Forex || Strona główna || AT || Linki || Kontakt || Forum||mapaserwisu || Kursy || Banki online

 Subskrypcja





MENU
Strona główna
Giełda
-akcje
-indeksy
-edukacja
-kalendarium
-wykresy online
-dni bez notowań
Banki
Waluty
Kontakt
e-booki
POLECAMY
Czas na giełdę!




Niszczarka z supermarketu nie uchroni Cię przed wyciekiem danych

Prowadzisz konkurencyjną firmę? Jak daleko posuną się Twoi konkurenci, by wyprzedzić Cię w walce rynkowej? Uważaj - przetrząsanie koszy lub kontenerów na śmieci jest starą i wciąż popularną praktyką w walce konkurencyjnej przedsiębiorstw, chociaż jest to proceder mało chwalebny dla wszystkich konkurujących stron. Firma zlecająca takie przeszukiwanie chciałaby uniknąć zyskania dość „śmierdzącej” reputacji, z kolei przedsiębiorstwu, które beztrosko pozostawia swoje poufne dokumenty w śmietnikach i lekceważy zasady bezpieczeństwa, wystawiając na szwank prywatność swoich klientów - nie przystoi strojenie się w piórka „ofiary”.  Zobacz jak skutecznie chronić firmę przed wyciekiem danych, bo niszczarka z supermarketu nie wystarczy.

Głośny śmierdzący proceder

Doskonale ową niezręczność ilustruje głośny przypadek przeszukiwania śmieci korporacji Unilever na zlecenie jej największego konkurenta – Procter & Gamble. Wiosną 2001 roku John Pepper, ówczesny świeżo upieczony prezes Procter & Gamble, odkrył, że pracownicy działu analiz wywiadowczych są zaangażowani w szpiegowanie działań konkurenta, firmy Unilever. Zgromadzono ok. 80 dokumentów dotyczących trzyletnich planów Unilever w zakresie kosmetyków do pielęgnacji włosów wprowadzanych na amerykański rynek. Materiały dotyczyły także produktów dotychczas nie sprzedawanych, ich cen i prognoz wejściowych. Okazało się, że zarząd korporacji P&G zatrudnił niezależną firmę wywiadowczą, aby gromadziła informacje o konkurencji, ze szczególnym uwzględnieniem Unilever. Zatrudniona agencja z kolei wynajęła szereg podwykonawców do wykonania poszczególnych tajnych operacji. Pracownicy podwykonawców przeszukiwali śmieci konkurencji, śledząc ich drogę z siedziby firmy na wysypiska publiczne. Był to czas, kiedy toczyła się ostra walka pomiędzy takimi markami Unilevera jak Salon Selectives, ThermaSilk, Finesse czy Helene Curtis a Pantene, Wash&Go, Head&Shoulders, Vidal, produkowanymi przez P&G.

Takie działania, choć popularne, były wstydliwie skrywane w korporacjach amerykańskich. Pepper wraz z zarządem P&G mieli świadomość, że podjęte przez nich działania wywiadowcze nie łamały amerykańskiego prawa, chociaż „przekroczyli pewne granice swojej dotychczasowej polityki bussinesowej”.

Było to już po słynnym orzeczeniu sądu apelacyjnego w Minnesocie w podobnej sprawie pomiędzy Tennant Company a Advance Machine Company z 1984. Obie firmy konkurowały na rynku produkcji i sprzedaży wyposażenia do czyszczenia podłóg. Od jesieni 1978 roku do wiosny 1979 pracownicy Advance przeszukiwali śmieci w kontenerze za budynkiem siedziby regionalnego przedstawicielstwa firmy Tennant w Kalifornii. Tego rodzaju akcje pozwoliły zdobyć poufne informacje o sprzedaży oraz klientach. Sąd uznał, co prawda, że kosze wykorzystywane w przedsiębiorstwie podlegają ochronie, ale firmy, które pozbywają się śmieci na zewnątrz, nie mogą ich traktować jako swojej własności. Co więcej, w żadnej firmie, nawet w dobrej wierze, poufne informacje nie powinny trafiać do kosza. Generalnie

 

więc, śmieci tak długo pozostają własnością firmy, jak długo nie utracą swojej „korporacyjnej tożsamości” trafiając gdziekolwiek na większe zbiorowisko śmieci.

 

Dokładna skala tego zjawiska, z przytoczonych wyżej względów, nie jest znana, ale należy zakładać, iż jest codziennością walki konkurencyjnej. W „Corporate Espionage” Ira Winkler opisuje przypadek przyholowania przez przedsiębiorstwo oczyszczania miasta kontenera ze śmieciami jednej firmy na teren firmy konkurencyjnej. O zagrożeniu tym procederem świadczą również wyniki badań prowadzonych przez brytyjską firmę monitorowania kredytów Experian z 2005 roku, dotyczące znalezisk na wysypiskach śmieci. Z raportu wynika, że w 40 % śmietników znaleziono numery kart kredytowych lub płatniczych, a w większości przypadków były tam także daty ważności kart; w 75 % śmietników znaleziono dokumenty zawierające dane osobowe; w 20% śmietników znaleziono numery rachunków bankowych i kody powiązane z adresami. 

Ten rodzaj zagrożenia potwierdza raport na temat zjawiska kradzieży tożsamości przygotowywany co roku przez amerykańską firmę Javelin Strategy & Research (2011 Identity Fraud Survey Report: Consumer Version). Do jednej z najpopularniejszych metod kradzieży informacji, zaliczono właśnie „nurkowanie w kontenerze” (dumpster diving) przez oszustów poszukujących niezniszczonych dokumentów zwierających dane osobowe, finansowe, korporacyjne, itp.

Dorothy E. Denning („Wojna informacyjna i bezpieczeństwo informacji”) zauważa, że przeszukiwanie śmieci operatorów telefonicznych jest nagminne wśród hakerów, którzy działając na określone zlecenia, przerzucają porzucone dokumenty i różne strzępki papierów, aby znaleźć dane o funkcjonowaniu systemów, rachunkach i hasłach do komputerów, nazwiska i numery pracowników, którzy mogliby wyjawić tajemnicę przedsiębiorstwa.

W Polsce skala „archeologii śmietnikowej” w ogóle nie jest znana. Trudno ją ocenić po enigmatycznych statystykach ABW czy Prokuratury Generalnej, które raczej odnoszą się do przestępstw gospodarczych skierowanych przeciwko państwu, zaś kwestię szpiegostwa korporacyjnego odnotowują wówczas, gdy przypadek zostanie zgłoszony przez firmę.

 

Dwa problemy: prawny i bezpieczeństwa

 

Problem prawny związany z „archeologią śmietnikową” wydaje się być prosty: istnieje, bądź go nie ma. Pojawia się wówczas, kiedy intruz wkracza (włamuje się, dokonuje wtargnięcia) na teren przedsiębiorstwa i tam dokonuje przetrząsania koszy bądź kontenerów w poszukiwaniu cennych informacji. Takiego wkroczenia na swoje terytorium, według „Gazety Wyborczej” (11.02.2006) - doświadczył polski potentat Orlen. W listopadzie 2005 r., w biały dzień, do strzeżonej siedziby koncernu w Płocku weszło dwóch mężczyzn, splądrowało gabinet jednego z szefów spółki, po czym nie zatrzymywani przez nikogo - „wyparowali”. Oficjalnie wiceprezesowi zginął m. in. palmtop; jednak bardzo prawdopodobne, że było to szpiegostwo przemysłowe - na biurku z pewnością leżały dokumenty, które można było bez problemu sfotografować. Jedno jest pewne - następnego dnia w firmie było prawdziwe trzęsienie ziemi, w którego konsekwencji zwolniono szefa ochrony.

Odpowiedzialność karna jest tu ściśle określona w kodeksie, natomiast nie istnieje problem naruszenia prawa, kiedy firma pozbywa się swoich śmieci na zewnątrz. W takim wypadku nie zadziałają przepisy o tajemnicy przedsiębiorstwa - w myśl polskiego prawodawstwa tajemnicą przedsiębiorstwa jest jedynie taka informacja, która kumulatywnie spełnia trzy przesłanki. Jest to informacja techniczna, technologiczna, organizacyjna przedsiębiorstwa lub inna: 1) posiadająca wartość gospodarczą, 2) nieujawniona do wiadomości publicznej, 3) co do której przedsiębiorca podjął niezbędne działania w celu zachowania jej poufności. Nie spełnienie którejkolwiek przesłanki powoduje, że informacja jest ogólnie dostępna i każdy może z niej korzystać. Podobnie zresztą formułowały swoje stanowiska wobec przypadków przetrząsania śmieci sądy amerykańskie.

Ale pozostaje poważny problem bezpieczeństwa firmy. W omawianym wyżej przypadku Procter & Gamble vs. Unilever większość obserwatorów i specjalistów nie pozostawiła przysłowiowej suchej nitki na Unileverze za ignorancję w sferze bezpieczeństwa, nie stosowania podstawowych procedur takich jak choćby używanie niszczarek do dokumentów.

„Archeologii śmietnikowej” można przeciwdziałać

Zagrożeniu „archeologią śmietnikową” łatwo stawić czoła za pomocą podjęcia kilku prostych działań prewencyjnych:

 

1.           Opracowanie klarownych procedur postępowania z dokumentami, zwłaszcza zawierającymi informacje „wrażliwe”. 

Kwestia odpowiedniej polityki bezpieczeństwa w korporacji to temat wart szerszego, oddzielnego omówienia. Koncentrując się tymczasem na problemie niewłaściwego niszczenia dokumentów warto przytoczyć, niektóre wnioski z badań przeprowadzonych we wrześniu 2010 r. przez firmę Fellowes Polska (dodajmy dla porządku – firmę produkującą niszczarki na rynek polski, a więc zaangażowaną w problem) nt. „Bezpieczeństwo danych a zawartość śmietników”.

Jego celem było wyjaśnienie czy i w jaki sposób obecność tematu w mediach, po serii publikacji,  wpłynęła na postępowanie i nawyki związane z pozbywaniem się dokumentów.  Jedną część badania przeprowadzono wśród 479 wybranych losowo polskich firm. Natomiast druga część została przeprowadzona w warszawskich stacjach przeładunkowych Miejskiego Przedsiębiorstwa Oczyszczania. Niektóre wnioski są zatrważające z punktu widzenia bezpieczeństwa informacji:

·         52 % badanych firm deklarowało niszczenie w niszczarkach wykorzystaną dokumentację, która zawierała istotne, z punktu widzenia interesów przedsiębiorstwa, informacje,

 

·         w okresie badań (10 dni) na stacjach znaleziono 992 worki w 76% zawierające dokumenty pochodzące z firm lub instytucji, z których tylko 55% było należycie

     zniszczonych (jako zniszczone określane były również dokumenty przedarte na pół,);  294 worki zawierały dokumentacje wyrzuconą w całości,

·         wśród znalezionych dokumentów „biurowych” do najliczniejszych kategorii należały: faktury, pisma wewnętrzne (stany magazynowe, zestawienia, raporty, kontrole

 wewnętrzne, opisy pracy), rachunki, dowody wpłaty, protokoły, listy pracowników, listy płac, klientów, inne dokumenty z ich danymi; łącznie w 657 workach „biurowych” znaleziono 507 czytelnych dokumentów.

Potwierdza się więc stary kanon wywiadu gospodarczego: nawet najszczelniejsze przedsiębiorstwo pozostawia „papierowe ślady” swojej aktywności.

2.           Wyposażenie biura w odpowiednie niszczarki dokumentów.

Odpowiednie to takie, które niszczą dokument bezpowrotnie. Nie załatwia tego najczęściej sprzęt za przysłowiowe 200 zł, który oferują duże sieci handlowe. Sprawa jest zbyt poważna, aby na niej oszczędzać kilkaset złotych i kupować sprzęt, który tnie papier na paski. Poważna tym bardziej, iż nie tylko niektóre „produkty” niszczarek można mozolnie odtworzyć, ale – jak podaje Dorothy E. Denning – istnieją firmy oferujące „nieniszczarki” – urządzenia, które rekonstruują dokumenty z kawałków. Proces ten zaczyna się od analizy fragmentów dokumentów i określania czy nadają się do odtworzenia. Następnie nakleja się te kawałki na przezroczystą powierzchnię, skanuje w komputerze i łączy za pomocą specjalnego oprogramowania.

 Przy wyborze niszczarki należy wziąć pod uwagę nie tylko renomę firmy (jest ich kilka na polskim rynku), ale przede wszystkim w jakim biurze będzie używana i ile osób będzie z niej korzystało, jaki poziom bezpieczeństwa powinna gwarantować (na ile elementów tnie kartkę) i jakie dodatkowe funkcje powinna spełniać. Ceny rynkowe takich urządzeń w zależności od przedstawionych kryteriów mogą się wahać pomiędzy 7000 zł w przypadku profesjonalnych urządzeń obsługujących wielkie biura, a  500-600 złotych, w przypadku urządzeń w małych biurach.

Jak pokazuje doświadczenie - oszczędzając kilkaset złotych na niszczarce,  można stracić miliony w wyniku „archeologii śmietnikowej” organizowanej przez firmy konkurencyjne.

3.           Dokładne sprawdzanie firm obsługujących niszczenie dokumentów i osób sprzątających.

Wiele korporacji powierza niszczenie dokumentów wyspecjalizowanym firmom zewnętrznym, których na rynku nie brakuje. Jak w przypadku każdego outsourcingu usług - warto sprawdzić kilka elementów przed podpisaniem kontraktu: doświadczenie danej firmy w ektorze, rozmiar i struktura, kadry, przestrzeganie standardów etycznych, dotychczasowe osiągnięcia, referencje, klienci (czy nie zachodzi konflikt interesów).

 4.           Wreszcie – jakkolwiek trywialnie to zabrzmi – nadzór i kontrola nad niszczeniem dokumentów.

Istnieje potrzeba prowadzenia wyrywkowych, nie rutynowych kontroli czy i jak pracownicy stosują się do obowiązujących w firmie zasad - np. przeszukiwać kosze na śmieci. Można rozważyć centralne (jeden kosz na piętrze czy biurze) składowanie papierowych śmieci i zapewnić nadzór kamer na tym miejscem. Można stosować pewne „prowokacje” sprawdzające sposób obchodzenia się z dokumentami przez pracowników.

Trawestując słynne powiedzenie Ch. M. Talleyranda można w konkluzji stwierdzić: niewłaściwe postępowanie z korporacyjnymi dokumentami to gorzej niż zbrodnia – to błąd.

 

autor: dr Marek Ciecierski


Profesjonalny Wywiad Gospodarczy Skarbiec Sp. z o.o.
0 Komentarze
21-06-2012 13:02 zombi


Name:
E-mail: (optional)
Smile: smile wink wassat tongue laughing sad angry crying 

| Forget Me
wpisz :TVXY
Forex


Jakie akcje warto teraz kupić?
z WIG20
z mWIG40
z sWIG80
z NewConnect
wstrzymałbym się od kupna


reklama| kontakt | banki | Praca |po godzinach|regulamin |prywatność
cutenews