Kret w firmie

Michał Czuma

Asystentka, najlepszy menedżer, zaufany pracownik, nowa stażystka, handlowiec, kierowca – każdy może działać na rzecz twojej konkurencji. Działać przeciwko tobie i twojej firmie. Jeśli się nie bronisz, jeśli temu nie przeciwdziałasz, wiele tracisz. Może jeszcze nie teraz, może dopiero za kilka dni. Ale już dziś musisz wiedzieć, że trzeba się bronić i nie warto z tym zwlekać.

W świadomości wielu szefów firm i osób odpowiadających za zarządzanie nimi pojęcie cyberbezpieczeństwa wiąże się wyłącznie z bezpieczeństwem systemów, sieci oraz zastosowanych przez osoby odpowiedzialne za bezpieczeństwo zaawansowanych technologii zabezpieczających sieci firmowe, bazy danych i pocztę korporacyjną przed penetracją zewnętrzną. Wiele osób koncentrowało się na poszukiwaniu swoistego cyber-Graala – systemu, który w sposób najbardziej doskonały zabezpieczyłby ich firmy przed atakiem. Niestety pewne fakty nie zawsze docierają do zainteresowanych.

Najsłabszym ogniwem w całym łańcuchu zabezpieczeń jest człowiek, który siedzi przed monitorem i ma dostęp do systemu. Albo jest gotowy złamać system, gdy ktoś go do tego wynajmie. Pracownik, menedżer, analityk, administrator systemu, osoba odpowiedzialna za stosowane w firmie zabezpieczenia są celem dla tych, którzy szukają słabych punktów w systemie, by je wykorzystać do swoich celów. Niestety podejmuje się niewiele starań o zabezpieczenie tego ogniwa w odróżnieniu od coraz większej troski o IT.

Wielokrotnie w swoich wystąpieniach i tekstach potwierdza to Kevin Mitnick, najbardziej znany na świecie haker, który przyznał, że głównie „łamał” ludzi, a nie hasła. Gdy wchodził do systemów informatycznych takich gigantów technologicznych, jak Nokia, Fujitsu czy Sun, częściej dokonywał tego dzięki chwytom socjotechnicznym, a nie wiedzy informatycznej. Zwykle wystarczyło, że po zdobyciu numeru telefonu dzwonił do administratora systemu i przedstawiwszy się jako menedżer nowego projektu, który nie może się zalogować na swoje konto, uzyskiwał dostęp do interesujących go danych. Wiedza, jaką zdobywał od lekceważących procedury asystentek, stażystów czy pracowników niższego szczebla, wystarczyła, by uzyskać najważniejsze informacje strzeżone przez sprzęt i oprogramowanie kosztujące często setki milionów dolarów.

W tym miejscu każdy powinien zastanowić się nad tym, czy w jego firmie są informacje, które nie powinny trafić w niepowołane ręce, np. do konkurencji, jej klientów czy kontrahentów albo opinii publicznej. Pewne informacje, które dla jednych mogą być nieistotne, ale dla innych mają duże znaczenie.

Podczas śniadania organizowanego przez a&s Polska, na które zostali zaproszeni dostawcy rozwiązań security oraz ich klienci – firmy logistyczne i produkcyjne, ze strony przedstawiciela jednej z globalnych marek z branży FMCG (dobra szybkozbywalne) padło pytanie, czy ktoś słyszał o cyberatakach, które w ostatnim czasie dotknęły ich firmy w Polsce. Obserwowałem uczestników, gdyż zapadła kłopotliwa cisza. Mam świadomość, że prawie 90% polskich firm jest słabo chronione przed penetracją ze strony hakerów lub osób parających się szpiegostwem gospodarczym. Zainicjowałem dyskusję, podając listę firm, które zostały dotknięte zeszłorocznym atakiem wirusa Pietya. Powoli jeden po drugim uczestnicy spotkania przyznali: „Tak, jeden z naszych klientów miał pięciotygodniowy przestój spowodowany cyberatakiem”, „Tak, pewna firma logistyczna na wiele dni zawiesiła swoją działalność”, „Tak, pewna firma musiała po wielomiesięcznym ataku rozwiązać poważne problemy”. I padło kilka informacji o skutecznych atakach. To zapewne uzmysłowiło zadającemu pytanie i wszystkim obecnym, że biznes w Polsce ma dzisiaj spory problem. Potwierdziło się, że firmy najsłabiej chronią swoje zasoby, wiedzę, tajemnice, natomiast pilnie strzegą tylko tej tajemnicy, że… grasował w nich haker albo szpieg. Zapewne większość firm nawet nie wie, „jak wyciekają” z nich cenne dane.

Dzisiaj szpiegostwo i działania hakerów są zbieżne – jedni i drudzy starają się przełamać zabezpieczenia, by uzyskać dojście do systemu, informacji i ludzi, by później zrobić z nich tylko sobie znany użytek. Zablokowanie systemu jest równoznaczne z zablokowaniem firmy, zawieszeniem albo utrudnieniem jej działania i daniem przewagi innym. Haker czy szpieg zawsze mają cel i jeśli podejmują ryzyko zagrożone wieloma latami więzienia, nie jest to zabawa czy chęć zaimponowania dziewczynie lub kolegom.

Obecnie można przyjąć, że jedyna różnica pomiędzy cyberatakiem mającym na celu wykradzenie danych a działalnością szpiegowską polega na tym, iż część hakerów w szantażu okradzionej z danych firmy widzi główny cel zarobków. Częściej do szantażu przystępuje po tym, gdy konkurencja okradzionego nie wyraziła zainteresowania zakupem wykradzionych danych. W szpiegostwie gospodarczym firma lub organizacja wynajmuje bądź zatrudnia ekspertów, w tym hakerów, w celu uzyskania określonych informacji od konkurencji. Gdy prześledzi się najgłośniejsze afery związane w wykradzeniem danych, okazuje się, że wszystko zaczyna się od przeglądania śmieci wyrzucanych z firmy.

Od lat obserwujemy szybki postęp technologiczny, a mimo wszystko skandal polegający na próbie szpiegowania przez Procter & Gamble (P&G) swojego rywala w dziedzinie pielęgnacji włosów – spółki Unilever do dzisiaj wydaje się czymś wyjątkowym. Procter & Gamble nie dokonało żadnego wielkiego wyczynu, nie zastosowało drogiego sprzętu do nagrywania setek różnych linii telefonicznych należących do Unilever, nie penetrowało systemów firmy armią hakerów – to nie był „Cyber-Pearl Harbor”. W 2001 roku „agenci operacyjni” P&G, udając śmieciowych „nurków z wysypiska”, przeczesywali śmieci Unilever w poszukiwaniu informacji i danych (w tym wszelkich nośników danych), które mogłyby umożliwić firmie zdobycie przewagi nad konkurentem. Cała operacja trwała ponad sześć miesięcy, a agenci zdobyli prawie 80 stron poufnych dokumentów ze śmietnika z biura Unilever w Chicago.
Jak ujawnił „New York Times”, Procter & Gamble zapłacił Unileverowi 10 mln USD zadośćuczynienia i zgodził się na przeprowadzenie audytu zewnętrznego w celu pełnego wyjaśnienia afery szpiegowskiej. – To był niefortunny incydent – powiedział John E. Pepper, prezes firmy. – Działania te nie były zgodne z zasadami i polityką P&G.

Technologia utrudnia osobom nieuczciwym dostęp do wiedzy i zasobów firm, ale sposób postępowania z technologią czasami zdumiewa. Wysypiska śmieci wciąż są przeszukiwane pod kątem wyrzucanych dysków twardych czy starych urządzeń elektronicznych – bo nieodpowiedzialność jednych jest źródłem bogactwa innych. Ci, których interesują nasze zasoby informacyjne, rzadko próbują je sami przełamać. Ale firma, będąca ich celem, musi korzystać z danych i wiedzy gromadzonej w systemach, dlatego szpiedzy i hakerzy wykorzystują ludzkie słabości, ich psychikę oraz wiedzę o ludziach, ich nieuwagę, lekceważące podejście do procedur, by poprzez nich dotrzeć do zasobów firmy. To jest dzisiaj o wiele łatwiejsze i tańsze.

Problem szpiegostwa gospodarczego dotyczy właściwie wszystkich firm. Każde przedsiębiorstwo powinno założyć, że poza dozwolonym obiegiem informacji istnieje też ten nielegalny i dane trafiają do tego, kto więcej za nie zapłaci. Zdrady często z prozaicznych powodów może się dopuścić nawet najbardziej zaufany pracownik. Nieudany biurowy romans może w konsekwencji kosztować firmę dziesiątki milionów dolarów. Wszystko jest kwestią ceny i świadomości samego pracownika. Bo wielu pracowników może nawet nie wiedzieć, iż jest nieświadomym źródłem informacji dla konkurencji. Jeśli z gabinetu ginie laptop lub smartfon, a nie zginęły inne cenne rzeczy, możesz być niemal pewien, że jesteś na celowniku. Jeśli ktoś próbował włamać się do twojego mieszkania, ale nic nie zginęło, możesz być czyimś celem. Jeśli widzisz porozrzucane śmieci koło twoich koszy, ktoś pakował worki z dokumentami albo wprost złożył ci ofertę, że będzie odbierał makulaturę z twojej firmy w atrakcyjnej cenie, jesteś na celowniku. Jeśli nie wiesz, dlaczego spada sprzedaż twojej firmy, dlaczego odchodzą klienci, najlepsi pracownicy, w mediach pojawiają się twoje poufne informacje, a konkurencja jest zawsze kilka kroków przed tobą – jesteś celem.

Najczęściej osoby chcące się włamać do firmy, obserwują… ogłoszenia o pracę, jakie trafiają na rynek HR. Kret, mol, wtyka, szpicel – nazwa jest nieistotna. Tak nazywa się tych, których firmy parające się szpiegostwem „podrzucają, byście ich zatrudnili”. To najprostszy sposób wniknięcia do firm. Innym jest poszukiwanie tych, których można kupić. To też nie jest trudne – wystarczy wejść na fora dyskusyjne poświęcone branży, korporacji, dotrzeć na portalach społecznościowych do pracowników dzielących się swoimi emocjami z całym światem. Potem tylko kilka prostych zabiegów socjotechnicznych, by menedżer pominięty przy awansie lub podwyżkach, asystentka, handlowiec czy technik, który ma nieukrywane pretensje, albo zaufany pracownik, który ma jakąś słabość, coś ukrywa przed firmą, bo się tego wstydzi – wszystkie te osoby przez umiejętnego speca od pozyskiwania takich źródeł informacji mogą zostać zamienione w „krety” pracujące na rzecz konkurencji. Ostatni „kret”, jakiego ujawniłem w jednej z firm, był uzależniony od osoby ze świata przestępczego. Wędrował z jednej firmy do drugiej tylko po to, by pomóc w wyłudzeniach. W ciągu roku udało mu się w dwóch firmach wyłudzić ponad 13 mln zł. Czy było warto? Tym, którzy go „podrzucali” – tak, tym, którzy go potem zwalniali – nie.

Wyrafinowani hakerzy i szpiedzy rzadko pozostawiają po sobie wystarczająco obciążające dowody, aby ich złapano. Mark Lanterman, dyrektor ds. technologii w Computer Forensic Services, szacuje, że jest to mniej niż 1% wszystkich parających się tą profesją. W ciągu ostatnich kilku lat doszło do kilku głośnych ataków cybernetycznych na firmy, w tym Target, Home Depot i Sony, które dają pewien obraz sytuacji. Jeszcze więcej firm zostało ofiarami szpiegostwa gospodarczego. Począwszy od 2006 r., czyli od rozpoczęcia zbierania danych o atakach na firmy, 70 firm, rządów i organizacji non profit zostało zhakowanych, a szpiedzy kontynuowali zbieranie informacji przez kolejne lata. Te trwające ataki cybernetyczne zostały po raz pierwszy zgłoszone przez Dmitrija Alperovitcha i od tego czasu nazwano je Operation Shady Rat.

W 2009 r. hakerzy ukradli zastrzeżone informacje z amerykańskich i europejskich firm energetycznych Exxon Mobil, Royal Dutch, Shell i BP. Zhakowano ich poufne mapy topograficzne. Te skomputeryzowane mapy lokalizują potencjalne rezerwy ropy naftowej, a wg śledczych atak doprowadził do utraty „informacji o finansowaniu projektów w odniesieniu do ofert i operacji dotyczących pól naftowych i gazowych”. Ten atak został nazwany „Nocnym Smokiem”. I chociaż wskazuje się, że Operation Shady Rat i Night Dragon pochodzą „głównie” z Chin, informacje te nigdy nie zostały zweryfikowane. Wiele podobnych ataków na korporacje zachodnie nie przez przypadek zwróciło uwagę na chińskie korporacje technologiczne i znane nam oskarżenia kierowane pod adresem m.in. koncernu Huawei są skutkiem m.in. tego rodzaju „wycieków”.

Ochrona związana z prawem autorskim i ochroną patentową ma za zadanie chronić interesy firm. Ale szpiegostwo korporacyjne było dla wielu kolejnym wielowymiarowym sposobem prowadzenia działalności gospodarczej. Właśnie oferowane w Darknecie usługi hakerskie, po które bez większych oporów sięgają poszukujące zysków firmy detektywistyczne, oraz zakładane przez byłych oficerów służb prywatne agencje wywiadowcze, wciąż próbują zdobyć tajemnice handlowe, oferując swoje usługi tym, którzy chętnie zapłacą za informacje dające im często znaczną przewagę konkurencyjną. Niezmiernie rzadko firmy bezpośrednio wzajemnie się hakują– najczęściej poprzez sieć pośredników docierają do osób prowadzących działalność szpiegowską, by ukryć swoje powiązania. Często zajmują się tym agencje detektywistyczne. Dla wielu firm tego typu zlecenia są tylko kwestią pieniędzy.

Coraz więcej firm, które zetknęły się bezpośrednio z działalnością szpiegowską albo były celem ataków i penetracji ze strony szpiegów lub hakerów, wynajmują ekspertów, którzy chronią firmy przed tego typu działaniami. Firmy, które odczuły ataki, bez wahania sięgają po ekspertów od kontrwywiadu korporacyjnego i tworzą komórki antyfraudowe, rozbudowując ich zadania o działania wzmacniające ludzki czynnik swojej infrastruktury. Wiedzą, że jest to „dobre dla biznesu”. Jednocześnie, nawet jeśli jest naprawdę niewielki odsetek szansy na złapanie hakerów, szpiegów, pracujących w firmach „kretów” i ich mocodawców, firmy coraz chętniej zmieniają swoją taktykę, zwłaszcza gdy dowiadują się, ile i co stracili inni, gdy zbagatelizowali problem. Metody ataków są coraz bardziej przemyślane, ale metody przeciwdziałania im i ich wykrywania też do prostych nie należą. Ale na pewno warto po nie sięgać.

Na początku XXI wieku Doliną Krzemową wstrząsnęła afera, w której wykorzystano w działaniach korporacyjnych swoiste gry szpiegowskie. W 2000 roku Larry Ellison, szef Oracle, starał się udowodnić, iż konkurencyjny Microsoft finansuje różne grupy interesu publicznego. Oracle nazwał nawet swoją decyzję o zatrudnieniu agencji detektywistycznej działaniem w ramach prowadzonej „służby publicznej”. Próbując odkryć rzekome powiązania finansowe pomiędzy Microsoftem a jego rzekomymi niezależnymi sojusznikami, agencja detektywistyczna Investigative Group International przekupiła personel sprzątający, by zdobyć wszelkie dokumenty, jakie trafiły w ręce sprzątających. Próbowali również kupić śmieci biurowe ze wszystkich biur Microsoftu. Mimo że prowadzone działania przekroczyły pewną granicę działań etycznych, większość kadry kierowniczej w innych firmach dochodzeniowych zatrudnionych przez Larry’ego Ellisona stwierdziła, że nie przekroczono granic prawnych.

W 1997 r. Pin Yen Yang, prezes firmy Four Pillars Enterprise Company na Tajwanie, został oskarżony o oszustwa pocztowe, oszustwa związane z praniem brudnych pieniędzy, przejmowanie skradzionej własności oraz kradzież tajemnic handlowych od Avery Dennison Corp., jednego z największych amerykańskich producentów produktów klejących w latach 1989–1997. Yang zapłacił pracownikowi Avery Dennison, doktorowi Ten Hong Lee, 150 000–160 000 USD za dane badawcze i poufne informacje dotyczące produkcji. Avery Dennison Corp. szacuje, że skradziona technologia klejenia kosztowała ich dziesiątki milionów dolarów straconych przychodów.

Innym przypadkiem, który warto przytoczyć, jest historia z kwietnia 2009 r. Sieć hoteli Starwood Hotels & Resorts Worldwide wniosła pozew sądowy przeciwko Hiltonowi i oskarżyła ten koncern hotelowy o działania szpiegowskie, zmuszając sieć do zaprzestania rozwoju swojej marki Denizen. W pozwie twierdzono, że dwóch byłych dyrektorów Starwood zatrudnionych przez Hiltona ukradło ponad 100 tys. poufnych dokumentów. Zawierały one informacje o sieci Starwood i zgodnie z pozwem miały być wykorzystane do pomocy Hiltonowi w replikacji niszowej marki Starwood w hotelach typu lifestyle. Według Starwood „ładunek ciężarówek” z dokumentami zdobytymi przez konkurenta zawierał „informacje poufne z punktu widzenia konkurencji”. Sieci hotelowe zawarły porozumienie w 2010 r. Hilton zgodził się na zapłatę w gotówce zadośćuczynienia w wysokości 75 mln USD na rzecz Starwood, a sędzia federalny zakazał sieci hoteli marki Hilton otwierania jakichkolwiek „hoteli typu lifestyle” przez dwa lata.

To tylko kilka przykładów z dziesiątek spraw, które poznała opinia publiczna. Chociaż nieco już trącą myszką, podobne incydenty już w szerszym zakresie i mocniej wsparte technologią są prowadzone wobec innych firm i korporacji w kraju i za granicą także dzisiaj. Przed wieloma centrami technologicznymi i logistycznymi montuje się ukryte kamery liczące i namierzające samochody przywożące i wywożące ładunki. Często do obserwacji używa się dronów. W ten sposób konkurencja otrzymuje dokładne dane o produkcji i sprzedaży oraz sieci dystrybucyjnej ofiary.

W Darknecie wynajmuje się hakerów, którzy kradną zawartość skrzynek pocztowych, billingi telefoniczne konkretnych menedżerów wybranych firm. Wielu kluczowych menedżerów jest stale inwigilowanych, dane o ich działaniach i kontaktach oraz treść ich rozmów są spisywane i analizowane, by trafiać w postaci raportów do zarządów konkurencyjnych firm. Wiele firm dokładnie analizuje ogłoszenia o firmowych eventach, by wysłać tam swoich zaufanych agentów. W sieci pojawiają się tysiące ogłoszeń pracy na konkretne stanowiska, gdzie fikcyjne agencje HR polują na CV zawierające dane konkretnych menedżerów, osób zatrudnianych w konkretnych strukturach konkretnych firm. Do wielu menedżerów dzwonią wynajęte i nieświadome faktu ich wykorzystania firmy headhunterskie. A później w ramach rozmów kwalifikacyjnych wydobywa się najskrytsze tajemnice firmowe.

Michał Czuma Niezależny ekspert, prowadzący własną działalność doradczą pod nazwą Michał Czuma MC Consulting. Stworzył i zarządzał pierwszymi w kraju Biurami Antyfraudowymi w spółkach grupy PKO BP. Były wieloletni z-ca dyrektora Departamentu Bezpieczeństwa PKO BP.