Βιομηχανική κατασκοπία
"¶λλοτε, όταν τεράστιες περιουσίες σχηματίζονταν στη διάρκεια του πολέμου, ο πόλεμος τότε ήταν επιχείρηση. Τώρα, όπου τεράστιες περιουσίες δημιουργούνται από τις επιχειρήσεις, η επιχείρηση είναι πόλεμος"
Christian Nestell Bovee (1820-1904),
Αμερικανός συγγραφέας & εκδότης
Στις 17 Ιουλίου 2008 δόθηκε στη δημοσιότητα έρευνα (Security & Privacy Report), η οποία διενεργήθηκε πανεθνικά στις Η.Π.Α., με αντικείμενο τον προσδιορισμό της κύριας απειλής κατά επιχειρήσεων και οργανισμών. Η έρευνα κατέδειξε ότι απειλές εσωτερικές (internal threats), προερχόμενες από το ίδιο το οικοσύστημα της επιχείρησης ή του οργανισμού, είναι το μεγαλύτερο πρόβλημα σε σχέση με απειλές προερχόμενες από το εξωτερικό περιβάλλον (external threats). Η έρευνα επίσης αναφέρει ότι ο αριθμός των επιχειρήσεων στις ΗΠΑ που έχουν "απολέσει" εμπιστευτικές πληροφορίες και έχουν υποστεί μείωση της ικανοποίησης της πελατειακής τους βάσης, έχει αυξηθεί στο 55% και 65% αντίστοιχα, τα δύο τελευταία χρόνια.
Σύμφωνα με την έρευνα, μέσα στο 2008 περισσότερο από το 38% των συμμετεχόντων στην έρευνα επιχειρήσεων, έχουν απολέσει εμπιστευτικές πληροφορίες (εμπορικά μυστικά, φάκελοι προσωπικού, οικονομικά στοιχεία, καταστάσεις μισθοδοσίας κ.λπ.) σε σχέση με ποσοστό 22% το 2006, "απώλειες" οι οποίες οφείλονται σε αδυναμία του συστήματος ασφαλείας. Επιπρόσθετα, η μείωση της ικανοποίησης της πελατειακής τους βάσης (απώλεια έξωθεν καλής μαρτυρίας, απώλεια καλής φήμης/ποιότητας προϊόντων) έχει αυξηθεί σημαντικά, από το 20% του 2006 στο 33% το 2008. Καταγράφηκαν επίσης στην έρευνα πρόσθετα επιχειρηματικά κόστη (απώλειες), οφειλόμενα και αυτά στην αδυναμία του συστήματος ασφαλείας περιλαμβανομένων:
- Απώλεια παραγωγικότητας -61% μέσα στο 2008, σε σχέση με 52% του 2006
- Απώλεια εμπιστοσύνης -35% μέσα στο 2008, σε σχέση με 30% το 2006
- Επιχειρηματική δυστοκία -33% μέσα στο 2008, σε σχέση με 28% το 2006.
Οι συμμετέχοντες στην έρευνα οργανισμοί και επιχειρήσεις, ως αίτιο των επιχειρηματικών απωλειών – και αντίστοιχα της μείωσης της πελατειακής τους βάσης, προσδιόρισαν τη συνεχώς μεταβαλλόμενη φύση και προέλευση της απειλής.
Κεντρική προσέγγιση
Εναρκτήριο λάκτισμα για το παρόν άρθρο, αποτέλεσαν τρία άρθρα-δείκτες του τεύχους 16, Ιούλιος-Αύγουστος 2008, του παρόντος έγκριτου περιοδικού:
- Η αξία της πληροφορίας, του κου Γιώργου Διάκου, εγνωσμένης εμπειρίας Security Manager & μέλους της BECCA (Business Espionage Controls & Countermeasures Association)
- Ιστορική γνώση & συνεργασία, επιστημονική έρευνα των φοιτητών του New York College-Course in Security Management, υπό την επίβλεψη του υπευθύνου καθηγητή, Δασκάλου μου και Top Security Manager με διεθνή καταξίωση, Δρος. Σπυρίδωνα Κυριακάκη, Ph.D, CCO (Certified Confidentiality Officer).
- Ο πόλεμος των "Βιομηχανικών κατασκόπων", του έγκριτου δημοσιογράφου κ. Β.Γ. Λαμπρόπουλου, του οποίου η γραφή διευρύνει ανελλιπώς το γνωστικό μου ορίζοντα.
Δύο αρθρογράφοι και μία ομάδα σπουδαστών, γλαφυρά, σπονδυλωτά και με ακρίβεια, μας προσδιορίζουν την απαίτηση προφύλαξης εταιρικών μυστικών ασχέτως μορφής, τις βέλτιστες πρακτικές αντιμετώπισης με βάση το ιστορικό αρχείο (καταγεγραμμένα γεγονότα-δεδομένα) και τέλος, τις ασκούμενες πρακτικές (τεχνολογικές), παράνομης απόκτησής τους. Προσδιορίζουν τα παραπάνω με σαφήνεια, ένα από τα επιμέρους πεδία της ασφάλειας (ίσως το σημαντικότερο), περισσότερο γνωστό σε όλους μας με τους όρους Βιομηχανική ή Οικονομική ή Επιχειρηματική κατασκοπεία. Όροι με την ίδια σημασία (απώλεια μυστικών υπέρ τρίτων με στόχο το κέρδος) και τα ίδια καταστροφικά αποτελέσματα για το υποκείμενο.
Βιομηχανική Κατασκοπεία
Έτσι έχει επικρατήσει να προσδιορίζεται το σύνολο των ενεργειών επιθετικής μυστικής δράσης, που έχει στόχο τον αντίπαλο επιχειρηματία. Το ορθό είναι ότι Βιομηχανική Κατασκοπεία είναι μια μορφή δραστηριότητας (παράνομης) του λεγόμενου Marketing Warfare, που περιλαμβάνει:
Βιομηχανική κατασκοπεία, που στόχο της έχει τη συλλογή επιχειρηματικών πληροφοριών, με τη χρήση των παρακάτω μεθόδων-ενεργειών:
- Ηuman Intelligence (HUMINT). Είναι πληροφορίες που συλλέγονται μέσω ανθρώπων ή προέρχονται από ανθρώπους. (ακούσια ή εκούσια).
- Imagery Intelligence (IMINT). Είναι πληροφορίες που συλλέγονται μέσω τεχνικών απεικόνισης, με τη χρήση δορυφόρων έως τη χρήση μικρο-κάμερας.
- Signal Intelligence (SIGINT). Είναι πληροφορίες που συλλέγονται μέσω σημάτων υποκλαπέντων.
- Measurements & Signature Intelligence (MASINT). Είναι πληροφορίες που συλλέγονται μέσω ποσοτικής και ποιοτικής ανάλυσης δεδομένων, προερχομένων από τεχνικούς ή τεχνολογικούς αισθητήρες.
- Open Source Intelligence (OSINT). Είναι πληροφορίες που συλλέγονται μέσω δημοσίως διατιθεμένων μέσων (εφημερίδες, περιοδικά, ΤV, Internet, κ.λπ.) ή δυνάμενες να αποκτηθούν μετά από αίτημα ή παρατήρηση.
Απλή λογική ανάλυση του ορισμού αλλά και των παραπάνω τρόπων διενέργειας της Βιομηχανικής Κατασκοπίας, αβίαστα οδηγεί κάθε καλόπιστο στο οφθαλμοφανές συμπέρασμα ότι ως ενέργεια-δράση, είναι παράνομη. Ως παράνομη ενέργεια-δράση είναι μονοσήμαντη ή εμπίπτει στην κατηγορία του οργανωμένου εγκλήματος.
Ως οδηγό για περαιτέρω βοήθεια-ανάλυση-προσδιορισμό του τι ακριβώς (μονοσήμαντο ή οργανωμένο) είδος παρανομίας/εγκλήματος είναι η Βιομηχανική Κατασκοπία, θα παρατεθούν στοιχεία από το εξαιρετικό εγχειρίδιο Ασφάλειας & Προστασίας των Purpura-Κυριακάκη, Παραπληρωματικά Κείμενα α.α.7, σελίδα 544 και επόμενες, όπου γίνεται παράθεση των χαρακτηριστικών του οργανωμένου εγκλήματος.
Τι είναι όμως έγκλημα; Ο κλασικός ορισμός του καθηγητή Χωραφά, ορίζει ότι έγκλημα είναι η άδικη πράξη, που προβλέπεται ειδικά από κάποιο νόμο, απειλείται με ορισμένη ποινή, βάσει του νόμου αυτού και είναι καταλογιστή στον πράξαντα.(σελίδα 495 του παραπάνω εγχειριδίου).
"Το οργανωμένο έγκλημα ως φαινόμενο, παρουσιάζει ιδιαιτερότητα και πολυπλοκότητα. Στο πλαίσιο της Ε.Ε. και της ΙΝΤΕΡΠΟΛ, προσδιορίστηκαν έντεκα (11) χαρακτηριστικά του. Για να χαρακτηρισθεί ένα έγκλημα ότι αποτελεί πράξη οργανωμένου εγκλήματος ή ότι άτομα εμπλέκονται στο οργανωμένο έγκλημα, θα πρέπει να συντρέξουν τουλάχιστον έξι από τα έντεκα χαρακτηριστικά που προσδιορίσθηκαν. Σ’ αυτά τα έξι όμως, θα πρέπει να συμπεριλαμβάνονται οπωσδήποτε τα πρώτα τέσσερα σημεία, απ’ αυτά που αναφέρονται στη συνέχεια.
- .Συνεργασία μεταξύ περισσοτέρων από δύο προσώπων
- Μεγάλη ή απροσδιόριστη χρονική διάρκεια όσον αφορά στη δράση της ομάδας ή όταν οι πραγματικές καταστάσεις είναι τέτοιες, που προκαθορίζουν ότι η ομάδα είναι ενδεχόμενο να δράσει επί μεγάλο χρονικό διάστημα.
- Υπόνοιες διάπραξης σοβαρών ποινικών αδικημάτων.
- Βασικός στόχος είναι η επιδίωξη κέρδους ή ισχύος ή και των δύο μαζί.
- Υφίσταται καταμερισμός καθηκόντων.
- Υπάρχει μια μορφή εσωτερικής πειθαρχίας των μελών του κυκλώματος και ένα είδος ελέγχου τους, από την "κορυφή".
- Η δράση είναι διεθνής.
- Χρησιμοποιείται η βία ή άλλα μέσα (π.χ. απειλές) ως μέσα εκφοβισμού.
- Χρησιμοποιούνται εμπορικές ή επιχειρηματικές δομές για "βιτρίνα".
- Υπάρχει εμπλοκή σε διαδικασίες νομιμοποίησης εσόδων από παράνομες δραστηριότητες (ξέπλυμα χρήματος).
- Καταβάλλονται προσπάθειες άσκησης επιρροής στους τομείς της πολιτικής, των ΜΜΕ, της Δημόσιας Διοίκησης, της Οικονομίας και της Δικαιοσύνης".
Αναγνωρίζονται ευκρινώς τα στοιχεία που συνηγορούν στο ότι η Βιομηχανική Κατασκοπία αποτελεί πράξη οργανωμένου εγκλήματος:
- Βιομηχανική αντικατασκοπία (Industrial Counter Espionage). Αυτή προσδιορίζεται ως ένα σύνολο "αμυντικών" ενεργειών για να αποτραπεί η βιομηχανική κατασκοπία. ¶λλος διεθνώς καθιερωμένος όρος είναι ο όρος Business Espionage Controls & Countermeasures².
- Δολιοφθορές (Sabotage) σε εγκαταστάσεις και σε μέσα του "αντιπάλου".
- Προπαγάνδα & Αγκιτάτσια. Χρησιμοποιείται για την πειθώ και τη συναισθηματική αναταραχή, αντίστοιχα, των πελατών ή των εν δυνάμει πελατών.
Το βασικό "ερέθισμα" για την άσκηση κατασκοπίας σε βάρος ενός οργανισμού ή επιχείρησης, είναι το ότι: "Εάν υπάρχει προϊόν ή υπηρεσία προς πώληση, τότε υπάρχει κάτι το οποίο αξίζει να κλαπεί"³. Προστατεύοντας εμπορικά μυστικά και κρίσιμες ή ευαίσθητες επιχειρηματικές πληροφορίες από κλοπή μέσω κατασκοπίας, είναι σημαντικότατη λειτουργία ασφάλειας για όλα τα ιεραρχικά επίπεδα διοίκησης μιας επιχείρησης ή ενός οργανισμού, ιδιαίτερα σε διευθυντικό επίπεδο (Senior Management). Η BECCA (Business Espionage Controls & Countermeasures Association), η μοναδική διεθνώς ένωση η οποία ασχολείται αποκλειστικά και μόνον με την καταπολέμηση της επιχειρηματικής κατασκοπίας, έχει προσδιορίσει τέσσερις πρωτεύουσες περιοχές κινδύνου άσκησης κατασκοπίας, αποτέλεσμα μιας από τις πρώτες ερευνητικές εργασίες της ένωσης. Είναι διεθνώς γνωστές ως Τhe Four Faces of Business EspionageR και είναι οι ακόλουθες:
- Eπιθέσεις βασισμένες σε πρόθεση
- Κατάχρηση στη χρήση υπολογιστών
- Παρακολούθηση με τη χρήση Τεχνικών Μέσων
- Κεκαλυμμένες επιθέσεις.
Εχεμύθεια ή Εμπιστευτικότητα*
Αντίδοτο ή καταλύτης για την καταπολέμηση της υφαρπαγής εταιρικών δεδομένων (επιχειρηματικές πληροφορίες) αποτελούν ορισμένα στοιχεία, το σπουδαιότερο των οποίων είναι το στοιχείο της εχεμύθειας ή εμπιστευτικότητας και η εφαρμογή του σε όλα τα επίπεδα, μέσω άσκησης πολιτικής εχεμύθειας. Η εχεμύθεια αναφέρεται στο ποιος μπορεί να πάρει και τι είδους επιχειρηματικές πληροφορίες. Παραδείγματος χάρη, ανώτεροι υπάλληλοι, ενδιαφερόμενοι για την προστασία των στρατηγικών σχεδίων της επιχείρησής, των εμπορικών μυστικών, των δομών τιμολόγησης, της πνευματικής ιδιοκτησίας κ.λπ., από τους ανταγωνιστές. Η δε πολιτική εχεμύθειας είναι ένα δημοσιευμένο έγγραφο (ή σύνολο εγγράφων) στο οποίο αναφέρεται η επιχειρησιακή φιλοσοφία, η στρατηγική, οι πολιτικές και οι πρακτικές όσον αφορά την εχεμύθεια και προστασία των επιχειρησιακών μυστικών (Ν146 του 1914 Περί αθεμίτου Ανταγωνισμού). Ένα ιδανικό σύνολο αρχών άσκησης πολιτικής εχεμύθειας πρέπει να διακρίνεται από τις ιδιότητες:
- Απλότητα – για να εξασφαλισθεί ότι εύκολα ανακαλούνται στη μνήμη
- Σαφήνεια – για να τις καταστήσει κατανοητές εύκολα
- Ευελιξία – ώστε να εξασφαλιστεί ότι με κάποιο τρόπο καλύπτει όλες τις πιθανές καταστάσεις.
Κατά συνέπεια, μια πολιτική εχεμύθειας είναι ένα σύνολο μηχανισμών που καθιερώνονται από έναν CCO (Certified Confidentiality Officer), με τη βοήθεια του οποίου ο κρίσιμος στόχος προστασίας των εμπιστευτικών επιχειρησιακών πληροφοριών επιτυγχάνεται. Για λόγους κατανόησης, ο όρος "Εμπιστευτική Πληροφορία" σημαίνει όλες τις τεχνικές και τις εμπορικές πληροφορίες μιας επιχείρησης και οποιεσδήποτε άλλες πληροφορίες που είναι εμπιστευτικές ή ιδιόκτητες ή ανταγωνιστικά ευαίσθητες:
Τεχνικές πληροφορίες: Έίναι όλα τα επιχειρηματικά σχέδια, εμπορικές στρατηγικές, εγχειρίδια διαδικασιών, εμπορικά μυστικά, εφευρέσεις, ανακαλύψεις, τεχνογνωσία, τύποι, διατυπώσεις, συνθέσεις, προδιαγραφές, διπλώματα ευρεσιτεχνίας, αιτήσεις διπλώματος ευρεσιτεχνίας, πνευματικά δικαιώματα, λογισμικό και εφαρμογές, σχέδια, σχηματικές αναπαραστάσεις, διαδικασίες, τεχνολογικές διαδικασίες, τεχνικές κατασκευής, δοκιμές, αποτελέσματα της δοκιμής, έρευνα και ανάπτυξη και παρόμοιες τεχνικές πληροφορίες, όλες τις πραγματικές και προτεινόμενες τροποποιήσεις και τις αλλαγές που γίνονται μαζί με το που δημιουργούνται, που αναπτύσσονται, που εφευρίσκονται ή που ανακαλύπτονται από ή και εκ μέρους μιας επιχείρησης και,
Επιχείρηση & Εμπορικές πληροφορίες. Είναι όλες οι πληροφορίες σχετικά με τα χρηματοοικονομικά, τα χρηματοοικονομικά αποτελέσματα των διαδικασιών, οικονομικές προβολές, επαφές με τους πελάτες και ενδεχόμενους πελάτες, ενδεχόμενες επιχειρησιακές αποκτήσεις, κατάλογοι πελατών και οι αναμενόμενες απαιτήσεις, οι αντιπρόσωποι πελατών, οι κατάλογοι ενδεχόμενων πελατών και οι αναμενόμενες ή ενδεχόμενες απαιτήσεις, δαπάνες, τιμολόγηση, περιθώρια, πωλήσεις, ποσότητες, σχέδια προϊόντων, πληροφορίες αγοράς, εντολές αγοράς, πηγές ανεφοδιασμού, προβολές, όλες οι συμβάσεις ή οι συμφωνίες που περιέχουν τις διατάξεις εμπιστευτικότητας, το περιεχόμενο όλων των συμφωνιών σχετικά με οτιδήποτε από προηγούμενες ενέργειες και όλες τις άλλες πληροφορίες σχετικά με μια επιχείρηση, πληροφορίες που είναι είτε εμπιστευτικές είτε ιδιόκτητες είτε ανταγωνιστικά ευαίσθητες.
¶λλες Πληροφορίες & Τεκμηρίωση: Όλα τα αρχεία, οι εκθέσεις, οι αναλύσεις, τα υπομνήματα, οι σημειώσεις, οι αναλύσεις, οι συντάξεις, οι μελέτες, οι εκθέσεις και τα αντίγραφα και τα αποσπάσματα αυτών, που περιέχουν οποιαδήποτε εμπιστευτική πληροφορία καταγεγραμμένη σε οποιαδήποτε μορφή.
Οι τέσσερις νόμοι της εχεμύθειας είναι :
- Νόμος 1: Οι πληροφορίες που προστατεύονται πρέπει να προσδιοριστούν συγκεκριμένα.
- Νόμος 2: Οι πληροφορίες πρέπει να είναι εμπορικά ευαίσθητες. Αυτό σημαίνει ότι οι πληροφορίες δεν πρέπει να μαθευτούν γενικά ή να είναι εύκολα εξακριβώσιμες.
- Νόμος 3: Η κοινοποίηση θα προκαλούσε την αδικαιολόγητη ζημία στον ιδιοκτήτη των πληροφοριών ή σε ένα άλλο συμβαλλόμενο μέρος.
- Νόμος 4: Οποιεσδήποτε πληροφορίες ορίζονται από συμφωνία ότι θα παραμείνουν εμπιστευτικές.
Τι είναι εκτίμηση εχεμύθειας;
- Μια αναζήτηση των ευπαθειών της επιχείρησης, μέσω της συλλογής και της ανάλυσης πληροφοριών.
- Ένας τρόπος να προσδιοριστούν οι διαρροές, οι πηγές και δείκτες, ενδεχομένως εκμεταλλεύσιμοι από έναν εχθρό ή έναν αντίπαλο.
- Ενέργεια που διενεργείται από την οπτική πλευρά ενός εχθρού.
- Έρευνα εστιασμένη στην αναζήτηση δεδομένων και όχι λαθών.
Γιατί να διενεργείται εκτίμηση εχεμύθειας;
- Ο κίνδυνος, αναπτύσσεται με την πάροδο του χρόνου, λόγω ρουτίνας – και η ρουτίνα εξασθενίζει τη συνειδητοποίηση του προσωπικού ως προς την προστασία στην επιχειρηματική δραστηριότητα.
- Οι στερεοτυπημένοι τρόποι επίτευξης στόχων ή οι εύκολα αξιοπρόσεκτες αποκλίσεις από τις διαδικασίες, μπορούν να γίνουν ευπάθειες.
- Σε τέτοιες καταστάσεις, θα είναι κατάλληλη μια περιεκτική εξέταση των λειτουργικών διαδικασιών και των πρακτικών.
Τι είναι διαχείριση εχεμύθειας;
Η διαχείριση εμπιστευτικότητας είναι η βασισμένη στην ανάλυση του κινδύνου επιστημονική, συντονισμένη και συνεργατική δράση, την οποία μια επιχείρηση αναλαμβάνει, έχοντας ως σημείο εκκίνησης την ανάλυση των τεσσάρων φάσεων επιχειρηματικής κατασκοπείας (προφασισμένες και καλυμμένες επιθέσεις, κατάχρηση υπολογιστών, επιτήρηση με χρήση τεχνολογίας, μυστικές επιθέσεις), για να προστατεύσει τις κρίσιμες επιχειρησιακές πληροφορίες, που αποτρέπουν τις κλοπές της πνευματικής ιδιοκτησίας, συμπεριλαμβανομένης της ιδιοκτησίας που προστατεύεται από τα πνευματικά δικαιώματα, εμπορικά σήματα και διπλώματα ευρεσιτεχνίας, αποτρέποντας κατά συνέπεια μια καταστροφή.
Η διαχείριση εμπιστευτικότητας είναι μια δομημένη διαδικασία για:
- Ελαχιστοποίηση της πιθανής απώλειας μυστικών εμπορίου/επιχειρήσεων.
- Αποφυγή της ζημιάς στην επιχείρηση.
- Σταθεροποίηση των ασφαλιστικών δαπανών.
- Προστασία της επιχείρησης από τις οικονομικές απώλειες.
Ποιοι είναι οι τύποι εχεμύθειας;
- Πλήρης – όλες οι πηγές και οι δείκτες ερευνώνται.
- Περιορισμένος – μία ή περισσότερες πηγές ή/και δείκτες αξιολογούνται.
Μέθοδοι ερευνών εχεμύθειας
- Ορατός. Εξετάζει την επιχείρηση, το πρόγραμμα ή τη δραστηριότητα από «μέσα προς τα έξω»: Η παρατήρηση των δραστηριοτήτων, συνεντεύξεις, με τη συλλογή εγγράφων από το προσωπικό, την απόκτηση κοινωνικής επαφής, την αναθεώρηση και την ανάλυση. Ο CCO ενημερώνεται για την αποστολή της επιχείρησης και για το τι είναι κρίσιμο για την επιτυχία
- Αόρατος. Εξετάζει την επιχείρηση, το πρόγραμμα ή τη δραστηριότητα από "έξω προς τα μέσα". Ο CCO δεν ενημερώνεται για την αποστολή της επιχείρησης και το τι είναι κρίσιμο για την επιτυχία. Επιχειρείται αληθινή εχθρική και αντίπαλη προσέγγιση.
Επίσημη έκθεση πολιτικής εχεμύθειας
Πριν από την ανάπτυξη ενός διοικητικού προγράμματος διαχείρισης εμπιστευτικότητας, δομείται μια επίσημη έκθεση πολιτικής στη διαχείριση εμπιστευτικότητας. Αυτό στέλνει ένα μήνυμα στο προσωπικό για τη σημασία ενός διοικητικού προγράμματος εμπιστευτικότητας. Στην επίσημη έκθεση πολιτικής πρέπει να περιλαμβάνονται τα εξής:
- Ο στόχος του διοικητικού προγράμματος εμπιστευτικότητας.
- Ο σύνδεσμος μεταξύ της διαχείρισης εμπιστευτικότητας και της γενικής επιχειρηματικής πολιτικής.
- Το προσωπικό τι ενέργειες πρέπει να κάνει για να διατηρήσει την εμπιστευτικότητα.
- Ο προσδιορισμός του προσώπου στην επιχείρηση, αρμόδιου για τις τρέχουσες διοικητικές προσπάθειες υλοποίησης πλαισίου εμπιστευτικότητας.
Τα τέσσερα επίπεδα εχεμύθειας στις επιχειρηματικές συναλλαγές
Επίπεδο 0 – Συναλλαγές χωρίς το περιεχόμενο επιχειρησιακών πληροφοριών.
Καθορισμός: Το επίπεδο 0 εμπιστευτικότητας είναι κατάλληλο για τις επιχειρηματικές συναλλαγές που δεν περιλαμβάνουν κανένα περιεχόμενο επιχειρησιακών πληροφοριών. Συγκεκριμένα, η κοινοποίηση των πληροφοριών συναλλαγής σε επίπεδο 0 προκαλεί:
- ελάχιστη δυσχέρεια στην επιχείρηση ή
- κανένα κίνδυνο για την επιχείρηση ή
- ελάχιστη οικονομική απώλεια ή
- καμία ζημία στην επιχειρηματική στάση ή τη φήμη.
Παραδείγματα: Ένα παράδειγμα μιας συναλλαγής επιπέδου 0 εμπιστευτικότητας, είναι μια ανάγνωση πελατών ή μεταφόρτωση δημόσια διαθέσιμης πληροφορίας από τον επιχειρηματικό ιστοχώρο. Η κοινοποίηση των πληροφοριών συναλλαγής σε έναν τρίτο, δεν θα προκαλούσε καμιά δυσχέρεια ή κίνδυνο στην επιχείρηση.
Επίπεδο 1 – Προστασία των δευτερευουσών επιχειρησιακών πληροφοριών.
Καθορισμός: Το επίπεδο 1 εμπιστευτικότητας είναι κατάλληλο για τις επιχειρηματικές συναλλαγές, στις οποίες οι πληροφορίες που ανταλλάσσονται είναι επιχείρησης ή πελάτη, συγκεκριμένα, αλλά όπου ο αντίκτυπος της δημόσιας έκθεσης θα ήταν ένας δευτερεύων αντίκτυπος σε πόρους ή ενόχληση σε ένα ή περισσότερα από τα συμβαλλόμενα μέρη. Συγκεκριμένα, η κοινοποίηση των πληροφοριών συναλλαγής σε επίπεδο 1 προκαλεί:
- δευτερεύουσα δυσχέρεια στην επιχείρηση ή
- κανένα κίνδυνο για την επιχείρηση ή
- δευτερεύουσα οικονομική απώλεια στην επιχείρηση ή
- δευτερεύουσα ζημία στην επιχειρηματική στάση ή τη φήμη ή
- δευτερεύοντα κίνδυνο που προκαλείται σε οποιοδήποτε συμβαλλόμενο μέρος (επιχείρηση ή/και πελάτης).
Παραδείγματα: Τα παραδείγματα των συναλλαγών που εντάσσονται στο επίπεδο 1 εμπιστευτικότητας, περιλαμβάνουν:
- Ηλεκτρονικό ταχυδρομείο από πελάτη, προς ένα επιχειρησιακό τμήμα, με ένα αίτημα για γενικές πληροφορίες. Οι πληροφορίες που περιλαμβάνονται στη συναλλαγή είναι για τον πελάτη συγκεκριμένα, αλλά η κοινοποίησή τους θα οδηγούσε σε δευτερεύουσα δυσχέρεια ή αμηχανία.
- Λήψη ηλεκτρονικού ταχυδρομείου, που δείχνει ότι περισσότερη ευαίσθητη πληροφορία είναι διαθέσιμη για τη συλλογή από μια ασφαλή τοποθεσία. Αν και η συναλλαγή συνδέεται με περισσότερη ποσότητα ευαίσθητης πληροφορίας, κοινοποίηση αυτής της ανακοίνωσης θα προκαλούσε αυξημένο δευτερεύοντα αντίκτυπο.
Επίπεδο 2 – προστασία των ευαίσθητων επιχειρηματικών πληροφοριών
Καθορισμός: Το επίπεδο 2 εμπιστευτικότητας είναι κατάλληλο για τις επιχειρηματικές συναλλαγές, που περιλαμβάνουν τις πληροφορίες της επιχείρησης που θα μπορούσαν να θεωρηθούν ως ευαίσθητες.
Συγκεκριμένα, ο αντίκτυπος της κοινοποίησης των πληροφοριών συναλλαγής σε επίπεδο 2 προκαλεί:
- σημαντική δυσχέρεια στην επιχείρηση ή
- σημαντική οικονομική απώλεια στην επιχείρηση ή
- σημαντική ζημία στην επιχειρησιακή στάση ή τη φήμη ή
- σημαντικό κίνδυνο που προκαλείται στην επιχείρηση.
Παραδείγματα: Τα παραδείγματα των συναλλαγών που να αξίζουν το επίπεδο 2 εμπιστευτικότητας, περιλαμβάνουν:
Οικονομικές συναλλαγές, στις οποίες η αμελής κοινοποίηση ενός αριθμού χρεωστικών καρτών, παραδείγματος χάρη, θα ήταν πιθανό να προκαλέσει σημαντικούς κινδύνους και να φέρει σε δυσχερή θέση έναν πελάτη.
Επίπεδο 3 – προστασία των πολύ ευαίσθητων/κρίσιμων επιχειρησιακών πληροφοριών
Καθορισμός: Το επίπεδο 3 εμπιστευτικότητας είναι κατάλληλο για τις επιχειρησιακές συναλλαγές, που περιλαμβάνουν τις κρίσιμες επιχειρησιακές πληροφορίες που θα μπορούσαν να θεωρηθούν όντως πολύ ευαίσθητες. Ο αντίκτυπος της κοινοποίησης των πληροφοριών συναλλαγής σε επίπεδο 3 θα ήταν ουσιαστικός και προκαλεί:
- ουσιαστική δυσχέρεια στην επιχείρηση ή
- ουσιαστική οικονομική απώλεια στην επιχείρηση ή
- ουσιαστική ζημία στην επιχειρησιακή στάση ή τη φήμη ή
- ουσιαστικό κίνδυνο που προκαλείται στην επιχείρηση.
Παραδείγματα: Τα παραδείγματα των συναλλαγών που να αξίζουν το επίπεδο 3 εμπιστευτικότητας, περιλαμβάνουν: Ηλεκτρονική μετακίνηση των επιχειρησιακών οικονομικών αρχείων. Η κοινοποίηση αυτών των πληροφοριών σε έναν αναρμόδιο τρίτο, να προκαλέσει τον ουσιαστικό κίνδυνο και τη ζημία στη στάση ή τη φήμη της επιχείρησης.
Αρχές της διαχείρισης εμπιστευτικότητας
- Comprehensive Confidentiality Management (CCM): είναι η κεντρική αρχή οργάνωσης και ο καθορισμός της εφαρμογής της επαγγελματικής διαχείρισης εμπιστευτικότητας, σε όλες τις φάσεις καθημερινών επιχειρηματικών λειτουργιών, σε όλα τα επίπεδα.
- Δια-επιχειρησιακή δομή: Η διαχείριση εμπιστευτικότητας είναι κοινή ευθύνη όλων (Διοίκησης & υπαλλήλων). Το πλαίσιο λειτουργίας είναι και από επάνω προς τα κάτω, καθώς επίσης και από κάτω προς τα επάνω. Οι επιχειρήσεις, για να αποφύγουν τον αντίκτυπο από την απώλεια κρίσιμων μυστικών, πρέπει να καθιερώσουν και διοικητικά μέτρα προστασίας εμπιστευτικότητας.
- Οριζόντια και κάθετη ολοκλήρωση: Η απόλυτη διαχείριση εμπιστευτικότητας επιτυγχάνεται καλύτερα μέσω της ολοκλήρωσης του προγραμματισμού των ελέγχων & του προγράμματος αντίμετρων, του οποίου οι αρχές και οι πρακτικές θα αποτελούν τμήμα στην κανονική καθημερινή ρουτίνα μιας επιχείρησης.
- Προστασία της εμπιστευτικότητας στην επιχειρησιακή δομή: Ο πρώτος στόχος της διαχείρισης εμπιστευτικότητας είναι να δημιουργηθεί η κατάλληλη κουλτούρα για την προστασία κρίσιμων επιχειρησιακών μυστικών, αναγνωρίζοντας πως είναι καλύτερο να αποτρέπεται κλοπή/υφαρπαγή κρίσιμων μυστικών μέσω της διαχείρισης, βασισμένης στον εκάστοτε κίνδυνο, παρά να υλοποιούνται ενέργειες εκ των υστέρων
- Σύστημα αποτελεσματικών ελέγχων & Αντίμετρα: Αναγνωρίζοντας ότι δεν μπορούν να αποτραπούν όλες οι απώλειες, ο δεύτερος στόχος της διαχείρισης εμπιστευτικότητας είναι να δομηθούν ευρείς έλεγχοι & πρόγραμμα αντίμετρων.
- Αντίκτυπος απωλειών διαφορικά: Μερικά τμήματα της επιχείρησης δοκιμάζουν τις απώλειες και υφίστανται τις συνέπειες περισσότερο από άλλα τμήματα. Η διαχείριση εμπιστευτικότητας αναγνωρίζει ότι απαιτείται να στοχεύσει στον ιδιαίτερα τρωτό παράγοντα (ο ανθρώπινος παράγοντας) οποιασδήποτε επιχείρησης, προκειμένου να αυξηθεί η προστασία και να μειωθεί η τρωτότητα.
- Επαγγελματισμός: Η διαχείριση εμπιστευτικότητας είναι τμήμα της επιστήμης της ασφάλειας, βασισμένο στη γνώση, επαγγελματική ηθική, την εκπαίδευση, την κατάρτιση, την εμπειρία, την ηθική πρακτική και τη συμπεριφορά.
"Προ μερικών εβδομάδων, γνωστός επιχειρηματίας διέθεσε περίπου 300.000 Ευρώ για την εποπτεία και την προστασία των χώρων του, από οποιαδήποτε απόπειρα υποκλοπής". Υπολογίζεται ότι το 15-20% των Ελλήνων επιχειρηματιών μέσου και υψηλού επιπέδου, έχουν απευθυνθεί σε Ελληνικές και ξένες εταιρείες παροχής ειδικών συστημάτων ασφαλείας, που αφορούν συστήματα παρακολούθησης ή "αντίμετρα ασφαλείας" (απόσπασμα από άρθρο-δείκτη 3). Λάθος ενέργεια; Σαφώς ΟΧΙ. Λύση ανάγκης αποσπασματική και με υπερβολικό κόστος; Σαφώς ΝΑΙ.
Γιατί; Διότι η συγκεκριμένη ενέργεια- ακριβή επένδυση, κάλυψε μόνον την τρίτη από τις τέσσερες συνολικά φάσεις-μέσα-τρόπο άσκησης κατασκοπίας. Εστιάσθηκε στην πρόληψη των υποκλοπών με τη χρήση τεχνικών μέσων, εφαρμόζοντας τεχνικά μέσα αντιμέτρων (Technical Surveillance Countermeasures-TSCM). Θωρακίσθηκε ο συγκεκριμένος επιχειρηματίας; Μερικώς ναι, ουσιαστικά ΟΧΙ, διότι ως συνήθως εστιάσθηκε στο "δένδρο και όχι στο δάσος". Ποιο είναι στην περίπτωσή μας το δάσος; Η προσεκτική και ολοκληρωμένη δόμηση-διάρθρωση ενός προγράμματος ασφάλειας, με έμφαση στο στοιχείο της εμπιστευτικότητας (προστασία επιχειρηματικών μυστικών). Εφαρμογή εν ολίγοις, κανόνων, διαδικασιών και εκτιμήσεων, βασισμένων σε δείκτες, όχι απλά από "ειδικούς του τομέα ασφάλειας", αλλά από εξειδικευμένο, με διεθνή αναγνώριση-πιστοποίηση σύμβουλο, ο οποίος:
- Διευκολύνει τον προσδιορισμό των κρίσιμων επιχειρησιακών πληροφοριών.
- Παρέχει την ανάλυση απειλής.
- Αξιολογεί τις ευπάθειες.
- Αξιολογεί τον κίνδυνο.
- Αναπτύσσει τις συστάσεις αντίμετρων.
- Χρησιμεύει ως ο σύμβουλος στο πιο υψηλό επιχειρησιακό επίπεδο.
- Αναπτύσσεται και διατηρεί: Διαδικασίες, Αρχεία προγράμματος, Σχέδια εμπιστευτικότητας, Αναθεωρήσεις προγράμματος εμπιστευτικότητας, Αξιολογήσεις του προγράμματος εμπιστευτικότητας, Υποβολή έκθεσης τακτικά, Αναπτύσσει το πρόγραμμα ενημέρωσης εμπιστευτικότητας.
Αντί Επιλόγου
Ακαδημαϊκά, για καθαρά ερευνητικούς σκοπούς και με την ιδιότητα του συντονιστή Ευρώπης της BECCA, διεξήγαγα έρευνα σε ιστοσελίδες Ελληνικών επιχειρήσεων. Επέλεξα τρεις κραυγαλέες περιπτώσεις εταιρειών με τοπική και διεθνή ισχυρή επιχειρηματική παρουσία, οι οποίες είχαν αναρτήσει στην ιστοσελίδα τους υλικό άμεσα διαθέσιμο και προσπελάσιμο για οποιονδήποτε ήθελε να ασκήσει σε βάρος τους κατασκοπία. Επιπρόσθετα, επικοινώνησα και με το τηλεφωνικό κέντρο των εταιρειών αυτών και ευγενέστατα μου παρείχαν απαντήσεις στις κατάλληλα "διατυπωμένες" ερωτήσεις μου. Ενημέρωσα με ηλεκτρονικό ταχυδρομείο, χωρίς να είμαι υποχρεωμένος προς τούτο, τους ιθύνοντες. Λάβατε εσείς απάντηση; Γιατί εγώ ακόμη περιμένω. Τι περιμένω; "Την αναπόφευκτη εκδήλωση της θεωρίας του αιτιοκρατικού χάους, μιας θεωρίας που μας επιτρέπει να υπολογίσουμε την ακριβή στιγμή κατά την οποία ένα σύνθετο σύστημα (επιχείρηση) θα ταλαντευτεί από μια κατάσταση (νιρβάνα ασφαλείας) σε μια άλλη (απώλειες)." Jean HARITO, Γεν. Δ/ντής Αττικών Διαδρομών. Οι προσθήκες και υπογραμμίσεις δικές μας.
ΠΗΓΕΣ
1.Purpura-Kυριακάκη, Βασικό βοήθημα στελεχών εγγύτατης ασφάλειας, Παραπληρωματικά κείμενα α.α.8, σελίδα 545& επόμενες.
2.Business Espionage Controls & Countermeasures Association-BECCA
3.William Johnson Ph.D, BECCA Founder
R The Four Faces of Business Espionage-BECCA
* Γιάννη Κανάλη, BECCA Training in Business Espionage Controls & Countermeasures-2008
Του Γιάννη Κανάλη,
DiSPSc,CCO,CPO,SSMP,CPOI
Συντονιστής BECCA Ευρώπης