Pozyskiwanie i ochrona informacji jako jeden z celów przedsiębiorstwa

Pełen tekst

(1)Piotr Szczukiewicz Katedra MIkroekonomii. Pozyskiwanie i ochrona informacji jako jeden z celów przedsiębiorstwa 1. Problem. dostępu. do Informacll. Globalizacja gospodarki i intensywny rozwój sposobów transmisji informacji sprawia, że prawdopodobieństwo zaistnienia walki konkurencyjnej między przedsiębiorstwami pochodzącymi z różnych, nawet odległych krajów, staje się coraz większe. Funkcjonowanie w tej samej branży może wywoływać konflikty interesów i prowokować zachowania charakterystyczne dla rywalizacji. Informacja dotycząca słabych i mocnych stron konkurenta staje się w takich okolicznościach bardzo cenna. Silnie odczuwana potrzeba informacji wywołuje chęć jej zaspokojenia, a fakt ten ma przełożenie na podjęcie działm\ zmierzających do zgromadzenia odpowiedniej ilości wiarygodnych danych na temat określonego podmiotu gospodarczego. Przedsiębiorstwo, które jest przedmiotem takich działm\, musi mieć świadomość, że ochrona informacji dotyczących jego działalności staje się jednym z głównych celów funkcjonowania. Takie czynniki, jak zaostrzająca się konkurencja, rozwój wywiadu konkurencyjnego i benchmarkingu, sprawiają, że informacja strategiczna jest coraz bardziej pożądana przez inne firmy. Według A. Tomera informacja 6dgrywa w naszych czasach coraz większą rolę i w funkcjonowaniu przedsiębiorstw staje się ważniejsza niż dostęp do kapitału. Każde przedsiębiorstwo nlDze stać się ofiarą wywiadu konkurencyjnego, nawet tego nie zauważając, ponieważ ukryte działanie jest charakterystyczne dla wywiadu. Badania przeprowadzone w ponad potowie najbardziej innowacyjnych przedsiębiorstw francuskich wykazały, że ponad 40% analizowanych przedsię-.

(2) I. Piotr Szczukiewicz. biorstw stało się ofiarami zjawiska podrabiania produktów, a 20% ofiarami szpiegostwa przemysłowego'. Zagrożenia te nie są charakterystyczne dla czasów współczesnych, a historia dosturcza wielu tego dowodów. Można zaryzykować stwierdzenie, że pierwszym szpiegiem gospodarczym był mitologiczny Prometeusz, który wykradł ogiell bogom z Olimpu i ofiarowal go łudziom. Został za to surowo ukarany. Przykuty do skały w górach Kaukazu był poddany nie kOllczącym s ię tortlll'om przez orły wydzierające mu wątrobę. Ten mit dotyczy zbrodni i kary, alc motyw wykradania tajemnic przewija się przez całą historię ludzkości. Celtowie przejmowali od Rzymian technologie budowy utwardzonych dróg, Persowie wykradli ChiIlczykom tajemnicę wytwarzania jedwabiu, Marco Polo uważany jest nutomiast za największego szpiega technołogii w hi storii świata. W polskich warunkach coraz większą rolę i znaczenie przypisuje się specjalistom wywiadu gospodarczego, gdy ż polskie organizacje gospodlll'cze, nie tylko przemy słowe, ale również finansowe, są poddawane różnorodnym działa niom i naciskom mającym spowodować wyparcie ich z rynku. Polskie firmy są zmuszone do zaostrzenia zasad bezpieczeństwa związanego z ochroną swoich interesów, a d ziałania te wymagają obecnie najwyższego profesjonalizmu i znacznych nakładów [janasowych. Sprawne funkcjonowanie przedsiębior stwa jest najczęściej uzależnione od dobrze d ziałającego systemu informatycznego . Zainstalowane w firmach systemy zawierają najbardziej istotne dla istnienia i funkcjonowania przedsiębiorstwa informacje - wszelkiego rodzaju systemy finansowo-księgowe, kadrowe, magazynowe, bazy danych gromad zą ce dane o klientach i kontrahentach, dokumenty wewnętrzne o różnym stopniu poufności, a w tym projekty i dokumentację. Niejednokrotnie firma ma wiele oddziałów polożonych w różnych częściach kraju lub świata, które muszą wymieniać poufne informacje między sobą. Nie należy się więc dziwić, że mogą znaleźć się zarówno osoby, jak i instytucje pragnące w sposób nie autoryzowany dotrzeć do poufnych infOlmacji zgomadzonych w systemie informatycznym firmy. Są to najczęściej dane dotyczące działalności firmy, np. bilanse, dlugi i kredyty, konta bankowe, rodzaj e transakcji, listy klientów, listy dostawców oraz odbiorców, zakres i rodzaj pl'Odukcji, a także wyniki badarl, wynalazki produkcyjne, czyli wszelkie dane na temat postępu naukowo-technicznego i rozwoju przedsiębiorstwa oraz plany na przyszłość. Z chwilą zakończenia zimnej wojny, nastąpila reorientacja w działalno ści służb wywiadowczych dawnych par\stw komunistycznych - przestawily s ię one w znacznej mierze na działania z zakresu szpiegostwa przemysłowego. Podobnie wywiady par\stw NATO - kiedy widmo zagrożenia konfliktem zniknęlo, zaczęły zmieniać przedmiot swojego zainteresowania i coraz częściej zdobywać informacje, także biznesowe, u dotychczasowych sojuszników. Wywiad gospodarczy polega na profesjonalnym zdobywaniu i analizowaniu informacji IB . MarlincI, Y.M. Marti, Wywiad gospodarczy. Pozyskanie i ochrona informacji, PWE. Warszawa 1999, s. 196..

(3) Pozyskiwanie i ochrona informacji jako jedell Z celów przedsiębiorstwa określonych segmentach rynku , funkcjonujących osiągnięciach technologicznych, projektach działań. o. I. na nim podmiotach , ich oraz pozycji ekonomicz-. nej' . Kradzież poufnych informacji przynosi firmom straty rzędu miliardów dolarów rocznie. Według szacunków specjalistów, od stycznia 1997 r. do czerwca 1998 r. w wyniku takich kradzieży firmy straciły 45 mld USD. Wyniki oszacowano na podstawie badm\, którymi objęto 97 przed siębiorstw reprezentujących branżę technologiczną, usługową, przemysł wytwórczy oraz zajmujących się fi nansami i ubezpieczeniami. Największe straty poniosły zakłady produkcyjne. Ich łączną wartość oceniono na 871 mln USD, przy czym jednorazową kradzież informacji oszacowano na ok. 50 mln USD. Naj wię kszą liczbę, bo aż 530 przypadków kradzieży, odnotowały przed siębiorstwa związane z rynkiem zaawansowanych technologii. Na drugim miejscu uplas owały się firmy usłu gowe, które okradziono z poufnych informacji 356 razy. W raporcie "Trend s in Proprietary Infonnation Loss Survey'" zauważono również, że firmy zwią zane z najnowszymi technologiami odnotowały "zaledwie" 120 mln USD bezpośrednich strat, przy czym na jedną firmę z tej bran ży przypada aż 67 kradzieży - każda przynosząca straty rzędu 15 mln USD. Natomiast wartość każdej kradzieży informacji z firm usługowych oszacowano na 20 tys. USD. Przedsiębiorstwa z sektora finansowo-ubezpieczeniowego tracą na każdej kradzieży ok. 350 tys. USD. Jako źródło największego zagrożenia bezpieczeńs twa wewnętrznych informacji przed s iębiorstwa raport wskazuje pracujących na jego terenie pracowników ko ntraktowych, jak również dostawców sprzętu. Rozmiary zagro żeń dość dobrze rozpoznało również Amerykańskie Towarzystwo Bezpieczeństwa Przemysłowego, które ujawnione straty podsumowało na 300 mln USD w wyniku 1100 udokumentowanych i 550 prawdopodobnych wypadków szpiegostwa w kilku tysiącach największych firm USA . Ustalono, że szpiedzy przemy słowi otrzymują zlecenia z firm USA, Chin, Japonii, Francji i Wielkiej Brytanii. Okazało się, że przemysIowe firmy amerykańskie S'l szpiegowane również przez agencje rządowe Francji, Niemiec, Izraela, Chin i Korei Południowej'. Międzynarodowa Komisja Handlu (International Trade Commission, ITC) oszacowała pod koniec lat osiemdziesiątych, że straty ponoszone przez amerykańskie przed siębiorstwa z powodu szpiegostwa przemysłowego wynosiły dziesiątki miliardów dolarów i setki tysięcy zlikwidowanych miejsc pracy. Celem wywiadu gospodarczego są m.in. następujące przemysły: kosmiczny, telekomunikacyjny, komputerowy, oprogramowania, zaawansowane środki transportu, zaawansowane materiały, energetyczny, obronny, wytwórczy , produkcja półprzewodników.. 2 T, Wojciechowski,. Wywiad gospodarczy, "Firma" 1991, nr 7-8. 3Trends in Proprietnry Illfonnation Loss Survey Report. PriccwMcrhousccoopcrs, www.infownr.com/law/99/law_J02299c.J.shtml ~. S. Walczak, Szpiegostwo pl'zcmyslolVc. "Rzeczpospolita" 15 slycznia 19981'..

(4) Piotr Szczukiewicz W 1997 r. FBI prowadziła ponad 700 dochodzeń o szpiegostwo przemysłowe. w które uwikłan e są obce rządy' . Wykradano nie tylko dokumentację związani) z nowymi wynalazkami i wyniki najnowszych prac badawczych. lecz również plany produkcyjne. marketingowe oraz listy klientów. Mając na wzgl ędz ie konieczność bardziej skutecznego przeciwdziałania zagrożeniom nasilającego s ię szpiegostwa gospodarczego - w USA znowelizowano ustawodawstwo. Od 1996 r. zaostrzono kary za kradzież tajnych informacji przemysłowych. Sprawca tego rodzaju przestępstwa może być obecnie skazany na karę pozbawienia wolności do lat 15 i grzywnę do 10 mln USD.. 2. Formy ataku na zasoby InformacYlne. przedsiębiorstwa. W literaturze koncentrującej się na zagadnieniach pozyskiwania i ochrony informacji zwraca się m.in. uwagę na następujące aspekty: - formy ataku przedsiębiorstw będących konkurentami. - me toda lub metodologia zabezpieczania informacji . - nadzorowanie działań mających na celu zabezpieczenie informacji. - identyfikacj a niebezpieczel\stw i opracowywanie sposobów przeciwdziałania zagrożeni om.. - budowa strategii kontrwywiadowczej i jej implementacja w. przedsiębior. stwie/l.. W niniejszym opracowaniu zostanie szerzej zaprezentowany problem form ataku podejmowanego przez przedsiębiorstwa-konkurentów w celu zdobycia strategicznych informacji. Podejmując próbę uporządkowania sposobów zdobywania danych. można wyróżnić techniki personalne pozyskiwania informacji. tj.: - docieranie do odpowiednich pracowników i stosowanie korupcji oraz szantażu polegającego na wymuszaniu informacji. - infiltracja środowiska w celu odnalezienia osób uważających się za pokrzywdzone przez firmę. zwalnianych lub poszukujących zatrudnienia w innej. firmie, oraz metody polegające na wykorzystaniu technicznych źródeł informacji: - kradzież czy przywłaszczenie zbiorów danych oraz wykorzystywanie zużytych materiałów. np.: wydruków, taśm . dyskietek. podłączanie się do systemu teleinformatycznego (sieci). - instalowanie trans miterów wewnqtrz komputerów. stosowanie najnowszych środków technicznych. b ędącyc h w zasadzie wyłącznie w dyspozycji wywiadów wojskowych czy służb bezpieczeństwa państwa. polegających przede wszystkim na przecllwytywaniu i analizowaniu promieniowania elektro-. s L.J . Frceh, NcarillC 011 ECOIwmic Espiolloge (Script), oraz Hem'ing Oli Ecollomic Esp/olluge (llackgrolllu/), Fctlcral BurC3U of Invcsli gation (FBI), http://www.IbLgov. 6. B. Mnrtincr, Y.M. Murti, op. cit..

(5) Pozyskiwanie i ochrona informacji jako jeden Z celów przedsiębiorstwa. I. magnetycznego emitowanego przez urządzenia komputerowe, np. monitory, drukarki, - przechwytywanie i analizowanie wiązek mikrofallączności satelitarnej, - podsłuch sieci komputerowych i telefonicznych. Metody oparte na technicznych źródłach informacji. "Slownik terminów związanych z kryptologią i ochroną informacji'" podaje szereg terminów odnoszących się do zachowaJ\ agresywnych ze strony konkurencji w sferze szpiegostwa komputerowego, a dotyczących danego przedsiębiorstwa: - atak adaptacyjny, - atak z wykorzystaniem paradoksu dnia urodzin, - atak na zasadzie pelnego przeglądu lub atak wyczerpujący, - atak za pomocą wybranego tekstu jawnego lub atak z wybranym tekstem jawnym, - atak tekstem zaszyfrowanym lub atak z tekstem zaszyfrowanym, - atak slownikowy, - atak przez wstrzykiwanie blędów, - atak przeplotowy, - atak zwany tekstem jawnym lub atak ze znanym tekstem jawnym, - atak ze spotkaniem w środku, - atak przez odgadywanie haseł na bieżąco, - atak metodą odbicia lustrzanego, - atak kluczami pokrewnymi, - atak metodą powtórzenia lub atak powtórzeniowy, - atak na skróty, - atak przez wprowadzenie do malej grupy. Celowe dzialanie zagrażające systemowi informatycznemu może dotyczyć kilku obszarów np. infrastruktury telekomunikacyjnej poprzez podsłuch linii (pasywnych), podsłuch aktywny, polegający na modyfikacji przesyłanych danych, podsłuchiwanie ruchu w sieci lokalnej przy użyciu zwykłej karty Ethernet i odpowiedniego oprogramowania (tzw. sniffera), podsłuchiwanie danych przesyłanych kablem sieciowym przy użyciu odpowiedniej przystawki zaopatrzonej w elastyczny drut, którym ściśle owija się kabel sieciowy, lub też innej metody "nasłuchu" fal elektromagnetycznych. Przykładowo, tajne służby byłej NRD stosowały różne techniki podsłuchu w stosunku do polityków, pracowników służb specjalnych i innych urzędników mających dostęp do tajemnicy pm\stwowej w RFN. Podsłuchiwane rozmowy były automatycznie nagrywane i analizowane. Aktualnie służby specjalne wszystkich krajów posługują się podobnymi metodami. Penetruje się centrale telefoniczne operatorów, a dociera się tam przez zwykłe łącza przekazywania danycl1.. 7 "Slownik terminów związanych z kryptografią i ochroną informacji" przygotowany zostallH\ IV Krajow<, Konferencję Zastosowań Kryptografii Enigma 2000 przez firmę ENIGMA Systemy Ochrony Informacji Sp. z 0.0., http://enigma.com.pl.

(6) I. Piotr Szczukiewicz. Telefony stacjonarne, komórkowe, nadajniki fal radiowych, a także nie kodowane lącza satelitarne są obiektami stosunkowo łatwo dostępnymi dla osób nieuprawnionyc11. Różnorodne techniki podsłuchu były i są nadal stosowane jako rutynowe działania zarówno przez profesjonalne instytucje państwowe zgodnie z obowiązującymi przepisami, jak i przez osoby czy firmy nieuprawnione. Według danych opublikowanych przez amerykańską Służbę Bezpieczet\stwa Narodowego (NSA), obsługuje ona m.in. ponad 2000 urządzeJl podsłuchu telefonicznego, które umożliwiają jednoczesną rejestrację 54 000 rozmów w różnych regionach świata. Kopiowanie oprogramowania (lub danych), wprowadzenie wirusa komputerowego, przenikanie lub przeciekanie, czyli możliwość nie uprawnionego dostępu do danych poprzez wykorzystanie luk w oprogramowaniu użytkowym to kolejne metody oddziaływania na system informatyczny firmy. Można też, podszywając się poc1legalnego użytkownika systemu, wprowadzać w bh)d inne osoby poprzez dezinformację - np. za pomocą odpowiednio spreparowanej poczty elektronicznej. Częste jest również wstrzykiwanie zmodyfikowanych informacji do strumienia transmitowanych danych, co w efekcie może wpływać na wadliwe, często zakot\czone utratą ważnych informacji bądź włamaniem do systemu, działanie wybranych elementów sieci komputerowej np. serwerów (tzw. spoofing). Należy również wspomnieć o działaniach ukierunkowanych na nośniki danych: kradzież nośników, podmiana nośnika, kopiowanie nośników. Możliwość bezpośredniej kradzieży danych na terenie firmy jest duża - poczynając od zwykłego skopiowania tych informacji z niezbyt dobrze zabezpieczonego komputera (np. PC pracującego pod kontrolI) Windows), a na kradzieży danych lub ich modyfikacji w wyniku naruszenia systemu autoryzacji przez wywiadowcę kończąc. Może on korzystając m.in. z technik "nasłuchu" sieci komputerowej zdobyć ważne identyfikatory użytkowników i hasła, nie włamu jąc się uprzednio na żaden z serwerów sieciowych. Przechwycenie takich haseł może odbyć się na wiele innych sposobów - jest ich dostatecznie dużo, mając ważny identyfikator użytkownika systemu i właściwe hasło można podszyć się pod danego użytkownika i korzystając z jego zasobów próbować nielegalnie zdobyć uprawnienia wystarczające do kradzieży lub modyfikacji istotnych informacji. Stosowaną często metodą zdobywania informacji pomocnych w forsowaniu informatycznego systemu bezpieczeństwa jest przeglądanie śmieci, których każdego dnia całe mnóstwo produkuje przeciętne biuro i które z reguły nie są niszczone. Nie jest rzadkością, że w wyrzuconych papierach znajdują się informacje mogące pomóc w odgadnięciu identyfikatora i hasła dostępu używanego przez któregoś z pracowników. W ustawie z 6 czerwca 1997 1'. kodeks karny (Dz.U. 111' 88, poz. 553) zagadnienie ścigania przestępstw komputerowych zawarto w kilku rozdziałach i odnoszą się one do następujących kategorii": 8 J.W. Wójcik, Przestępstwa komputerowe http://markct.tpnet.oIlOCHR ONA/prze st.h tm .. IV. nowym kodeksie karnym, "Ochrona mienia",.

(7) Pozyskiwanie; ochrona i"formacji jako jeden Z celów przeds iębiorstwa. I. - hacking komputerowy - art. 267 § lkk. - nieuprawnione wejście do systemu komputerowego przez naruszenie zastosowanych zabezpieczeń i manipulowanie w bazie danych (także określane jako wlamanie do komputera oraz kradzież danych); zgodnie z wymienionym przepisem uzyskiwanie informacji przez osobę nieupoważnioną lub informacji nie przeznaczonych dla tej osoby jest zakazane ; zabronione jest niszczenie, uszkadzanie, usuwanie lub zmiana zapisu istotnej informacji bądź udaremnienie w inny sposób albo znaczne utrudnienie osobie uprawnionej do zapoznania się z zapisem informacji; - podsluch komputerowy (nieuprawnione przechwycenie informacji) - art. 267 § 2kk. - zdobycze współczesnej techniki umożliwiają przechwytywanie wszelkich informacji, w tym także stwarzanie poważnych zagrożeń dla systemów informatycznych; możliwy jest. nawet zdalny podsluch i podgląd, czyli prowadzenie pelnej kontroli bez wiedzy oraz zgody wlaściciela systemu; omawiany przepis przewiduje karę dla sprawców, którzy weszli w posiadanie informacji przez zakladanie urządzeIl podsluchowych, wizualnych lub innych urządzeń specjalnych; - bezprawne niszczenie informacji - art. 268 § 2 kk. - chodzi tu o naruszenie integralności komputerowego zapisu informacji, które może nastąpić w wyniku bezprawnego niszczenia, uszkadzania, usuwania lub zmiany zapisu istotnej informacji albo udaremniania czy utrudniania osobie uprawnionej zapoznania się z nhl; dotyczy także spowodowania zakłócet\ w telekomunikacji, o ile do tej sieci podłączono urządzenia pozwalające na przetwarzanie lub rejestrowanie danycl1. Karalne jest także modyfikowanie danych lub programów komputerowych. Odlliszczenia różni się ono tym, że sprawca dokonuje nieuprawIlionej ingerencji w treść danych, np. przez dopisanie nowych danych lub zmianę istniejącego zapisu; zabronione jest zatem wprowadzenie do zapisu zmian istotnej informacji przechowywanej w systemie komputerowym; - sabotaż komputerowy - art. 269 § I i 2 kk. - pr zestępstwo to połega na zakłócaniu lub paraliżowaniu funkcjonowania systemów informatycznych o istotnym znaczeniu dla bezpieczeIistwa pUllstwa i jego obywateli; cytowany przepis nie przewiduje odpowiedzialności karnej za sabotaż komputerowy z winy niellmyślnej , chodzi tu o wypadek nieumyślnego zawirusowania programu. Problem len wzbudza kontrowersje z uwagi na jego trudne udowodnienie; - oszustwo komputerowe - art. 287 § 1 kk. - przestę pstwo polega na osią gnięciu korzyści majątkowej lub wyrządzeniu innej szkody przez wpływ na automatyczne przetwarzanie, gromadzenie albo przesyłanie informacji; formy działania mogą być zróżnicowane i polegać na zmianie , usunięciu lub na wprowadzeniu nowego zapisu na komputerowym nośniku informacji. Jednym z głównych filarów informatycznej ochrony danych jest kryptografia. Kryptogrufia, czy li techni ka szyfrowania informacj i, jest jedną z naj slal'szych metod ochrony informacji przed dostępem do niej osób niepowołanych. Tradycyjnie używana przez wojsko, organy bczpieczcllstwa wewnętrznego i slużbę dyplomatyczną przez długi czas stanowiła domenę pat\stwa. Jednakże.

(8) I. Piotr Szczukiewicz. dziś, kiedy funkcje urządzenia szyfrującego może spełniać komputer osobisty wyposażony w odpowiednie oprogramowanie, monopol państwa w dziedzinie kryptografii przestał i stnieć i wydaje się być nie do uratowania. Dzięki sieciom komputerowym, takim jak Internet, techniki kryptograficzne stały się nie tylko. powszechnie dostępne i zaczęły być szeroko stosowane przez indywidualnych użytkowników i prywatne przedsiębiorstwa, ale zapewniły informacji taki poziom bezpieczeństwa, jaki wcześniej osiągałny był wyłącznie dła wspomnianych agend pm\stwowych'. Jej istotą jest takie przekształcenie danych oryginalnych za pomocą systemu szyfrującego, by jego odczytanie bez znajomości algorytmu lub klucza było niemożliwe (teoretyczna sytuacja idealna) lub ekonomicznie nieopłacalne (praktyka). Podejmowane są zatem także ataki na system szyfrujący przedsiębiorstwa i mogą przyjąć formę": - ataku bez tekstu jawnego - atakujący ma do dyspozycji wyłącznie tekst zaszyfrowany, poszukiwany może być klucz lub algorytm szyfruj'lcy, - ataku z tekstem jawnym - atakujący posiada pewne pary tekstu jawnego i zaszyfrowanego, - ataku z wybranym tekstem jawnym - atakujący ma do dyspozycji dowolną parę : tekst jawny - tekst zaszyfrowany (np . dysponuje mechanizmem szyfrującym), zwykle w ten sposób poszukuje się klucza, - ataku z wybranym tekstem tajnym - atakujący może zdeszyfrować dowolny tekst tajny, gdyż dysponuje mechanizmem szyfrującym - poszukiwany jest kłucz.. Ekonomiczna nieopłacalność jawi się jako podstawowa bariera łamania zabezpieczet\ kryptograficznych. Problem ten ilustruje udana próba złamaniajed nego z najpopularniejszych algorytmów szyfrujących, 56-bitowego RSA RCS, podjęta w październiku 1997 r., kiedy to do odczytania jednej linijki zaszyfrowanego tekstu użyto odpowiednio 260 000 potężnych maszyn PC, połączonych w sieć, a wymagało to pracy 4000 osób. Złamanie DES wymagało użycia 14000 komputerów pracujących przez 4 miesiące. W świetle powyższego , staje się oczywiste że wartość informacji zawartych w zaszyfrowanej przesyłce musi być większa od kosztu jej odczytania. Kol ejną metod!! ataku na zasoby informacyjne konkurentu jest benchmarking, co oznacza działania połegające na analizowaniu produktów konkurencyjnych i wyciąganiu z nich odpowiednich wniosków przy projektowaniu produktów własnych. Podejmowana jest długofalowa współpraca inżynierska w zakresie rozwiązań technicznych konkurencji obejmująca takie obszary: - identyfikacja przedsiębiorstw konkurencyjnych oraz rozwiązań przesądza jących o ich przewadze konkurencyjnej (niejednokrotnie chodzi o rozwiązania nietypowe różniące się znacznie od powszechnie przyjętych standardów), A. Ada mski , PrawI/a reglamen/(lcja kryp/ogmJii IV Pol.\'ce ( I) , .. NClrOlllm" 1996, nr 6. M, Rączkiewicz. BezpieczeJfstwo sieci komputerowych, Wydawnictwo Fundacji Postępu Telekomunikacji, Kraków 1995, s. 6-7. 9. 10.

(9) Pozyskiwanie i ochrona informacji jako jed", z celów przedsiębiorstwa. I. - pozyskanie egzemplarza lub dokumentacji technicznej produktu konkurencji celem zapoznania się z jego funkcjonowaniem, budową, obszarami zastosowaIl oraz wykrycia ewentualnych punktów wymagających udoskonaleń, - wprowadzenie korekt i ulepszeń, - opracowanie dokumentacji własnego wyrobu będącego udoskonaloną wersją produktu konkurencji i podjęcie działań mających na celu wprowadzenie go na rynek". Benchmarking może być stosowany nie tylko do poznawania produktów, ale również technologii i procesów wytwarzania w firmach konkurencyjnych. Badania dotyczące działml radzieckiego wywiadu wykazały, że do 1980 r. wywiad ten uzyskał 4502 wzorce różnego rodzaju sprzętu technicznego i 25 453 komplety dokumentacji technicznej dotyczącej nowych urządzeń". Dzialalność wywiadu radzieckiego przyczyniła się dzięki tym zdobyczom clo zaoszczędzenia 407,5 młn rubli, zainicjowala 200 nowych projektów oraz przyspieszyła reałi zację J 458 projektów, nad którymi trwały prace naukowo-badawcze. Podobne problemy były związane ze zdobywaniem sprzętu komputerowego. Produkowany w latach 70. w krajach byłej Rady Wzajemnej Pomocy Gospodarczej komputer Riad II jest kopią IBM 370, a mikrokomputer Agat - kopią Apple l!. Legalny zakup technologii informatycznych nie byl wówczas możliwy z uwagi na embargo nałożo ne na kraje socjalistyczne. W tej sytuacji tyłko niektóre firmy zachodnie nielegalnie dostarczały sprzęt komputerowy do byłego ZSRR. Ilustracją tego stwierdzenia może być wykryta w 1983 r. afera dotycząca sprzedaży II kontenerów ze sprzętem zawieraj'lcym części komputera VAX. Personalne metody zdobywania danych. Zasoby ludzkie , którymi dysponuje przedsiębiorstwo, to potężne źródło informacji, które odpowiednio wykorzystane może przynieść wiele korzy ści. Pracowników, którzy mają dostęp do kluczowych dla organizacji informacji należy w odpowiedni sposób wynagradzać i zabezpieczać się, np. poprzez stosowne kłauzułe w umowach o pracę, przed wykorzystaniem przez nich posiadanej wiedzy wbrew interesom bylego pracodawcy. Przykladem,jak nie należy postępować w takiej sytuacji, są ostatnie oclejścia i zwolnienia z polskich rządowych instytucji, takich jak UOP, WSI czy prokuratury, kiedy lo byli pracownicy wynoszą z organi zacji wszelkie informacje, które udało im się w czasie pracy zdobyć i trafiają do komórek wywiadowczych zachodnich koncernów, dużych, także krajowych, banków i firm ubezpieczeniowych oraz obcych slużb specjalnych, które doceniajl) wartość wyszkolonych ludzi i zgromadzonej przez nich wiedzy. Powszechnie stosowana zasada, że .. służby nie opuszcza się nigdy", w Polsce nie jest praktycznie uznawana stosują ją Wojskowe Służby Informacyjne, ale UOP już nie". II B. Marinct. Y.M. Marli, op,cil. 12 H. COrtlwnll, Datatheft. Complller FI'(llJd.l1ull/slrial Espio/!(Ige (ll/d lllfo/'f/wtioll Cril1lc. Mandarin Pnpcrbncks, London 1990. n A , Mm'sza lok , Czy i dlaczego rz([d lik chce wiedzieć, RZCCZp05polita OnLinc, hlll):/lrzcC'l..-. pospolita.pl.

(10) I. Piolr SzeZl/kiewiez. W celu zdobycia odpowiednich dokumentów wywiadowcy starają się pozyskać kogoś z firmy, która jest przedmiotem penetracji. Firmy prowadzące działalność szpiegowską proponują pracownikom przedsiębiorstw będących przedmiotem ataku korzyści majątkowe w zamian za kody dostępu do systemu informatycznego. Dostęp do kodów stwarza możliwość wieloplaszczyznowej penetracji szeroko rozumianej sfery informacyjnej przedsiębiorstwa. Pozyskanie pracownika określonego szczebla oznacza w wielu przypadkach wgląd W dokumenty będące wylącznie w posiadaniu zarządu, a może nawet przechowywane w kancelarii tajnej, dane statystyczne, opracowania oraz analizy, korespondencję, opinie konsultantów, wyniki kontroli i inne. Podejmowana jest również współpraca z pracownikami naukowymi wyższych uczelni. W zamian za środki służące finansowaniu badań naukowych firmy prowadzące wywiad gospodarczy oczekują informacji na temat konkurentów. Źródlem informacji mogą być studenci wysyłani na praktyki lub staże do wybranych firm będących w centrum zainteresowania przedsiębiorstwa-sponsora. Po zakończeniu okresu stażowego odbywają się obowiązkowe spotkania z pracownikiem naukowym, następuje synteza zgromadzonych informacji i sporządzenie raportu dla zleceniodawcy. Najczęściej stosowane metody zdobywania informacji, to: - wspólpraca osoby zatrudnionej w firmie-celu: pracownicy naukowi poprzez kontakty z przedstawicielami tego środowiska z innych krajów często uzyskują dostęp do laboratoriów instytutów badawczych. Istnieje wiele potwierdzonych przypadków świadomego wykorzystania nadarzającej się okazji do zgromadzenia cennych informacji na temat poziomu zaawansowania technologicznego prowadzonych badmI. Zaproszeni do wspólpracy obcokrajowcy posuwają się do kradzieży pomysłów. Wykorzystuje się np. aparaty fotograficzne celem zrobienia dokumentacji fotograficznej elementów składowych określonego prototypowego rozwią zania technologicznego; - powolanie "prywatnej" organizacji (np. firmy handlowej) działającej w intel'esującym obszarze, by zbli żyć się do firm-celów w ramach oficjalnych działatl, zabezpieczonych umową o zachowaniu tajemnicy. W szczególnym przypadku firma-cel może mieć podpisane specjalne umowy z firmami wykonującymi uslugi na jej rzecz, w których z imienia i nazwiska wymienieni są pracownicy, mogący przebywać w objętych ochroną obiektach. Na mocy takiej umowy firma świadcząca uslugi może być także zobowiązana do szczególnej ostrożności w doborze pracowników, którzy mają wykonywać prace na rzecz firmy zlecającej - np . dopuszczani są tylko pracownicy zatrudnieni ponad rok w takiej firmie; - wejście do chronionego obiektu i prośba o przekazanie potrzebnych informacji. Firmy prowadzące działalność szpiegowską często posuwają się do wynajmowania dziennikarzy celem spenetrowania środowiska przedsiębiorstwa konkurencyjnego pod pretekstem przeprowadzania badań ankietowych i wywiadów np. na temat atmosfery w firmie czy też polityki rekrutacyjnej. Wielokrotne wizyty pozwalają zdobyć zaufanie zarówno kierownictwa, jak i szere-.

(11) Pozyskiwanie i ochrona'. Z celów. gowych pracowników. Podejmowane są kroki mające na celu wypracowanie atmosfery wzajemnej sympatii, co ma ułatwić pozyskiwanie określonych informacji; - wysłanie faksu łub e-maila z prośbą o przekazanie informacji. Można się podać za klienta, studenta, pracownika jakiejś agendy rządowej lub firmy prowadzącej badania rynkowe. W przypadku mediów elektronicznych niezwykle łatwo ukryć swą tożsamość. Dzięki darmowemu dostępowi do Internetu poprzez Telekomunikację Polską SA ustalenie miejsca połączenia z sieci jest praktycznie niemożliwe, darmowe konta e-mail ułatwiają sytuację; - zdobywanie informacji o innych przedsiębiorstwach za pośrednictwem biur podróży. Podając się za pracowników tych firm, z łatwością można dowidzieć się, w jakim hotelu dana firma organi zuje np. okresową naradę pracowników działu sprzedaży. Wystarczy wysłać tam agenta, który będzie mógł uzyskać dostęp do pozostawionych dokumentów, kiedy oficjalna część spotkania zostanie zakOl\czona i uwaga uczestników obrad zogniskuje się na części nieoficjalnej . Zdarza się, że są to dane o bardzo dużej przydatności; - pojawienie się po godzinach pracy i podanie się za pracownika z kadry kierowniczej, który Illusi dokończyć jakieś zadanie. Istnieje duże prawdopodobień stwo, że takich osób zwykle nie pyta się dokładnie o cel pobytu i nie prosi o potwierdzenie tożsamości. Pracownicy wiełu firm posiadają jednak świadomość tego, że takie kroki często są podejmowane przez konkurencję i poważnie podchodzą do spraw bezpieczelIstwa. Stosuje się wówczas szereg zabezpieczei\; - przebywanie w miejscach preferowanych czy też często odwiedzanych przez specjalistów z danej dziedziny. Istnieje prawdopodobiellstwo uzyskania istotnych informacji na przykład podróżując pociągami Intercity, czy odwiedzając określone restauracje; - zatrudnienie się w firmie świadczącej drobne uslugi na rzecz firmy-celu, - pozyskiwanie niezadowolonych pracowników za pośrednictwem powołanego do tego celu biura rekrutacyjnego i ogłoszeń o poszukiwaniu pracowników, jedynymi kandydatami, których dopuszcza się do wstępnych wywiadów, są pracownicy firmy konkurencyjnej; - zatrudnienie się jako konsultant w firmie-celu; - zatrudnienie się w firmie-celu. Firmy prowadzące wywiad gospodarczy wysyłają swoich inżynierów , pod zmienionymi nazwiskami, cełem wystąpienia w roli kandydatów do pracy w konkurencyjnym przedsiębiorstwie i wzięcia udziału w wywiadzie selekcyjnym. W dużej mierze źródłami informacji są również media i oficjalne dokumenty, jak np. sprawozdania, oceny, opinie, a także niezwykłe interesujące charakterystyki organizacji, jakimi są prospekty emisyjne. Mogą to być również informacje i komentarze marketingowe czy giełdowe, oferty pracy, oferty o nowych zakupach oraz inwestycjach, w tym również sprzętu komputerowego, a przede wszystkim oprogramowania. Oficjalnymi danymi są również zamówione i uzyskane informacje z wywiadowni gospodarczych. Opracowanie dokumentów odbywa się w korelacji z informacjami uzyskanymi w sposób tajny..

(12) I. PiOlr Szczukiewicz. 3. Podsumowanie Wiedza technologiczna i zasoby informacyjne stają się w obecnych czasach coraz istotniejszymi skladnikami aktywów przedsiębiorstwa. Uzyskanie dostępu do nich lub ich utrata to w przypadku niektórych przedsiębiorstw miliony i dziesiątki milionów dolarów strat. Stąd też waga problemu,jakimjest pozyskiwanie i ochrona informacji przez podmiot gospodarczy, plasuje go wśród glównych celów przedsiębiorstwa, a szczególnie w polskich warunkach, w których następuj e konsekwentny proces eliminowania polskich firm zarówno z rynków zagranicznych,jak i rodzimego. Widoczna staje się potrzeba opracowywania technik wywiadowczych i kontrwywiadowczych w dziedzinie wywiadu gospodarczego i ich wdrażanie w coraz szerszych kręgach polskich firm, tworzenie pionów i komórek zabezpieczania informacji strategicznych oraz 1'0wolania stanowiska dyrektora ds. zabezpieczenia zasobów informacyjnych. W dyskusji nad gtównymi celami przedsiębiorstwa tej problematyce powinno poświęcać się obecnie szczególnie dużo uwagi.. Inlormatlon Gathering and Protectlon as one ol an Enterprise's Goals Today, lechnological knowledge and information resources are becoming increasingly. importunt elcments in an enterprise's assets. Gaining access to Ihese assets er los ing them can in the case or certain enterprises illvolve milions of dollars. Hcnce, the importance or gaining and protecting information is one of lhe prillcipal objectives or un enterprise, especially in Poland, where Polish enterprises me being consistently eliminatcd [rom foreign and domestic markets. One can ohserve a distinet need for bot h intelligence and counter-intelligence techniques in the field of ecoJlomic inteIligence . Such techniques are being employed by an increasing number of Polish firms. Depertments and sections are being crcllted with lhe ła sk of safeguarding strategie information, and muny eompanies are considering cstablishing the post ar Director of Information Security as part af Iheir organisational fmmcwork. At present, a great deal of allention should be focused on this problem in disCllssiolls on the principal goals of an enterprise, in particular on thc problem of infonnation gathering techniques which lIse technical information sources Hnd thnse which are concernecl wilh humnn resolll'ces in llIl cnterprise. In this mticle, the author discusses the problem of gaining ncccss to informatioll IInd. ce.1ain ways Dr nttncking nn enterprise's infonnation resources. He also deals with the issue. of information security..

(13)