam na komputer

W ciągu ostatnich kilku lat szczególnie zwiększyła się skala szpiegostwa polegającego na włamaniach do sieci komputerowej. Wszystkie dane przedsiębiorstw istnieją już bowiem w formie elektronicznej. Dziś nie wystarczą programy antywirusowe, antywłamaniowe czy hasła do komputera.
75 proc. z badanych przez Symantec 2100 menedżerów z przedsiębiorstw branży informatyczno-technologicznej na całym świecie przyznało, że w ubiegłym roku doszło w ich firmach do cyberataków. Najczęściej hakerzy są zainteresowani własnością intelektualną firmy taką jak projekty nowych produktów. Jest to tym groźniejsze zjawisko, że w kryzysie spadły wydatki firm na zabezpieczenia informatyczne.
Na rynku dostępne są zaawansowane programy, które kopiują poszukiwane dane i wysyłają je przez internet. Gdy nie uda się wprowadzić je z zewnątrz, do komputera szefa może się włamać po godzinach pracy ochroniarz czy sprzątaczka.
– Najłatwiej podrzucić pracownikowi pod drzwi pendrive z programem szpiegowskim w kopercie z napisem „lista płac”. Każdy z ciekawości zainstaluje go – mówi jeden z ekspertów.
Można też prościej. Zamiast włamywać się do firmowej sieci komputerowej, szpieg gospodarczy dostaje się do auta menedżera i kradnie laptopa. Szczególnie dotyczy to firm handlowych, których przedstawiciele mają wszystkie dane na przenośnych komputerach. W 2005 roku przestępcy poszli krok dalej i włamali się do poznańskiego biura Volkswagena, by przejąć dokumentację najnowszego modelu Caddy Maxi.
Najczęściej jednak firmy nie chcą szpiegować, a jedynie dowiedzieć się więcej o swoich kontrahentach, by uniknąć strat, gdy nie zapłacą za towar albo zbankrutują. W pierwszym półroczu tego roku liczba upadłości w Polsce wzrosła o blisko 10 proc. w stosunku do 2009 roku, który był najgorszy od pięciu lat. Cały rok może być nawet o jedną trzecią gorszy od ubiegłego. W Polsce i tak nie jest źle. W Hiszpani, Irlandia czy krajach bałtyckich wzrost liczby bankructw sięga 90 proc.
– Sprawdzamy firmy na podstawie dostępnych danych, wywiadu środowiskowego, rzadziej sięgając po techniki detektywistyczne. To znacząco zwiększa koszt usługi – mówi Piotr Niemczyk, właściciel firmy Niemczyk i Wspólnicy, na początku lat 90. szef Urzędu Ochrony Państwa.
Jego przedsiębiorstwo, jak zastrzega, nie zajmuje się szpiegostwem przemysłowym, tylko tzw. wywiadem konkurencyjnym. Większość klientów pochodzi z zagranicy. W Polsce bowiem ten rynek jeszcze raczkuje, ale rośnie – w ciągu trzech lat firma podwoiła liczbę pracowników. – Liczba zleceń mocno się zwiększyła po bankructwie banku Lehman Brothers – przyznaje Piotr Niemczyk.
Wtedy jego firma dostała kilkadziesiąt zadań sprawdzenia, czy partnerzy klientów nie mają toksycznych amerykańskich instrumentów lub opcji walutowych, które wiele firm doprowadziły do bankructwa.
Zdaniem Niemczyka w Polsce brakuje firm zajmujących się wyłącznie zleceniami dla biznesu. Przeważnie biorą je przy okazji agencje detektywistyczne, których podstawową działalnością jest śledzenie zdradzających żon czy mężów.
Brakuje też świadomości zagrożeń. Dopiero kiedy firma poniesie straty, zaczyna się interesować takimi usługami. W większości przedsiębiorstw nie ma nawet zabezpieczeń przed skopiowaniem tajemnic na nośniki typu pendrive ani odpowiednich zabezpieczeń sieci WiFi.
– Waga zagrożeń związanych z wyciekiem informacji nie była w Polsce wcześniej doceniana. Doprowadzony niekiedy do absurdu system przepustek i portierni daje tylko pozorne poczucie bezpieczeństwa – ocenia Jakub Bojanowski, dyrektor zespołu zarządzania ryzykiem w firmie Deloitte.



Oto głowa zdrajcy

Jedna z firm z branży spożywczej zauważyła dziwną zbieżność. Nagle zaczęła przegrywać przetargi, a choć były one organizowane w różnych częściach kraju, zawsze wygrywał jeden konkurent, którego oferty tylko nieznacznie różniły się od propozycji firmy X. Przedsiębiorstwo zajmujące się informatyką śledczą Mediarecovery szybko wykryło, że informacje o kwotach ofert przetargowych przekazywał konkurencji nielojalny pracownik. Robił to za pomocą uruchamianej w przeglądarce internetowej gry online OGame. Jest w niej opcja wysyłania wiadomości do innych graczy. Mediarecovery udało się też namierzyć pracowników w innej firmie, którzy dogadywali się z konkurencją za pomocą komunikatora Gadu-Gadu na temat ceny swych usług szpiegowskich.
W 2005 roku pracownik przewoźnika PKS Żary skopiował dane finansowe o spółce i przekazał konkurentowi, firmie Marvel, która próbowała ją potem kupić. Ofiarą szpiegów padły przedsiębiorstwo Metalco z Katowic, zajmujące się handlem metalami kolorowymi, oraz Fazos, spółka producenta maszyn górniczych Famur.
Nie ma rozwiązań w stu procentach zapewniających bezpieczeństwo, ale to właśnie pracownicy są najsłabszym ogniwem firmy. Zdaniem Jakuba Bojanowskiego z Deloitte najczęściej zaprzedają duszę diabłu osoby w wieku przedemerytalnym. Myślą o emeryturze i utrzymaniu dotychczasowego poziomu życia. Straty są wówczas najbardziej dotkliwe, bo świetnie znają firmę. Tak było w przypadku Harolda C. Wordena, emerytowanego pracownika Eastman Kodak Company, który odchodząc na emeryturę w 1997 r., zabrał z sobą kluczowe informacje i odsprzedał konkurencyjnej firmie za niespełna 27 tys. dol.
Na drugim miejscu są frustraci, którym wydaje się, że zostali skrzywdzeni przez kierownictwo. Steven Louis Davis, pracownik Gilette Company, po odebraniu mu stanowiska wysłał poufne informacje o nowych golarkach do konkurencji – Bic, Warner-Lambert i American Safety Razor.
W 2007 roku dane techniczne o bolidach F1 przekazywał firmie McLaren kierownik techniczny włoskiego teamu Ferrari Nigel Stepney. Afera szpiegowska wyszła na jaw dzięki pracownikowi punktu ksero w Surrey w południowej Anglii. Poinformował on zespół Ferrari, że ktoś skopiował 780 stron z danymi technicznymi włoskich aut. W wyniku afery McLaren stracił tytuł mistrzowski w kategorii konstruktorów i musiał zapłacić 100 mln dol. kary.
Najgroźniejszy jest jednak odchodzący kluczowy pracownik, który skuszony wyższymi zarobkami zabiera firmowe tajemnice jako wiano. Tak było z Alejnikowem, podobnie też działo się w przypadku najgłośniejszej sprawy o szpiegostwo przemysłowe w Europie, w którą zamieszany był w latach 90. szef zaopatrzenia General Motors Jose Ignacio Lopez. Menedżer ten, zwany dusicielem kosztów, niespodziewanie zrezygnował z pracy w GM i przeszedł do Volkswagena, zabierając z sobą 10 tys. stron ważnych dokumentów dotyczących strategii firmy. Gdy sprawa się wydała, niemiecki koncern musiał zapłacić 100 mln dol. odszkodowania.
Ile może zarobić szpieg przemysłowy? To zależy, jak zdesperowany jest odbiorca i jakie ryzyko trzeba podjąć. W Polsce może to być nawet kilkaset tysięcy złotych. Za granicą w grę w wchodzą już miliony dolarów czy euro. Joya Williams, 41-letnia menedżerka Coca-Coli z Atlanty, chciała sprzedać najpilniej strzeżoną recepturę napoju odwiecznemu konkurentowi Pepsi. Swoje usługi wyceniła na 1,5 mln dol. Pepsi powiadomiło jednak policję i biznes życia się nie udał.
Szpiegowane firmy ponoszą spore straty. Amerykańskie Stowarzyszenie Biegłych (ACE) oszacowało, że z powodu różnych nadużyć tracą 6 – 7 proc. przychodów rocznie. Duża część przypada właśnie na szpiegostwo i wykradanie danych przez pracowników.
Nic dziwnego, że poszkodowane przedsiębiorstwa robią wszystko, by wykryć kreta i zapobiec wyciekowi informacji. Szefowie instalują programy do nadzoru komputerów od prostego Oka Szefa po amerykański Spector 360, który umożliwia podgląd w czasie rzeczywistym. Program może się uaktywniać, gdy pracownik np. wstuka nazwę konkurencji.
Na polskim rynku działają dwa duże laboratoria specjalizujące się w informatyce śledczej (computer forensics) Mediarecovery i Kroll Ontruck, oba w Katowicach. Mediarecovery w 2005 roku miało 272 zlecenia, w ubiegłym już ponad trzy razy więcej – 856.
Firmy często zapędzają się za bardzo w poszukiwaniu kretów. Tak było w przypadku Hewlett Packard i Deutsche Telekom. Kilka dni temu sąd w Bonn skazał na 3,5 roku więzienia byłego szefa działu zabezpieczeń w DT Klausa Trzeschana. W latach 2005 – 2006 inwigilował 40 dziennikarzy i związkowców firmy, szukając źródła przecieków.
Kompromitacją skończyła się też podobna próba w HP, gdzie detektywi śledzili i podsłuchiwali czterech dziennikarzy oraz trzech członków zarządu, przeglądali śmietniki firmy, a nawet zastosowali e-mail pułapkę. Jeden z detektywów, podając się za źle traktowanego menedżera HP, nawiązał kontakt e-mailowy z dziennikarką z serwisu CNET, przekazując jej rzekomo poufne informacje. W e-mailu ukrył program szpiegowski. Zgodnie z rachubami dziennikarka próbowała potwierdzić u prawdziwego informatora zdobyte informacje, przesyłając mu ten e-mail. Informatorem okazał się członek rady nadzorczej George Keyworth.

Szpieg ze skośnymi oczami

W XX wieku szpiegostwo przemysłowe zyskało wymiar międzynarodowy.
Jedna z wielkich firm farmaceutycznych zaprosiła niedawno dziennikarzy do zwiedzenia nowej fabryki. Uwagę wszystkich przykuła delegacja mediów chińskich – starsi panowie, niemówiący po angielsku, w markowych garniturach, w towarzystwie asystentów, nie wyglądali ani trochę na dziennikarzy. Zwłaszcza, gdy wpadli w prawdziwy amok robienia zdjęć wbrew stanowczemu zakazowi.
Tajemnice firm pomagają wykradać miliony Chińczyków rozsianych po całym świecie, naukowcy, studenci, biznesmeni. Skala szpiegostwa przemysłowego Państwa Środka jest tak wielka, że w 2008 roku brytyjski kontrwywiad MI5 wydał raport „The Threat from Chinese Espionage”, w którym ostrzegał biznes, głównie firmy z branży finansowej, obronnej oraz energetycznej, przed pracownikami służb wywiadowczych zza Wielkiego Muru. Z kolei w Kalifornii sąd skazał na 15 lat więzienia byłego inżyniera Boeinga Dongfana Chunga, który sprzedawał informacje na temat programu kosmicznego i dane o rakietach Delta IV.
Problem dotyczy także Polski. Jeden z producentów maszyn budowlanych przeżył szok, kiedy na targach zobaczył stojącą naprzeciw niemal wierną kopię swojego produktu. Wyglądało na to, że albo ktoś z jego firmy sprzedał po cichu dokumentację, albo chiński rywal zastosował inną sprawdzoną metodę: kupił jeden egzemplarz i rozebrał go na części. Częstą praktyką jest udawanie zainteresowania zakupem i pożyczanie urządzenia na próbę.
Kontrowersyjne metody pozyskiwania informacji Chińczycy doprowadzili do perfekcji, ale to nie oni pierwsi na nie wpadli. Jeszcze 20 – 30 lat temu za mistrzów szpiegostwa przemysłowego uchodzili Koreańczycy, a wcześniej Japończycy. Nikt jednak nie robił tego na taką skalę.
Wykradanie firmowych tajemnic i usługi związane z zapewnieniem bezpieczeństwa mogą być najbardziej zyskownym przemysłem XXI wieku, lepszym od handlu narkotykami – mawiają eksperci z branży.
Ich zdaniem branżę czeka niesłychany postęp technologiczny. Przedsmak przyszłości mamy już w filmach science fiction. W „Incepcji” Leonardo DiCaprio gra szpiega przemysłowego wydobywającego od biznesmenów największe tajemnice bezpośrednio z ich umysłu.
Uważaj na klawiaturę
Aparatura służąca do podsłuchiwania lub przechwytywania poufnych danych jest niezwykle zróżnicowana. Nawet najprostsze i niedrogie urządzenia bywają równie skuteczne jak skomplikowane rejestratory rodem z filmów szpiegowskich.
Jednym z najbardziej popularnych gadżetów jest keylogger – niewyróżniająca się niczym przejściówka na kabel podłączana między klawiaturą a komputerem, która zbiera wszystkie informacje wstukiwane w klawiaturę. Cena waha się od 90 do 300 zł. Za tysiąc złotych można mieć keylogger bezprzewodowy, działający na odległość.
Najczęściej używanym aparatem są pluskwy. Tych jest całe mnóstwo – od tych przyklejanych pod stołem do latających. W zależności od możliwości technicznych urządzenia (nagrywanie dźwięku, wideo, czas pracy baterii, zasięg) trzeba się liczyć z kosztem od kilkuset do kilku tysięcy złotych. Przykładowo: rejestrator przypominający gabarytami niewielką monetę kosztuje niecałe 2,5 tys. zł. W przyszłym roku Japończycy zaprezentują gotową wersję robota Hummingbird – pluskwy mającej cztery skrzydełka, dzięki którym wleci w najbardziej niedostępne miejsca.
Na rynku aparatury szpiegowskiej zadomowiły się też wszelkiego rodzaju kamery, szczególnie zamaskowane (w kształcie śrubki, schowane za identyfikatorem czy w długopisie). Część z nich wyposażona jest w szerokokątne obiektywy, możliwość nagrywania w wysokiej rozdzielczości i detektory ruchu. Miniaturową kamerę można kupić już za 100 zł, choć bardziej profesjonalny sprzęt kosztuje nawet 2 tys. zł.