Προληπτικά μέτρα κατά της βιομηχανικής κατασκοπίας

Στο σημερινό άρθρο θα εστιάσουμε στα προληπτικά μέτρα και την προστασία των χώρων που αποτελούν βασικά βήματα άμυνας έναντι της βιομηχανικής κατασκοπίας. Η σειρά αυτών των άρθρων θα ολοκληρωθεί στο επόμενο τεύχος, με τον τρόπο επιλογής των κατάλληλων συνεργατών για ένα έργο ανίχνευσης υποκλοπών.

Προληπτικά μέτρα και προστασία χώρων
Τα προληπτικά μέτρα ξεκινούν με τη φυσική ασφάλεια και τον έλεγχο πρόσβασης. Με τον τρόπο αυτό δυσχεραίνεται κάθε παράνομη είσοδος και προσπάθεια εγκατάστασης κακόβουλου εξοπλισμού. Σε μια μικρή εταιρεία είναι εύκολο να διαπιστωθεί η είσοδος κάποιου αγνώστου. Σε μεγάλες εταιρείες επιβάλλεται η ύπαρξη γραφείου υποδοχής και πιθανώς και συστήματος ελέγχου πρόσβασης.
Από την άλλη πλευρά, ακόμα και τα αυστηρότερα μέτρα ασφάλειας μπορούν να παρακαμφθούν από αποφασισμένους κακοποιούς, αλλά και από το προσωπικό που αποτελεί τον κίνδυνο «εκ των έσω». Έτσι είναι σημαντικός και ο περιορισμός της δυνατότητας των υπαλλήλων να εισέρχονται σε τομείς της εταιρείας όπου δεν έχουν λόγο εργασίας (π.χ. είσοδος στο τμήμα έρευνας ενός υπαλλήλου του λογιστηρίου). Ειδικά για τον «εσωτερικό κίνδυνο», εκτός του τεχνικού εξοπλισμού ανίχνευσης διαρροής δεδομένων και απαγόρευσης χρήσης αφαιρούμενων μέσων αποθήκευσης δεδομένων, θα πρέπει να λαμβάνουν χώρα τακτικοί έλεγχοι .
Παράλληλα, οπτικοί έλεγχοι μπορεί να λαμβάνουν χώρα και από το προσωπικό της εταιρείας. Ακόμα και χωρίς εξοπλισμό, η μέθοδος αυτή είναι μια καλή ιδέα ώστε να υπάρχει μια στοιχειώδης προστασία – τουλάχιστον από τις μικρότερες απειλές – μέχρι τη στιγμή που θα λάβει χώρα η επαγγελματική ανίχνευση από την εξειδικευμένη εταιρεία. Στοιχεία που μπορεί να αναζητούνται είναι καλώδια, νέα έπιπλα, αλλοιώσεις σε τοίχους και πατώματα κ.ο.κ., σύμφωνα με τις οδηγίες που περιγράψαμε σε προηγούμενα άρθρα. Προληπτικοί έλεγχοι υποκλοπών μπορούν να γίνονται και πριν από σημαντικές συσκέψεις, ιδιαίτερα στις αίθουσες-γραφεία όπου θα λάβουν χώρα.
Ανεξαρτήτως των τεχνικών ελέγχων, υπάρχουν ορισμένα προφανή σημεία που θα πρέπει να προσεχθούν. Έτσι, το προσωπικό θα πρέπει να είναι έμπιστο και ικανοποιημένο από την εργασία του στην εταιρεία και να εκπαιδευθεί ώστε να αντιλαμβάνεται τη σημασία των εμπιστευτικών πληροφοριών. Εκτός από τα εμπορικά μυστικά, θα πρέπει να προστατεύονται και οι απλές, καθημερινές πληροφορίες, οι οποίες είναι αναγκαίες για τη λειτουργία της εταιρείας. Αυτές οι πληροφορίες περιλαμβάνουν και τις καταστάσεις μισθοδοσίας και τις συμβάσεις οι οποίες θα πρέπει οπωσδήποτε να φυλάσσονται σε κλειδωμένα συρτάρια. Σαν παράδειγμα, αν κάποιος υπάλληλος διαπιστώσει ότι ένας εργαζόμενος της εταιρείας, στο ίδιο επίπεδο, έχει υψηλότερες αποδοχές, μπορεί να αποκτήσει αρνητική στάση για την εταιρεία και να εξελιχθεί σε απειλή. Στο ίδιο μήκος κύματος, όταν οι εργαζόμενοι αποχωρούν, θα πρέπει να κλειδώνουν στα συρτάρια τους τα εμπιστευτικά έγγραφα.
Αντίστοιχα, σαφείς διαδικασίες για την αναφορά προβλημάτων και περιστατικών ασφάλειας επιτρέπουν στον εργαζόμενο να μπορεί άμεσα να δράσει, περιορίζοντας την έκταση ενός συμβάντος. Συνολικά, ένα σύστημα διαχείρισης ασφάλειας πληροφοριών (ISMS) όπως το ISO 27001:2005 αποτελεί ένα καλό βήμα, τόσο για την ανάδειξη των επικινδυνοτήτων όσο και για την κατάρτιση των πολιτικών ασφάλειας και των αναγκών εκπαίδευσης για την αντιμετώπισή τους.
Τα εμπιστευτικά έγγραφα και άλλα ευαίσθητα αντικείμενα μπορεί να σημανθούν με μαρκαδόρο «αόρατης» μελάνης (αυτή γίνεται ορατή μόνο παρουσία υπεριώδους φωτισμού). Έτσι αποκαλύπτεται αν κάποιος άγγιξε τα αντικείμενα κατά την απουσία μας. Χαρακτηριστικό τέτοιο παράδειγμα είναι η σημείωση της θέσης που έχουν οι βίδες μιας συσκευής (π.χ. του τηλεφώνου), τραβώντας μια γραμμή με τον ειδικό αυτό μαρκαδόρο. Αν βίδα ξεβιδωθεί και ξαναβιδωθεί, είναι απίθανο να επιστρέψει στην ίδια ακριβώς θέση. Οπότε θα υπάρχει μια τομή όπως φαίνεται στην εικόνα 1, όπου έχουμε σημειώσει με γαλάζιο χρώμα το μελάνι όπως φαίνεται κάτω από υπεριώδη φωτισμό. Ακόμα πιο «επιθετικά» μπορούν να χρησιμοποιηθούν ειδικές χρωστικές που παραμένουν στα χέρια των «περίεργων» σε περίπτωση που υπάρχει υποψία για κάποιον από το εσωτερικό της εταιρείας.

Συστήματα διασφάλισης απορρήτου επικοινωνιών
Εκτός από την «παθητική» ανίχνευση υποκλοπών όπου γίνεται αναζήτηση εκπομπών χωρίς να επηρεάζεται η λειτουργία των διατάξεων υποκλοπών, είναι δυνατό να υπάρξει και μια «ενεργητική» αντιμετώπισή τους, παρεμποδίζοντας τη λειτουργία τους. Μια αίθουσα συσκέψεων ή ένα γραφείο μπορεί να εξοπλιστεί με διατάξεις παρεμβολών και διασφάλισης απορρήτου επικοινωνιών, ώστε να αποφευχθεί ο κίνδυνος της υποκλοπής πληροφοριών κατά τη διάρκεια μιας εμπιστευτικής συνομιλίας.
Για τις διατάξεις εκπομπής χρησιμοποιούνται παρεμβολείς (jammers). Ο παρεμβολέας κινητών (mobile phone jammer) καλύπτει όλες τις περιοχές λειτουργίας κινητών, για προστασία από κρυμμένα κινητά τηλέφωνα που δρουν ως διατάξεις υποκλοπών. Παράλληλα, ο παρεμβολέας ασύρματων καμερών (wireless camera jammer) και ασύρματων δικτύων (οι περισσότερες ασύρματες κάμερες λειτουργούν στην ίδια ζώνη συχνοτήτων με τα ασύρματα δίκτυα – 2,4GHz) προσφέρει ένα επιπλέον στάδιο προστασίας.
Αντίστοιχα, ο παρεμβολέας αναλογικών και ψηφιακών εγγραφέων παρεμβαίνει στη λειτουργία καταγραφικών διατάξεων, ακόμα και αν οι τελευταίες δεν εκπέμπουν. Αποτελεί μια συσκευή που εμποδίζει την ηχογράφηση συνομιλιών σε κάποιο χώρο, εξουδετερώνοντας τα μικρόφωνα που χρησιμοποιούν οι κάθε είδους εγγραφείς ήχου. Υπάρχουν δύο βασικές κατηγορίες τέτοιων μηχανημάτων. Η απλούστερη, όπως αυτή της Εικόνας 2, παράγει λευκό θόρυβο (ήχο τυχαίας συχνότητας και πλάτους, σαν το θόρυβο που κάνει μια αναλογική τηλεόραση όταν δεν είναι συντονισμένη σε κάποιο κανάλι). Ο θόρυβος αυτός αναμειγνύεται με την ομιλία. Το τελικό αποτέλεσμα που ηχογραφείται στον εγγραφέα είναι πολύ δύσκολο να γίνει αντιληπτό. Προφανώς, ο ήχος αυτός γίνεται αντιληπτός και από τους συνομιλητές στο χώρο, οπότε είναι μια αρκετά ενοχλητική λύση.

Πιο εξελιγμένα μηχανήματα όπως αυτό της εικόνας 3, παράγουν μη ακουστικές συχνότητες στην περιοχή των υπερήχων για να καταφέρουν το ίδιο αποτέλεσμα. Για να μη γίνονται αντιληπτές μάλιστα, μπορεί να είναι ενσωματωμένες σε κάποια «αθώα» διάταξη, όπως ένα ρολόι.
Για εξαιρετική ασφάλεια είναι δυνατό να χρησιμοποιηθεί ένα σύστημα ενδοσυνεννόησης. Στην απλούστερή του μορφή βρίσκεται σε ένα κράνος με μικρόφωνο και ακουστικά, που συνδέεται με το αντίστοιχο του συνομιλητή. Η φωνή του συνομιλητή ενισχύεται από το μικρόφωνο και μεταφέρεται στο ακουστικό του άλλου συνομιλητή. Παράλληλα, λόγω του κράνους δεν γίνεται αντιληπτή παραέξω.

Τέλος, σε περίπτωση όπου έχει διασφαλισθεί ότι δεν υπάρχουν διατάξεις υποκλοπών στο χώρο, τότε πρέπει να προστατευθούν και οι τηλεφωνικές επικοινωνίες. Αυτό είναι δυνατό με τη χρήση κρυπτοσυσκευών (τόσο για κινητά όσο και για σταθερά τηλέφωνα), οι οποίες προφανώς κρυπτογραφούν την επικοινωνία.

Επίλογος
Υλοποιώντας τις υποδείξεις αυτές και επαναλαμβάνοντας τους ελέγχους σε τακτικά χρονικά διαστήματα – σε συνδυασμό με την υιοθέτηση βέλτιστων πρακτικών, συστημάτων διαχείρισης ασφάλειας πληροφοριών (όπως το ISO 27001) και εκπαιδευτικών προγραμμάτων – η εταιρεία κάνει τα βασικά βήματα για την προστασία από τον κίνδυνο της βιομηχανικής κατασκοπίας.
Τι συμβαίνει όμως στην περίπτωση όπου όντως στην εταιρεία ανακαλύπτεται κάτι ύποπτο; Αρχικά θα πρέπει να υπάρξει ψυχραιμία. Μην αφαιρέσετε τη διάταξη. Το εύρημα επιβάλλεται να μείνει κρυφό ακόμα και μέσα στην εταιρεία. Επίσης, ασφαλίστε το χώρο ώστε να είναι αδύνατη η πρόσβαση χωρίς την παρουσία σας, αλλά παράλληλα φροντίστε να λαμβάνουν χώρα καθημερινές ασήμαντες συζητήσεις. Με τον τρόπο αυτό, ο ωτακουστής δεν θα αντιληφθεί ότι η διάταξή του έχει ανακαλυφθεί. Διαφορετικά, η απότομη παύση κάθε είδους συνομιλιών μπορεί να του προκαλέσει υποψίες ότι ανακαλύφθηκε. Αφού εξασφαλισθούν τα προηγούμενα, πραγματοποιήστε μια ασφαλή επικοινωνία (από καρτοτηλέφωνο π.χ.) με εξειδικευμένη εταιρεία ανιχνεύσεων υποκλοπών, ώστε να σας καθοδηγήσει για τα περαιτέρω βήματα. Στο επόμενο άρθρο παρουσιάζεται επακριβώς ο τρόπος επιλογής της κατάλληλης εταιρείας.

Δρ. Ιωσήφ Ι. Ανδρουλιδάκης
Σύμβουλος Ασφάλειας Τηλεπικοινωνιακών Συστημάτων
sandro@noc.uoi.gr