bedrijfsspionage – soms ook bedrijfsspionage, economische spionage of bedrijfsspionage genoemd – is de praktijk van het gebruik van spionagetechnieken voor commerciële of financiële doeleinden. Bij “spionage” denken wij meestal aan spionnen die namens een regering informatie proberen te verkrijgen over een andere regering. Maar in feite werken veel van dezelfde technieken – en zelfs veel van dezelfde spionnen – in beide sferen.
Typen bedrijfsspionage
LegalMatch schetst een aantal technieken die onder de paraplu van bedrijfsspionage vallen:
- Het betreden van het terrein van een concurrent of toegang krijgen tot hun bestanden zonder toestemming
- Doen alsof je een werknemer van een concurrent bent om bedrijfsgeheimen of andere vertrouwelijke informatie
- Het afluisteren van een concurrent
- Hacken in de computers van een concurrent
- Het aanvallen van de website van een concurrent met malware
Maar niet alle bedrijfsspionage is zo dramatisch. Veel ervan kan de eenvoudige vorm aannemen van een insider die bedrijfsgeheimen van het ene bedrijf naar het andere overbrengt – een ontevreden werknemer, bijvoorbeeld, of een werknemer die door een concurrent is ingehuurd en informatie meeneemt die hij niet zou mogen meenemen.
Dan is er nog competitive intelligence – wat, om het in infosec-termen te zeggen, het witte hoed hacken van bedrijfsspionage is. Concurrentie-inlichtingenbedrijven zeggen dat ze legaal en boven de wet zijn, en verzamelen en analyseren informatie die grotendeels openbaar is en die van invloed zal zijn op het wel en wee van hun klanten: fusies en overnames, nieuwe overheidsvoorschriften, geklets op blogs en sociale media, enzovoort. Ze kunnen de achtergrond van een rivaliserend kaderlid onderzoeken – niet om vuile zaakjes op te spitten, zeggen ze, maar om te proberen hun beweegredenen te begrijpen en hun gedrag te voorspellen. Dat is in ieder geval de theorie, hoewel soms, zoals we zullen zien, de grens tussen deze operatoren en criminaliteit dun kan zijn.
Het is ook goed om hier op te merken dat niet alle bedrijfsspionage inhoudt dat particuliere bedrijven andere particuliere bedrijven bespioneren. Ook regeringen doen mee – vooral in landen waar veel bedrijven in handen van de staat zijn en het regime economische ontwikkeling als een belangrijk nationaal doel beschouwt. Een van de belangrijkste redenen die president Trump aanvoert om de handelsoorlog met China te laten escaleren, is de strijd tegen de Chinese diefstal van Amerikaanse handelsgeheimen. Wanneer staatsactoren bij het proces betrokken zijn, is de specifieke term die vaak wordt gebruikt economische spionage.
Is bedrijfsspionage een misdaad?
Velen hebben de indruk dat het bespioneren van een particulier bedrijf niet illegaal is op de manier waarop het bespioneren van, laten we zeggen, een vreemd land dat wel is. En het is waar dat het niet illegaal is om informatie over concurrenten te verkrijgen via legale middelen, zelfs als die middelen geheimzinnig of bedrieglijk zijn. U kunt bijvoorbeeld “geheime shoppers” naar de winkel van een concurrent sturen om te zien hoe zij zaken doen, of een privé-detective inhuren om op de loer te liggen op een handelsbeurs en te zien wat zij kunnen afluisteren.
Maar verder dan dat, wordt het juridisch lastiger. In het algemeen is het verkrijgen van handelsgeheimen (commerciële geheimen die geldelijke waarde hebben voor de bedrijven die ze bezitten) zonder toestemming van hun eigenaars in strijd met de wet.
De federale wet van de VS die bedrijfsspionage regelt, is de Economic Espionage Act van 1996. Deze wet maakt het stelen van bedrijfsgeheimen (in tegenstelling tot geclassificeerde informatie of informatie over de nationale defensie) voor het eerst tot een federaal misdrijf, en codificeert een gedetailleerde definitie van wat een bedrijfsgeheim is. De wet voorziet ook in straffen voor bedrijfsspionage, die kunnen oplopen tot miljoenen dollars en jarenlange gevangenisstraffen. De zwaarste maatregelen van de wet zijn gericht tegen degenen die handelsgeheimen overdragen aan buitenlandse bedrijven of regeringen, en de eerste veroordeling in het kader van de wet betrof een ingenieur van Boeing die handelsgeheimen aan China had verkocht.
Het is echter belangrijk op te merken dat niet elk geval van bedrijfsspionage strafrechtelijke vervolging verdient, en het Amerikaanse Ministerie van Justitie heeft richtlijnen opgesteld voor welke zaken te vervolgen, De factoren omvatten:
- De omvang van de criminele activiteit, inclusief bewijs van betrokkenheid van een buitenlandse overheid, buitenlandse agent,
- De mate van economische schade voor de eigenaar van het handelsgeheim
- Het type handelsgeheim dat is verduisterd
- De effectiviteit van beschikbare civiele rechtsmiddelen
- De potentiële afschrikkende waarde van de vervolging
Maar het feit dat een handeling geen vervolging verdient, maakt deze nog niet legaal, en schendingen kunnen dienen als basis voor rechtszaken in civiele rechtbanken. En tenslotte hebben veel Amerikaanse staten hun eigen wetten inzake bedrijfsspionage die strenger zijn dan de federale wetgeving; de zaak Hewlett-Packard “pretexting” (waarover zo dadelijk meer) betrof gedrag dat volgens de federale wetgeving van de V.S. niet illegaal was, maar in Californië wel, en resulteerde in een boete van 14 miljoen dollar.
Een casestudy over bedrijfsspionage
Beveiligingsleverancier Securonix heeft een geweldige casestudy beschikbaar gesteld over een typische daad van bedrijfsspionage. Twee mensen die klasgenoten waren in een Ph.D. programma aan de University of Southern California (USC) gingen werken voor Amerikaanse tech bedrijven en exfiltreerden langzaam en methodisch data over meerdere jaren naar medewerkers in China, met de bedoeling om daar hun eigen bedrijf op te zetten met de gestolen intellectuele eigendom. Securonix zet uiteen welke methoden werden gebruikt en wat de aanvallers goed – en fout – hebben gedaan.
Voorbeelden van bedrijfs- en industriële spionage
Een van de waarheden over bedrijfsspionage is dat de meeste gevallen niet worden gerapporteerd, zelfs als de slachtoffers ervan te weten komen. Dat komt omdat de schade aan de reputatie van het slachtoffer als bekend wordt dat hij zijn beveiliging niet op orde heeft, groter kan zijn dan het voordeel van juridische stappen tegen zijn aanvaller. Toch zijn er veel geruchtmakende gevallen van bedrijfsspionage geweest, vooral in de tech-industrie, waar ideeën en code van het allergrootste belang zijn en gemakkelijk in een e-mail kunnen worden geplakt.
- De op hol geslagen VP. Danny Rogers, CEO en oprichter van de dark web data intelligence startup Terbium Labs, vertelde CSOonline dat hij ooit bij een klein bedrijf werkte waar de VP van engineering vertrok en alle bedrijfsgegevens en bestanden met zich meenam om naar een grotere concurrent te gaan. Die concurrent probeerde vervolgens het bedrijf te overconcurreren voor een contract. Uiteindelijk werd de politie ingeschakeld, werd de persoon vervolgd en ging hij naar de gevangenis.
- HP’s burgeroorlog. Een van de meest geruchtmakende industriële spionagezaken van de jaren ’00 betrof Hewlett-Packard die spioneerde tegen … zichzelf. Wanhopig om erachter te komen wie schadelijke informatie naar de pers lekte, huurde het bedrijf meerdere PI-bureaus in om hun eigen bestuursleden te bespioneren, die op hun beurt de telefoongegevens van de doelwitten verzamelden via “pretexting” – in wezen contact opnemen met telefoonbedrijven en hen laten geloven dat jij de eigenaar bent van de telefoonrekening waarover je informatie wilt krijgen. Het is een criminele daad in Californië, en de saga eindigde de carrières van verschillende HP executives.
- Battle of the blades. In 1997, Steven L. Davis was een proces controle ingenieur voor Wright Industries Inc, een onderaannemer voor Gillette, en was net gedegradeerd naar een lagere rol in het Mach 3 project van het bedrijf. Boos over wat hij zag als een aanval op zijn carrière, besloot hij wraak te nemen door, ongevraagd en zonder geld te vragen, bedrijfsgeheimen over het Mach 3-project naar meerdere rivalen van Gillette te sturen. Eervol rapporteerde Schick de daad onmiddellijk aan Gillette, die de FBI erbij haalde, en Davis belandde voor meer dan twee jaar in de gevangenis.
- Een smerig onderzoek. In 2000 vocht Microsoft tegen een anti-kartelzaak van de Amerikaanse federale overheid en Larry Ellison, CEO van Oracle, vermoedde dat twee zogenaamd onafhankelijke onderzoeksorganisaties die pro-Microsoft rapporten uitbrachten, het Independent Institute en de National Taxpayers Union, in het geheim op de loonlijst van Redmond stonden. Na betrapt te zijn op het betalen van onderzoekers om de rotzooi van de groepen te verkrijgen, beweerde Ellison dat Oracle gewoon zijn “burgerplicht” deed om de zaak van de overheid te helpen, en bood aan om de rotzooi van zijn eigen bedrijf naar het hoofdkwartier van Microsoft te sturen in het belang van volledige transparantie.
- Niet erg gastvrij. In 2010 hebben twee grote hotelketens, Hilton Worldwide en Starwood Resorts & Hotels, een juridisch geschil over bedrijfsspionage opgelost op een manier die laat zien hoe hoog de straffen kunnen zijn, zelfs als er geen strafrechtelijke vervolging wordt ingesteld. Het schandaal ontstond toen Hilton, in een poging om het succes van Starwood’s W-merk van “lifestyle hotels” te kopiëren, twee Starwood-functionarissen in dienst nam, die handelsgeheimen meenamen. In de daaropvolgende juridische overeenkomst stemde Hilton ermee in Starwood 75 miljoen dollar in contanten te betalen, hen nog eens 75 miljoen dollar aan hotelmanagementcontracten aan te bieden, twee jaar lang geen lifestyle-hotelmerken te openen en zich te onderwerpen aan “baby-sat” door de rechtbank aangewezen monitors om naleving te waarborgen.
Voor meer leuke voorbeelden, bekijk deze lijst van CSOonline.
Banen in bedrijfsspionage
Als de wereld van bedrijfsspionage je opwindend in de oren klinkt, zou je eens een kijkje kunnen nemen bij SCIP, de brancheorganisatie voor professionals op het gebied van competitive intelligence. Zij kunnen je in contact brengen met bronnen en andere informatie.
Over hoe je in het vak kunt doorbreken: veel van de mensen die in bedrijfsspionage werken, zijn begonnen bij de overheid. In feite zijn zo velen voormalige CIA- en FBI-agenten, die de vaardigheden gebruiken die ze hebben opgedaan bij Uncle Sam om de zaak van particuliere bedrijven te beschermen of te bevorderen, dat sommigen zich hebben afgevraagd of de Amerikaanse belastingbetalers bedrijfsspionage subsidiëren.
Bedrijfsspionagebedrijven
Grote bedrijven hebben vaak hun eigen interne afdelingen voor concurrentiële inlichtingen, met interne analisten die proberen een voorsprong te houden op de concurrentie. Sommige van de grootste spenderaars zitten in de farmaceutische sector; meer dan een kwart van de farmaceutische bedrijven spendeert meer dan 2 miljoen dollar per jaar aan competitive intelligence. Maar zowat elk groot bedrijf zal geld uitgeven aan contraspionagemaatregelen; nadat Nasim Najafi Aghdam in 2018 probeerde het hoofdkantoor van YouTube aan te vallen, vertelde een Google-functionaris aanVanity Fair dat ze op toevallige wijze was verhinderd het gebouw binnen te komen door beveiligingsmaatregelen die eigenlijk waren ingesteld om gegevens te beschermen.
Er zijn ook op zichzelf staande bedrijven en adviesbureaus die zich specialiseren in bedrijfs- en industriële spionage, en hun namen verschijnen meestal alleen in het nieuws wanneer ze iets bijzonder griezeligs of schandalig hebben gedaan. Ze omvatten Kroll, Inc, dat hielp bij het terughalen van fondsen die door een dictatoriaal regime waren geroofd, maar ook geheimen bewaart voor bankfirma’s op Wall Street; C2i International, dat infiltreert in activistische groeperingen, niet alleen om verslag uit te brengen over hun activiteiten, maar ook om leden tegen elkaar op te zetten; en Black Cube, een bedrijf dat is opgericht door ex-Mossad-agenten die werkten aan het ondermijnen van de aanklagers van Harvey Weinstein.
Bedrijfsspionagefilms
Op zoek naar industriële spionage op het grote scherm? Een van de grootste hitfilms van de afgelopen jaren over dit onderwerp is Inception, waarin consultants proberen bedrijfsgeheimen te bemachtigen. Natuurlijk is er de kleine kwestie van de methoden die ze gebruikten – het binnendringen in de dromen van hun proefpersonen – die niet helemaal realistisch is.
Voor een iets meer nuchtere kijk, zou je Duplicity kunnen bekijken, een ondergewaardeerde 2009 caper film met Julia Roberts en Clive Owen in de hoofdrollen, die naast het niet betrekken van sci-fi droomlandschappen de toegevoegde realistische bonus heeft van het maken van de twee sterren ex-spionnen voor de CIA en MI-6 die vervolgens in de bedrijfsintelligentie gaan.
Meer over bedrijfsspionage
- 4 factoren om cyberspionage-aanvallen te voorkomen
- Cyberspionage: China wil intellectueel eigendom van Japanse bedrijven
- Industriële spionage: Geheimen gestolen, fortuinen verloren
- Def Con talk geeft low-tech tips voor het detecteren van high-tech surveillance
- De diefstal van theebladeren en de evolutie van cyberspionagepreventie