Στο τρίτο άρθρο της σειράς θα περιγράψουμε τις μη τεχνικές μεθόδους βιομηχανικής κατασκοπίας καθώς επίσης και την προστασία σε μη τεχνικό επίπεδο, κυρίως νομικό. Το αφιέρωμα θα κλείσει στο επόμενο τεύχος με την ανάλυση των τεχνολογικών μέσων αντικατασκοπίας.
Ο Ανθρώπινος παράγων
Μπορεί στο προηγούμενο άρθρο να παρουσιάσαμε τα «θαύματα» της σύγχρονης τεχνολογίας που χρησιμοποιούνται στη βιομηχανική κατασκοπία, όμως ο ανθρώπινος παράγων παραμένει ίσως ο βασικότερος. Υπάλληλοι (και ιδιαίτερα οι Διαχειριστές) πληροφορικής έχουν πρόσβαση στα συστήματα και στους εξυπηρετητές όπου φυλάσσονται ευαίσθητες πληροφορίες, κώδικας, λεπτομέρειες πιστωτικών καρτών, σχέδια προϊόντων και κάθε άλλο μυστικό. Όπως αναφέραμε, οι «κατάσκοποι» θα προσπαθήσουν να αποσπάσουν την πληροφορία αυτή από τα εξουσιοδοτημένα να τη γνωρίζουν άτομα, με κάποιο τέχνασμα.
Η απλούστερη μέθοδος είναι ίσως η προσπάθεια δωροδοκίας, ιδίως στην περίπτωση που ο υπάλληλος ο οποίος γνωρίζει τα μυστικά, αντιμετωπίζει οικονομικά προβλήματα. Σε αντίστοιχο μήκος κύματος, ο εκβιασμός μπορεί να είναι πολύ αποτελεσματικός. Το «θύμα» μάλιστα μπορεί να παγιδευτεί από τους δράστες και τα ενοχοποιητικά στοιχεία να προκύψουν με μια οργανωμένη εκ των προτέρων δράση.
Μια επιλογή με μεγαλύτερο χρονικό ορίζοντα δράσης, είναι η πρόσληψη στην ανταγωνιστική εταιρεία ενός υπαλλήλου – κατάσκοπου. Μπορεί μάλιστα να προσληφθεί σε κάθε επίπεδο της ιεραρχίας της εταιρείας, παρέχοντας από κάθε πόστο πολύτιμες πληροφορίες. Έστω και στο χαμηλότερο σημείο της ιεραρχίας, μια θέση στο συνεργείο καθαριότητας ή μια θέση κλητήρα μπορεί να φανεί πολλαπλώς χρησιμότερη στη συγκέντρωση εμπιστευτικών πληροφοριών, ακόμα και από ένα υψηλόβαθμο στέλεχος.
Καμιά φορά ο «εσωτερικός» αυτός σύνδεσμος μπορεί να βρεθεί στο πρόσωπο κάποιου δυσανασχετισμένου υπάλληλου ο οποίος θέλει να εκδικηθεί την εταιρεία στην οποία εργάζεται (και κυρίως τον προϊστάμενό του). Ένας τέτοιος υπάλληλος, με χαρά θα παρέχει στοιχεία στους «αντιπάλους» προκειμένου να πλήξει την εταιρεία που τον «πρόδωσε».
Για τους ειδικούς εξόρυξης πληροφοριών (με θεμιτά και αθέμιτα μέσα) αναφερθήκαμε στο προηγούμενο άρθρο. Αυτοί εκμεταλλεύονται κάθε δημόσια πηγή πληροφοριών, αλλά και τους απρόσεκτους υπαλλήλους οι οποίοι «μιλάνε περισσότερο απ’ όσο πρέπει». Επίσης χρησιμοποιούν την τεχνική της κοινωνικής μηχανικής (social engineering), προσποιούμενοι κάποιο άλλο πρόσωπο προκειμένου να αποσπάσουν πληροφορίες και να πείσουν τρίτους να πράξουν κάτι που υπό κανονικές συνθήκες δεν θα έπρατταν.
Γενικώς περί προστασίας
Συνοψίζοντας την κατάσταση, οι προκλήσεις και τα προβλήματα που αντιμετωπίζει μια σύγχρονη επιχείρηση είναι περισσότερα από ποτέ. Το περιβάλλον είναι εντόνως ανταγωνιστικό. Τα προϊόντα πρέπει να προωθούνται στην αγορά χωρίς καθυστέρηση και οι πληροφορίες να μεταδίδονται ταχύτατα, πολλές φορές εις βάρος της ασφάλειας. Εξάλλου, όσο πιο καινοτόμο είναι ένα προϊόν, τόσο μεγαλύτερο κίνδυνο αντιγραφής αντιμετωπίζει. Παράλληλα, νέες τεχνολογίες εισάγουν και νέες τρωτότητες στα συστήματα. Γίνεται άμεσα αντιληπτό ότι η προστασία της πνευματικής ιδιοκτησίας είναι ζωτικής σημασίας για τη διατήρηση του επιχειρησιακού πλεονεκτήματος. Εξάλλου, έτσι εξασφαλίζονται και τα ηθικά και πνευματικά δικαιώματα των δημιουργών-εφευρετών.
Η προστασία είναι πολυεπίπεδη διαδικασία. Περιλαμβάνει νομικές λεπτομέρειες (Διπλώματα Ευρεσιτεχνίας, Εμπορικά Μυστικά), Φυσική και Τεχνολογική Ασφάλεια (Εξοπλισμό, Υλισμικό, Λογισμικό), Πληροφορική Διακυβέρνηση (Πολιτικές, Ρόλους, Ευθύνες, Εφαρμογή Κανονισμών, Ελεγκτικούς Μηχανισμούς), Οικονομικούς Περιορισμούς (Προϋπολογισμό) και φυσικά Εκπαίδευση. Σκοπός πάντα είναι να διατηρηθεί η εμπιστευτικότητα, η διαθεσιμότητα και η ακεραιότητα των δεδομένων.
Η επιλογή της βέλτιστης στρατηγικής προστασίας της πνευματικής ιδιοκτησίας εξαρτάται από μία σειρά παραγόντων. Από τις διαθέσιμες εναλλακτικές, το είδος και το βαθμό προστασίας που παρέχουν, το κόστος τους και τελικά την αξία που έχει η συγκεκριμένη πνευματική ιδιοκτησία για τον ιδιοκτήτη της. Σε κάθε περίπτωση η προστασία και η ασφάλεια τόσο των πληροφοριών όσο και των ίδιων των υποδομών αλλά και των προϊόντων/ υπηρεσιών απαιτούν διαδικασίες ιδιαίτερα απαιτητικές σε πόρους. Χρειάζεται ανθρώπινο δυναμικό καθώς και τεχνολογίες και κατάλληλες πολιτικές πληροφοριακής διακυβέρνησης, οι οποίες ταυτόχρονα δεν θα πρέπει να παρεμποδίζουν την καθημερινή λειτουργία. Φυσικά οι πολύπλοκες λύσεις χειροτερεύουν την κατάσταση, ενώ στην εποχή της «πανταχού παρούσας» πληροφορίας, οι παραδοσιακές μέθοδοι και αντιλήψεις ασφάλειας δεν αποδίδουν.
Οι επιλογές στη διαχείριση των διανοητικών περιουσιακών στοιχείων που θα εξετάσουμε στο άρθρο, είναι δύο: Η καταχώρηση για την προστασία τους (όπως η κατοχύρωση με δίπλωμα ευρεσιτεχνίας μιας εφεύρεσης) ή εναλλακτικά, η διατήρηση των πληροφοριών ως εμπιστευτικών.
Διπλώματα Ευρεσιτεχνίας (Πατέντες)
Το πρώτο πράγμα που περνάει από το μυαλό για την προστασία του επιχειρηματικού πλεονεκτήματος είναι η απόκτηση ενός Διπλώματος Ευρεσιτεχνίας (πατέντας). Δίπλωμα Ευρεσιτεχνίας (ΔΕ) είναι τίτλος προστασίας με ισχύ 20 χρόνων, που χορηγείται στο δικαιούχο για επινοήματα νέα, με εφευρετική δραστηριότητα και επιδεκτικά βιομηχανικής εφαρμογής. Μία εφεύρεση κρίνεται νέα αν δεν ανήκει στη στάθμη της τεχνικής και εμπεριέχει εφευρετική δραστηριότητα – αν δηλαδή κατά την κρίση ειδικού δεν προκύπτει με προφανή τρόπο από την υπάρχουσα στάθμη της τεχνικής. Είναι επιδεκτική βιομηχανικής εφαρμογής εφόσον μπορεί να παραχθεί και να χρησιμοποιηθεί σε οποιοδήποτε τομέα παραγωγικής δραστηριότητας.
Ένα Δίπλωμα Ευρεσιτεχνίας παρέχει στον ιδιοκτήτη του το δικαίωμα αποκλειστικής χρήσης και πώλησης – και γενικότερα εκμετάλλευσης της εφεύρεσής του, αποκλείοντας κάθε τρίτο. Τα δικαιώματα ορίζονται από τις «αξιώσεις» του διπλώματος ευρεσιτεχνίας (τα στοιχεία- χαρακτηριστικά- μεθοδολογία, για τα οποία επακριβώς αιτείται προστασίας ο κάτοχος). Χρειάζεται προσοχή ώστε να διατυπωθούν σωστά και να παρέχουν επαρκή κάλυψη, διαφορετικά υπάρχει ο κίνδυνος το δίπλωμα να «ανοίξει τα μάτια» στους ανταγωνιστές, χωρίς τελικά να καταφέρει να προστατεύσει την εταιρεία.
Με ένα δίπλωμα ευρεσιτεχνίας η εταιρεία απολαμβάνει επιχειρηματικό πλεονέκτημα στην αγορά, αφού απαγορεύει στους ανταγωνιστές της να εκμεταλλευθούν την ίδια ιδέα/ προϊόν. Με τον τρόπο αυτό προστατεύεται (νομικώς) η εμπιστευτικότητα των δεδομένων. Όχι επειδή είναι κρυφά, αλλά επειδή πλέον η εταιρεία έχει προλάβει να τα «κατοχυρώσει» στο όνομά της. Σε περιπτώσεις αντιγραφής λοιπόν, υπάρχει ένα ισχυρό νομικό «όπλο» το οποίο προστατεύει τα δικαιώματα της εταιρείας όπως ορίζουν οι νόμοι.
Το βασικό πλεονέκτημα είναι ότι η εταιρεία μπορεί πλέον να προωθήσει στην αγορά το προϊόν της χωρίς φόβο αντιγραφής (βέβαια και πάλι θα πρέπει να είναι σε θέση να ανακαλύψει πιθανές αντιγραφές και να κινηθεί νομικά εναντίον των αντιγραφέων, κάτι που δεν είναι τόσο εύκολο αν η αντιγραφή λαμβάνει χώρα σε μια άλλη χώρα ή ακόμα και άλλη Ήπειρο). Η νομική αυτή προστασία μάλιστα μπορεί να είναι άμεση, με την έννοια ότι δεν χρειάζεται να αποδειχθεί η κλοπή της πνευματικής ιδιοκτησίας. Αρκεί το γεγονός ότι το ανταγωνιστικό προϊόν «προσβάλλει» τις αξιώσεις ενός διπλώματος ευρεσιτεχνίας. Δεν είναι απαραίτητο δηλαδή η εταιρεία να τεκμηριώσει την κλοπή (π.χ. μέσω αποκάλυψης δράσης βιομηχανικής κατασκοπίας). Αντίστοιχα, η εταιρεία δεν προβληματίζεται πλέον από μετακίνηση υψηλόβαθμων στελεχών και τεχνικών και την αναπόφευκτη διαρροή τεχνογνωσίας, αφού το προϊόν ήδη προστατεύεται από το δίπλωμα ευρεσιτεχνίας.
Σύμφωνα με τον Οργανισμό Βιομηχανικής Ιδιοκτησίας, η διαδικασία χορήγησης Διπλώματος Ευρεσιτεχνίας περιλαμβάνει:
- Την κατάθεση της αίτησης.
- Προθεσμία 4 μηνών για τυχόν διορθώσεις ή συμπλήρωση ελλείψεων.
- Έλεγχο για το “νέο” και την εφευρετική δραστηριότητα, σύνταξη έκθεσης έρευνας ή έκθεσης έρευνας με αιτιολογημένη γνώμη.
- Προθεσμία 3 μηνών για παρατηρήσεις του καταθέτη στην έκθεση έρευνας.
- Σύνταξη τελικής έκθεσης έρευνας ή τελικής έκθεσης έρευνας με αιτιολογημένη γνώμη.
- Έκδοση Διπλώματος Ευρεσιτεχνίας.
Μια ενδιαφέρουσα λεπτομέρεια είναι πως η εφεύρεση δεν πρέπει να έχει δημοσιευθεί ή παρουσιασθεί με οποιονδήποτε τρόπο στο κοινό, πριν το δίπλωμα ευρεσιτεχνίας. Έτσι, ένας Ακαδημαϊκός που θα δημοσιεύσει την έρευνά του σε επιστημονικό περιοδικό, καλό θα είναι πρώτα να φροντίσει για την κατοχύρωση του «εφευρετικού» μέρους.
Συχνά λαμβάνει χώρα αγορά ενός διπλώματος ευρεσιτεχνίας ή δικαιώματος χρήσης του, έναντι αμοιβής (καμιά φορά ακόμα και με εξαγορά ολόκληρων εταιρειών, μόνο και μόνο για την πρόσβαση σε συγκεκριμένες πατέντες). Μικρές εταιρείες, ακολουθώντας τη στρατηγική αυτή απέφεραν τεράστια κέρδη στους ιδιοκτήτες τους. Στο σημείο αυτό βέβαια έχει υπάρξει και μια κακόβουλη λογική, όπου εταιρείες σπεύδουν να κατοχυρώσουν με δίπλωμα ευρεσιτεχνίας ακόμα και το παραμικρό στοιχείο, προσμένοντας μετά να κάνουν μήνυση σε κάποια άλλη εταιρεία που αναπόφευκτα θα το χρησιμοποιήσει (ενώ υπάρχει πάντα και η περίπτωση κάποιος άλλος να φτάσει ανεξάρτητα στην ίδια εφεύρεση, με δική του έρευνα, χωρίς δόλο). Πράγματι, φανταστείτε τι θα γινόταν αν το κλασικό πληκτρολόγιο “qwerty” είχε «πατενταριστεί». Κάθε πληκτρολόγιο σήμερα θα είχε διαφορετική διάταξη!
Ιδιαίτερα στο χώρο της πληροφορικής και των τηλεπικοινωνιών οι «πόλεμοι των πατεντών» είναι ένα πολύ συνηθισμένο φαινόμενο και οι αναγνώστες σίγουρα θα έχουν διαβάσει τις νομικές συγκρούσεις των κολοσσών του χώρου (τελευταίο παράδειγμα η μήνυση της Apple για τον αποκλεισμό του Samsung Galaxy Tab από την αγορά, λόγω προσβολής Διπλώματος Ευρεσιτεχνίας). Το φαινόμενο δεν είναι νέο. Ακόμα και η εφεύρεση του τηλεφώνου κρύβει μια «μάχη» διπλωμάτων ευρεσιτεχνίας μεταξύ Bell και Gray και αποτελεί μια πολύ ενδιαφέρουσα ιστορία.
Εμπιστευτικές πληροφορίες, τεχνογνωσία και εμπορικά μυστικά
Το Δίπλωμα Ευρεσιτεχνίας δεν είναι πάντα ο καταλληλότερος τρόπος προστασίας. Το βασικό μειονέκτημα της διαδικασίας είναι ότι απαιτεί τη δημοσίευση της εφεύρεσης/ ιδέας/ μεθοδολογίας και μάλιστα με τρόπο που να μπορεί να υλοποιηθεί επιτυχώς από τον αντίστοιχο ειδικό. Ορισμένες φορές όμως υπάρχουν πληροφορίες οι οποίες έχουν μεγαλύτερη αξία για την επιχείρηση, παραμένοντας μυστικές.
Πληροφορίες (π.χ. σχέδια, συνταγές, διαδικασίες, μέθοδοι, διαγράμματα, τιμολογιακές πολιτικές και στρατηγικές κ.ο.κ.) λοιπόν που χρησιμοποιούνται από την εταιρεία για την εμπορική της δραστηριότητα και δεν είναι γνωστές στο κοινό, είναι γνωστές σαν “εμπιστευτικές πληροφορίες” ή «εμπορικά μυστικά». Το χαρακτηριστικότερο παράδειγμα στην περίπτωση αυτή είναι η μυστική συνταγή παραγωγής της Coca-ColaR.
Τα μυστικά αυτά μπορεί να είναι υλικά ή ιδεατά, αποθηκευμένα με κάθε τρόπο, φυσικό ή ηλεκτρονικό. Για να θεωρηθούν οι πληροφορίες εμπιστευτικές πρέπει να είναι μυστικές, να έχουν οικονομική αξία (προσδίδοντας ανταγωνιστικό πλεονέκτημα) και ο ιδιοκτήτης τους να έχει λάβει τα κατάλληλα μέτρα για να διατηρηθούν μυστικές.
Βασικό πλεονέκτημα είναι ότι ισχύουν για πάντα (για όσο καιρό δεν ανακαλύπτει κάποιος το μυστικό), δεν χρειάζεται η ακριβή και χρονοβόρα διαδικασία της κατοχύρωσής τους μέσω διπλώματος ευρεσιτεχνίας και φυσικά δεν λαμβάνει χώρα δημοσιοποίηση. Στα μειονεκτήματα υπάρχει η πιθανότητα κάποιος άλλος να παράγει το ίδιο ή παρόμοιο προϊόν, χωρίς να υποκλέψει τις πληροφορίες αυτές και να λάβει ενδεχομένως ισχυρότερη προστασία μέσω ενός διπλώματος ευρεσιτεχνίας.
Αφού η αξία τέτοιων πληροφοριών έγκειται στην αποκλειστικότητά τους, τότε είναι ιδιαίτερα σημαντικό να ελαχιστοποιείται η κοινοποίησή τους και να περιορίζεται ο αριθμός των ατόμων που τις γνωρίζουν. Στην περίπτωση που είναι απαραίτητη η μετάδοσή τους σε τρίτους, πρέπει να καλύπτεται από συμφωνητικό εμπιστευτικότητας μεταξύ των ενδιαφερομένων μερών.
Η μεθοδολογία για την προστασία μέσω εμπορικών μυστικών περιλαμβάνει την αναγνώριση των εμπορικών μυστικών, την καταγραφή τους, την εκτίμηση της αξίας τους και την κατηγοριοποίησή τους ανάλογα με τις απειλές και τις τρωτότητες που καθορίζουν την επικινδυνότητά τους. Η προστασία τους, αντίστοιχα, εμπλέκει επίσημο πρόγραμμα πληροφοριακής διακυβέρνησης, συμφωνητικά εμπιστευτικότητας, σήμανση, ιχνηλάτηση (tracking), ασφαλή αποθήκευση των εμπιστευτικών πληροφοριών, εκπαίδευση και τέλος νομική δράση σε περίπτωση διαρροής τους
Ειδικά για την εκπαίδευση έχουμε τονίσει πολλές φορές τη σημασία της. Έτσι και στην περίπτωση αυτή, εάν οι υπάλληλοι μιας εταιρείας δεν γνωρίζουν τι ακριβώς οφείλουν να προστατεύσουν, τότε πώς θα το κάνουν; Τα πρόσωπα που παράγουν και διαχειρίζονται πληροφορίες εμπορικής αξίας πρέπει να γνωρίζουν τις ευθύνες τους όσον αφορά στα εμπορικά μυστικά. Χρειάζεται ενημέρωση για τους κινδύνους της βιομηχανικής κατασκοπίας και της κλοπής πνευματικής ιδιοκτησίας, της πειρατείας και της αντιγραφής. Τέλος δεν πρέπει να ξεχνάμε τη σημασία εκπαίδευσης -ενημέρωσης και των υπεργολάβων και των συνεργαζόμενων μερών.
Αν εμπιστευτικές πληροφορίες δημοσιοποιηθούν χωρίς έγκριση, τότε είναι δυνατό να ληφθεί νομική δράση. Στην περίπτωση αυτή θα πρέπει να αποδεικνύεται ότι οι πληροφορίες ήταν όντως εμπιστευτικές και είχαν ληφθεί τα απαραίτητα μέτρα (στο πλαίσιο του δυνατού) για την προστασία τους. Οι ελεγκτικοί μηχανισμοί για την προστασία των πληροφοριών θα πιστοποιήσουν ότι ένα συμβάν έλαβε χώρα και θα συγκεντρώσουν και διαφυλάξουν τα απαραίτητα στοιχεία και ίχνη, ώστε να επιτρέψουν στις διωκτικές αρχές να φτάσουν στους δράστες.
Επίλογος
Λόγω έλλειψης χώρου δεν θα επεκταθούμε σε άλλες μεθόδους προστασίας. Κλείνοντας το σημερινό άρθρο θα περιγράψουμε μια σχετική γελοιογραφία: «Ένας υπάλληλος εμφανίζεται σε ένα μπαρ, έντρομος και αναφέρει στους θαμώνες: Χθες το βράδυ που έπινα τα ποτά μου εδώ, μέθυσα και έχασα κάποιες σημαντικές πληροφορίες πνευματικής ιδιοκτησίας της εταιρείας μου. Μήπως θυμάται κανείς για τι στο καλό μιλούσα»;
Δρ. Ιωσήφ Ανδρουλιδάκης
Σύμβουλος Ασφάλειας Τηλεπικοινωνιακών Συστημάτων