Företagsspionage – ibland även kallat industrispionage, ekonomiskt spionage eller företagsspionage – innebär att man använder sig av spionageteknik i kommersiellt eller finansiellt syfte. Vi brukar tänka på ”spionage” i termer av spioner som arbetar för en regerings räkning och försöker få information om en annan regering. Men i själva verket fungerar många av samma tekniker – och till och med många av samma spioner – på båda områdena.

Typer av industrispionage

LegalMatch beskriver ett antal tekniker som faller under begreppet industrispionage:

  • Intrång på en konkurrents egendom eller tillgång till deras filer utan tillstånd
  • Att utge sig för att vara anställd hos en konkurrent för att ta del av företagets affärshemligheter eller andra konfidentiella uppgifter. information
  • Avlyssning av en konkurrent
  • Hacka sig in i en konkurrents datorer
  • Attackera en konkurrents webbplats med skadlig kod

Men inte allt företagsspionage är så dramatiskt. Mycket av det kan ta formen av en insider som överför affärshemligheter från ett företag till ett annat – en missnöjd anställd, till exempel, eller en anställd som har anställts av en konkurrent och tar med sig information som han eller hon inte borde ta med sig.

Då finns det konkurrerande underrättelseverksamhet – som är, för att uttrycka det med infosec-termer, den vita hatthackningen av företagsspionage. Företag som arbetar med konkurrensinformation säger att de är lagliga och okej och samlar in och analyserar information som till stor del är offentlig och som kommer att påverka kundernas öden: sammanslagningar och förvärv, nya myndighetsföreskrifter, prat på bloggar och sociala medier och så vidare. De kan undersöka bakgrunden hos en rivaliserande chef – inte för att gräva fram smuts, säger de, utan för att försöka förstå deras motiv och förutsäga deras beteende. Det är i alla fall teorin, men ibland, som vi kommer att se, kan gränsen mellan dessa aktörer och brottslighet vara tunn.

Det är också värt att notera här att inte allt företagsspionage innebär att privata företag spionerar på andra privata företag. Regeringar ger sig också in i leken – särskilt i länder där många företag är statsägda och regimen ser ekonomisk utveckling som ett viktigt nationellt mål. Som en följd av detta dras även andra regeringar in i olika grad; ett av de viktigaste motiven som president Trump har angett för att trappa upp ett handelskrig med Kina har varit att bekämpa kinesisk stöld av amerikanska affärshemligheter. När statliga aktörer är inblandade i processen är den specifika term som ofta används ekonomisk spionage.

Är industrispionage ett brott?

Många människor har intrycket att det inte är olagligt att spionera på ett privat företag på samma sätt som det är olagligt att spionera på till exempel ett främmande land. Och det är sant att det inte är olagligt att skaffa information om konkurrenter med lagliga medel, även om dessa medel är hemlighetsfulla eller bedrägliga. Du kan till exempel skicka ”hemliga shoppare” till en konkurrents butik för att se hur de gör affärer, eller anlita en privatdetektiv för att smyga runt på en mässa och se vad de kan överhöra.

Men utöver det blir det juridiskt sett knepigare. I allmänhet är det olagligt att förvärva affärshemligheter (affärshemligheter som har ett monetärt värde för de företag som äger dem) utan ägarnas samtycke.

Den amerikanska federala lag som reglerar företagsspionage är Economic Espionage Act från 1996. Lagen gjorde för första gången stöld av affärshemligheter (i motsats till sekretessbelagd information eller information om det nationella försvaret) till ett federalt brott och kodifierar en detaljerad definition av vad som utgör en affärshemlighet. Den fastställer också påföljder för företagsspionage, som kan uppgå till miljontals dollar och flera års fängelse. En stor del av lagens hårdaste åtgärder riktas mot dem som överför affärshemligheter till utländska företag eller regeringar, och den första fällande domen enligt lagen gällde faktiskt en Boeing-ingenjör som hade sålt affärshemligheter till Kina.

Det är dock viktigt att notera att inte alla fall av företagsspionage förtjänar straffrättsligt åtal, och USA har inte heller någon rätt till straffrättsliga åtgärder. Justitiedepartementet i USA har fastställt riktlinjer för vilka fall som bör följas upp:

  • Den brottsliga verksamhetens omfattning, inklusive bevis på inblandning av en utländsk regering, en utländsk agent, eller utländsk instrumentalitet
  • Graden av ekonomisk skada för innehavaren av företagshemligheten
  • Typen av företagshemlighet som förskingrats
  • Effektiviteten av tillgängliga civilrättsliga åtgärder
  • Det potentiella avskräckande värdet av åtalet

Men bara för att en handling inte förtjänar att åtalas blir den inte laglig, och överträdelser kan ligga till grund för stämningar i civilrättsliga förfaranden. Slutligen har många amerikanska delstater sina egna lagar om företagsspionage som är strängare än den federala lagstiftningen. Hewlett-Packards ”pretexting”-fall (mer om det senare) gällde ett beteende som inte var olagligt enligt den federala lagstiftningen i USA, men som var det i Kalifornien, och det resulterade i ett bötesbelopp på 14 miljoner dollar.

En fallstudie om företagsspionage

Säkerhetsleverantören Securonix har gjort en utmärkt fallstudie om ett typiskt företagsspionage tillgänglig. Två personer som hade varit klasskamrater i ett doktorandprogram vid University of Southern California (USC) började arbeta för amerikanska teknikföretag och exfiltrerade långsamt och metodiskt data under flera år till medarbetare i Kina, med avsikt att starta ett eget företag där med den stulna intellektuella egendomen. Securonix redogör för de metoder som användes och vad angriparna gjorde rätt – och fel.

Exempel på företags- och industrispionage

En av sanningarna om företagsspionage är att de flesta fall inte rapporteras, även om offren får reda på det. Detta beror på att skadan för offrets rykte om det avslöjas att de inte har gjort sin säkerhetsmässiga omsorgsfullhet kan väga tyngre än fördelen med att vidta rättsliga åtgärder mot angriparen. Trots detta har det förekommit många uppmärksammade fall av företagsspionage, särskilt inom den tekniska industrin, där idéer och kod är mycket viktiga och lätt kan klistras in i ett e-postmeddelande.

  • Den bortsprungna vicepresidenten. Danny Rogers, vd och grundare av Dark Web Data Intelligence Startup Terbium Labs, berättade för CSOonline att han en gång arbetade på ett litet företag där vice vd:n för teknik lämnade företaget och tog med sig alla företagets data och filer för att gå till en större konkurrent. Den konkurrenten försökte sedan konkurrera ut företaget om ett kontrakt. Till slut blev polisen inblandad, personen åtalades och hamnade sedan i fängelse.
  • HP:s inbördeskrig. Ett av 00-talets mest uppmärksammade fall av industrispionage gällde Hewlett-Packard som spionerade på … sig själv. Företaget ville desperat ta reda på vem som läckte skadlig information till pressen och anlitade därför flera PI-byråer för att spionera på sina egna styrelseledamöter, som i sin tur samlade in måltavlornas telefonlistor via ”pretexting” – det vill säga att man kontaktar telefonbolag och bluffar dem till att tro att man är ägaren till det telefonkonto som man vill få information om. Det är en kriminell handling i Kalifornien, och sagan avslutade flera HP-chefers karriärer.
  • Battle of the blades. År 1997 var Steven L. Davis ingenjör för processkontroller hos Wright Industries Inc, en underleverantör till Gillette, och hade just degraderats till en lägre roll i företagets Mach 3-projekt. Han var arg över vad han såg som ett angrepp på sin karriär och bestämde sig för att hämnas genom att skicka affärshemligheter om Mach 3-projektet, oönskat och utan någon begäran om pengar, till flera Gillette-rivaler. Hedersamt nog rapporterade Schick omedelbart gärningen tillbaka till Gillette, som involverade FBI, och Davis hamnade till slut i fängelse i mer än två år.
  • En skräpig utredning. År 2000 var Microsoft mitt uppe i en kamp mot ett antitrustmål från den amerikanska federala regeringen, och Larry Ellison, vd för Oracle, misstänkte att två förment oberoende forskningsorganisationer som släppte Microsoft-vänliga rapporter, Independent Institute och National Taxpayers Union, i hemlighet stod på Redmonds lönelista. Efter att ha ertappats med att betala utredare för att få tag på gruppernas skräp hävdade Ellison att Oracle bara gjorde sin ”medborgerliga plikt” för att hjälpa regeringens fall och erbjöd sig att skicka sitt eget företags skräp till Microsofts högkvarter för att få full insyn.
  • Inte särskilt gästvänligt. År 2010 löste två stora hotellkedjor, Hilton Worldwide och Starwood Resorts & Hotels, en rättslig tvist om industrispionage på ett sätt som visar hur höga påföljderna kan vara även om man inte åtar sig straffrättsliga åtgärder. Skandalen uppstod när Hilton, som försökte upprepa framgången för Starwoods varumärke W för ”livsstilshotell”, anställde två chefer från Starwood som tog med sig affärshemligheter. I det rättsliga avtal som följde gick Hilton med på att betala Starwood 75 miljoner dollar i kontanter, erbjuda dem ytterligare 75 miljoner dollar i hotellförvaltningskontrakt, inte öppna några livsstilshotell på två år och låta sig ”övervakas” av domstolsanställda övervakare för att se till att reglerna följs.

För fler roliga exempel kan du kolla in den här listan från CSOonline.

Jobb inom företagsspionage

Om företagsspionage låter spännande för dig kanske du vill ta en titt på SCIP, branschorganisationen för yrkesverksamma inom konkurrensinformation. De kan koppla dig till resurser och annan information.

Om hur du tar dig in på området: Tja, många av de personer som arbetar med företagsspionage fick sin start på den statliga sidan av spionarbetet. Faktum är att så många är före detta CIA- och FBI-agenter som använder de färdigheter som de har förvärvat hos Uncle Sam för att skydda eller främja privata företags sak, att vissa har ifrågasatt om de amerikanska skattebetalarna subventionerar företagens skallehandel.

Företagsspionageföretag

Stora företag upprätthåller ofta sina egna interna underrättelseavdelningar för konkurrens, med interna analytiker som försöker hålla ett försprång gentemot konkurrenterna. Några av de som spenderar mest pengar finns inom läkemedelsbranschen; mer än en fjärdedel av läkemedelsföretagen spenderar mer än 2 miljoner dollar per år på konkurrensinformation. Efter att Nasim Najafi Aghdam försökte attackera YouTubes huvudkontor 2018 berättade en av Googles chefer för Vanity Fair att hon av en slump hade hindrats från att komma in i byggnaden av säkerhetsåtgärder som faktiskt hade införts för att skydda data.

Det finns också fristående företag och konsultfirmor som specialiserar sig på företags- och industrispionage, och deras namn tenderar att dyka upp i nyheterna endast när de har gjort något särskilt läskigt eller grovt. Bland dem finns Kroll, Inc. som hjälpte till att återvinna pengar som plundrats av en diktatorisk regim, men som också har hemligheter för bankföretag på Wall Street, C2i International, som infiltrerar aktivistgrupper, inte bara för att rapportera om deras verksamhet utan också för att vända medlemmarna mot varandra, och Black Cube, ett företag som grundades av före detta Mossad-agenter och som arbetade med att underminera Harvey Weinsteins anklagelser.

Filmer om företagsspionage

Vill du se industrispionage på den stora duken? En av de senaste årens största succéfilmer i ämnet är Inception, där konsulter försöker komma över företagshemligheter. Naturligtvis finns det en liten fråga om de metoder de använde – att invadera sina försökspersoners drömmar – som inte är helt realistiska.

För en något mer jordnära version kanske du vill kolla in Duplicity, en underskattad kaparfilm från 2009 med Julia Roberts och Clive Owen i huvudrollerna, som förutom att den inte involverar sci-fi-drömmar har den realistiska bonusen att dess två stjärnor är före detta spioner för CIA och MI-6 som sedan går in i företagsunderrättelseverksamhet.

Mer om företagsspionage

  • 4 faktorer för att undvika cyberspionageattacker
  • Cyberspionage: Kina vill ha japanska företags immateriella rättigheter
  • Industriellt spionage: Hemligheter stulna, förmögenheter förlorade
  • Def Con talk ger lågteknologiska tips för att upptäcka högteknologisk övervakning
  • Stöld av teblad och utvecklingen av förebyggande av cyberspionage

Lämna ett svar

Din e-postadress kommer inte publiceras.