Polskie firmy na celowniku szpiegów

Michał Duszczyk

Nasze firmy padają ofiarą globalnego szpiegostwa gospodarczego, ale żadna się tym nie chwali. – W Polsce są konkretne przykłady incydentów tego typu i idące za nimi wymierne straty, ale informacje nie przedostają się do mediów. Na Zachodzie regulacje prawne obligują firmy, które stały się ofiarą incydentu, do ujawniania takich danych. Przykładem mogą być ataki na JP Morgan czy firmę e-commerce Target, z której wyciekło 40 mln danych kart płatniczych – mówi Rafał Jaczyński, ekspert ds. bezpieczeństwa cyfrowego w PwC.

Najsłabsze ogniwo

Analitycy przekonują, że szpiegostwo gospodarcze to jedno z największych zagrożeń współczesnego świata, opartego na wiedzy. Skala problemu związanego z kradzieżą m.in. własności intelektualnej jest gigantyczna.

– Dopiero od niedawna FBI zaczęło szacować skalę problemu szpiegostwa gospodarczego. Nielegalny transfer wiedzy i kapitału to gigantyczny problem, którego straty tylko w USA sięgają 400 mld dol. rocznie. W Polsce nikt skali tego procederu nie bada, ale nie ma wątpliwości, że zjawisko to dotyczy naszego kraju – mówi Jaczyński.

Z przeprowadzonych przez PwC badań wynika, że zabezpieczenia rodzimych firm i wykrywalność incydentów jest na bardzo niskim poziomie.

– Nawet jeśli spółki, będące celami ataku, są zabezpieczone przed incydentami, słabym ogniwem mogą się okazać współpracujące z nimi firmy podwykonawcze. One mogą stać się pośrednikiem w kradzieży danych. Dlatego firmy narażone na szpiegostwo gospodarcze muszą odpowiednio dobierać partnerów, stawiać im wysokie wymagania dotyczące bezpieczeństwa i nie zakładać, że outsourcing zwolni nas z ewentualnej odpowiedzialności za incydent – ostrzega ekspert PwC.

Kosztowne wycieki

Głównymi celami ataków są przedsiębiorstwa i instytucje w krajach słynących z tzw. kumulacji kapitału intelektualnego. – Jednak do 80 proc. ataków dochodzi nie dlatego, że firma ma cenne dane, lecz dlatego, że ma słabości. Nie liczy się więc profil przedsiębiorstwa, tylko fakt, że jest nieodpowiednio zabezpieczona i łatwo można ją okraść – przekonuje nasz rozmówca.

Tzw. ataków celowanych jest znacznie mniej. W takich przypadkach wybierane są konkretne firmy, atakujący dokładnie wie, jakich danych poszukuje, a metody, do których się ucieka, są bardziej wyrafinowane. – Stosowane są nie tylko techniki informatyczne, ale też klasyczne techniki szpiegowskie – podsłuchy, zabiegi socjotechniczne i inżynieria społeczna, fizyczne wejście do danego obiektu. Takie hybrydowe ataki są najtrudniejsze do zwalczania – podkreśla Rafał Jaczyński.

O tym, jak istotne jest zabezpieczenie przed szpiegostwem gospodarczym, nielegalnym transferem własności intelektualnej i wyciekiem danych, mogą świadczyć kosztowne konsekwencje ataków. – Firmę Target obsługa incydentu kosztowała 60 mln dol., nie licząc potencjalnych odszkodowań dla klientów. Ubezpieczenie pokryło jedynie 40 mln dol. wydatków. Ale nie chodzi tylko o straty wynikające z kosztów reakcji na incydent. Bardziej bolesna okazała się utrata zaufania. W kolejnym kwartale po incydencie zysk Targetu spadł o połowę – dodaje.

Jak się chronić?

Aż 83 proc. badanych firm w Polsce jest przekonanych, że zastosowane przez nie zabezpieczenia są wystarczające do ochrony danych. Specjaliści z branży bezpieczeństwa nie mają wątpliwości, że to przeświadczenie jest błędne.

PwC przygotowało przewodnik dla firm, w którym radzi, jak chronić się przed szpiegostwem przemysłowym. Eksperci radzą zwracać uwagę na potencjalne zagrożenie ze strony podsłuchów, zalecają też, by prace wykonywane przez serwis sprzątający, teleinformatyczny czy elektryczny prowadzone były w asyście ochrony. Przypominają również o dokładnym niszczeniu wyrzucanych dokumentów i stosowaniu zabezpieczeń komputerowych chroniących przed złośliwym oprogramowaniem.