Virksomhedsspionage – undertiden også kaldet industrispionage, økonomisk spionage eller virksomhedsspionage – er brugen af spionageteknikker til kommercielle eller finansielle formål. Vi tænker normalt på “spionage” i form af spioner, der arbejder på vegne af en regering og forsøger at få oplysninger om en anden regering. Men faktisk fungerer mange af de samme teknikker – og endda mange af de samme spioner – på begge områder.

Typer af industrispionage

LegalMatch skitserer en række teknikker, der falder ind under industrispionage:

  • Indtrængen på en konkurrents ejendom eller adgang til dennes filer uden tilladelse
  • Forstille sig som en konkurrents medarbejder for at få kendskab til virksomhedens forretningshemmeligheder eller andre fortrolige oplysninger
  • Aflytning af en konkurrent
  • Hacking i en konkurrents computere
  • Angreb på en konkurrents websted med malware

Men det er ikke al virksomhedsspionage, der er så dramatisk. Meget af det kan have den simple form af en insider, der overfører forretningshemmeligheder fra en virksomhed til en anden – f.eks. en utilfreds medarbejder eller en medarbejder, der er blevet ansat hos en konkurrent og tager oplysninger med sig, som de ikke burde.

Så er der konkurrencemæssig efterretning – som, for at sige det på infosec-sprog, er den hvide hat-hacking inden for virksomhedsspionage. Competitive intelligence-firmaer siger, at de er lovlige og hæderlige og indsamler og analyserer oplysninger, der stort set er offentlige, og som vil påvirke deres kunders skæbne: fusioner og opkøb, nye statslige regler, snak på blogs og sociale medier osv. De kan undersøge en konkurrerende leders baggrund – ikke for at grave snavs frem, siger de, men for at forsøge at forstå deres motivationer og forudsige deres adfærd. Det er i hvert fald teorien, selv om grænsen mellem disse operatører og kriminalitet nogle gange, som vi vil se, kan være tynd.

Det er også værd at bemærke her, at ikke al virksomhedsspionage indebærer, at private virksomheder spionerer mod andre private virksomheder. Regeringer kommer også ind i spillet – især i lande, hvor mange virksomheder er statsejede, og hvor regimet betragter økonomisk udvikling som et vigtigt nationalt mål. Som følge heraf bliver andre regeringer også inddraget i forskellig grad; en af de vigtigste begrundelser, som præsident Trump har givet for at optrappe en handelskrig med Kina, har været at bekæmpe kinesisk tyveri af amerikanske forretningshemmeligheder. Når statslige aktører er involveret i processen, er den specifikke betegnelse, der ofte anvendes, økonomisk spionage.

Er industrispionage en forbrydelse?

Mange mennesker har det indtryk, at det ikke er ulovligt at spionere mod en privat virksomhed på samme måde som det er ulovligt at spionere mod f.eks. et fremmed land. Og det er rigtigt, at det ikke er ulovligt at indhente oplysninger om konkurrenter med lovlige midler, selv om disse midler er hemmelighedsfulde eller bedrageriske. Man kan f.eks. sende “hemmelige kunder” ind i en konkurrents butik for at se, hvordan de driver forretning, eller hyre en privatdetektiv til at lure rundt på en messe og se, hvad de kan overhøre.

Men ud over det bliver tingene juridisk set mere vanskelige. Generelt er det ulovligt at erhverve forretningshemmeligheder (forretningshemmeligheder, der har en monetær værdi for de virksomheder, der ejer dem) uden ejernes samtykke.

Den amerikanske forbundslov, der regulerer virksomhedsspionage, er Economic Espionage Act of 1996 (lov om økonomisk spionage). Loven gjorde for første gang tyveri af forretningshemmeligheder (i modsætning til klassificerede oplysninger eller oplysninger om det nationale forsvar) til en forbundsforbrydelse og kodificerer en detaljeret definition af, hvad der udgør en forretningshemmelighed. Den fastsætter også straffe for virksomhedsspionage, som kan løbe op i millioner af dollars og medføre flere års fængselsstraf. En stor del af lovens strengeste foranstaltninger er rettet mod dem, der overdrager forretningshemmeligheder til udenlandske virksomheder eller regeringer, og den første dom i en retssag i henhold til loven vedrørte faktisk en Boeing-ingeniør, der havde solgt forretningshemmeligheder til Kina.

Det er dog vigtigt at bemærke, at ikke alle tilfælde af virksomhedsspionage fortjener strafferetlig forfølgelse, og den amerikanske Department of Justice har fastlagt retningslinjer for, hvilke sager der skal forfølges, Faktorerne omfatter bl.a:

  • Omfanget af den kriminelle aktivitet, herunder beviser for involvering af en udenlandsk regering, udenlandsk agent, eller udenlandsk instrumentalitet
  • Den grad af økonomisk skade for indehaveren af forretningshemmeligheden
  • Den type forretningshemmelighed, der er blevet uretmæssigt tilegnet
  • Effektiviteten af tilgængelige civile retsmidler
  • Den potentielle afskrækkende værdi af retsforfølgningen

Men bare fordi en handling ikke fortjener retsforfølgning, er den ikke lovlig, og overtrædelser kan danne grundlag for retssager i civile retssager. Og endelig har mange amerikanske delstater deres egne love om virksomhedsspionage, som er strengere end den føderale lovgivning; Hewlett-Packard-sagen om “pretexting” (mere herom om lidt) vedrørte en adfærd, som ikke var ulovlig i henhold til den føderale lovgivning i USA, men som var det i Californien, og som resulterede i en bøde på 14 millioner dollars.

En case study om virksomhedsspionage

Sikkerhedsleverandøren Securonix har stillet en god case study om en typisk virksomhedsspionagehandling til rådighed. To personer, der havde været klassekammerater på et ph.d.-program på University of Southern California (USC), begyndte at arbejde for amerikanske teknologivirksomheder og exfiltrerede langsomt og metodisk data over flere år til samarbejdspartnere i Kina med henblik på at etablere deres egen virksomhed der med den stjålne intellektuelle ejendom. Securonix redegør for de anvendte metoder, og hvad angriberne gjorde rigtigt – og forkert.

Eksempler på virksomhedsspionage og industrispionage

En af sandhederne om virksomhedsspionage er, at de fleste tilfælde ikke bliver anmeldt, selv om ofrene får kendskab til det. Det skyldes, at skaderne på offerets omdømme, hvis det bliver afsløret, at de ikke har gjort deres sikkerhedsmæssige due diligence, kan opveje fordelene ved at tage retlige skridt mod deres angriber. Ikke desto mindre har der været mange højt profilerede tilfælde af virksomhedsspionage, især i teknologibranchen, hvor ideer og kode er altoverskyggende og nemt kan indsættes i en e-mail.

  • Den løbsk VP. Danny Rogers, CEO og stifter af dark web data intelligence startup Terbium Labs, fortalte CSOonline, at han engang arbejdede i en lille virksomhed, hvor vicepræsidenten for teknik forlod virksomheden og tog alle virksomhedens data og filer med sig for at gå til en større konkurrent. Denne konkurrent forsøgte derefter at udkonkurrere virksomheden i forbindelse med en kontrakt. I sidste ende blev politiet involveret, personen blev retsforfulgt og kom derefter i fængsel.
  • HP’s borgerkrig. En af de mest profilerede sager om industrispionage i 00’erne involverede Hewlett-Packard, der spionerede mod … sig selv. I desperat søgen efter at finde ud af, hvem der lækkede skadelige oplysninger til pressen, hyrede virksomheden flere PI-bureauer til at udspionere deres egne bestyrelsesmedlemmer, som til gengæld indsamlede målgruppernes telefonoptegnelser via “pretexting” – det vil sige at kontakte telefonselskaberne og bluffe dem til at tro, at man er ejeren af den telefonkonto, man ønsker at få oplysninger om. Det er en kriminel handling i Californien, og sagaen endte karrieren for flere HP-chefer.
  • Kampen om bladene. I 1997 var Steven L. Davis processtyringsingeniør hos Wright Industries Inc. en underleverandør til Gillette, og han var netop blevet degraderet til en lavere rolle i virksomhedens Mach 3-projekt. Han var vred over det, han opfattede som et angreb på sin karriere, og besluttede at hævne sig ved uopfordret at sende forretningshemmeligheder om Mach 3-projektet til flere Gillette-konkurrenter, uden at han blev bedt om at få penge. Ærgerligt nok rapporterede Schick straks handlingen tilbage til Gillette, som fik FBI involveret, og Davis endte med at komme i fængsel i mere end to år.
  • En skummel efterforskning. I 2000 var Microsoft midt i en kamp mod en antitrustsag fra den amerikanske forbundsregering, og Larry Ellison, administrerende direktør for Oracle, havde mistanke om, at to angiveligt uafhængige forskningsorganisationer, der udgav Microsoft-venlige rapporter, Independent Institute og National Taxpayers Union, i al hemmelighed var på Redmonds lønningsliste. Efter at være blevet taget i at betale efterforskere for at skaffe sig gruppernes affald, hævdede Ellison, at Oracle blot gjorde sin “borgerpligt” for at hjælpe regeringens sag, og tilbød at sende sit eget selskabs affald til Microsofts hovedkvarter for at sikre fuld gennemsigtighed.
  • Ikke særlig gæstfrit. I 2010 løste to store hotelkæder, Hilton Worldwide og Starwood Resorts & Hotels, en retstvist om industrispionage på en måde, der viser, hvor voldsomme straffen kan være, selv hvis der ikke rejses strafferetlig forfølgelse. Skandalen opstod, da Hilton, der forsøgte at kopiere succesen med Starwoods W-mærke af “livsstilshoteller”, hyrede to Starwood-chefer, som tog forretningshemmeligheder med sig. I den efterfølgende juridiske aftale indvilligede Hilton i at betale Starwood 75 mio. dollars kontant, tilbyde dem yderligere 75 mio. dollars i hotelforvaltningskontrakter, ikke åbne nogen livsstilshotelmærker i to år og lade sig “babysitte” af af retten udpegede tilsynsførende for at sikre overholdelse af reglerne.

For flere sjove eksempler kan du tjekke denne liste fra CSOonline.

Job inden for virksomhedsspionage

Hvis verden af virksomhedsspionage lyder spændende for dig, bør du måske tage et kig på SCIP, brancheorganisationen for fagfolk inden for konkurrencespionage. De kan give dig adgang til ressourcer og andre oplysninger.

Med hensyn til, hvordan du kommer ind på området: Mange af de personer, der arbejder med virksomhedsspionage, fik deres start på den statslige side af spionagearbejdet. Faktisk er der så mange tidligere CIA- og FBI-agenter, der bruger de færdigheder, de har erhvervet sig hos Uncle Sam, til at beskytte eller fremme private virksomheders sag, at nogle har sat spørgsmålstegn ved, om de amerikanske skatteydere subsidierer virksomheders snyderi.

Virksomhedsspionagevirksomheder

Store virksomheder har ofte deres egne interne efterretningsafdelinger med interne analytikere, der forsøger at holde sig et forspring til konkurrenterne. Nogle af dem, der bruger flest penge, er i medicinalbranchen; mere end en fjerdedel af medicinalvirksomhederne bruger mere end 2 millioner dollars om året på konkurrencemæssig efterretning. Men stort set alle store virksomheder vil bruge penge på kontraspionageforanstaltninger; efter at Nasim Najafi Aghdam forsøgte at angribe YouTubes hovedkvarter i 2018, fortalte en Google-funktionær tilVanity Fair, at hun tilfældigvis var blevet forhindret i at komme ind i bygningen af sikkerhedsforanstaltninger, der faktisk var blevet indført for at beskytte data.

Der er også selvstændige virksomheder og konsulentfirmaer, der specialiserer sig i virksomhedsspionage og industrispionage, og deres navne plejer kun at dukke op i nyhederne, når de har gjort noget særligt uhyggeligt eller uhyrligt. De omfatter Kroll, Inc. som hjalp med at genvinde midler, der blev plyndret af et diktatorisk regime, men som også holder hemmeligheder for bankfirmaer på Wall Street; C2i International, som infiltrerer aktivistgrupper, ikke kun for at rapportere om deres aktiviteter, men også for at vende medlemmerne mod hinanden; og Black Cube, et firma, der er grundlagt af tidligere Mossad-agenter, som arbejdede på at underminere Harvey Weinsteins anklagere.

Film om industrispionage

Lyst til at se industrispionage på det store lærred? En af de seneste års største hitfilm om emnet er Inception, hvor konsulenter forsøger at skaffe sig virksomhedshemmeligheder. Der er selvfølgelig det lille problem med de metoder, de bruger – at de invaderer deres forsøgspersoners drømme – som ikke er helt realistiske.

For en lidt mere jordnær tilgang kan du måske se Duplicity, en undervurderet kaperfilm fra 2009 med Julia Roberts og Clive Owen i hovedrollerne, som ud over ikke at involvere sci-fi-drømmelandskaber har den ekstra realistiske bonus, at dens to stjerner er tidligere spioner for CIA og MI-6, som derefter går ind i virksomhedens efterretningstjeneste.

Mere om virksomhedsspionage

  • 4 faktorer til undgåelse af cyberspionageangreb
  • Cyberspionage: Kina vil have japanske virksomheders intellektuelle ejendom
  • Industriel spionage: Foredrag om forsvarskonference giver lavteknologiske tips til at opdage højteknologisk overvågning
  • Tyveri af teblade og udviklingen af forebyggelse af cyberspionage

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.