Na redakční otázky odpovídá Ing. Jakub Mahdal, Chief executive officer, COSECT Ltd.

 1) Je to problém reálný i v Česku nebo jde o umělou otázku? Pokud jde o problém reálný, můžete zmínit nějaké konkrétní případy "ze života"?

Průmyslová špionáž je běžnou aktivitou u nás i ve světě. Důkazem tohoto tvrzení je zájem společností o oblast monitoringu uživatelů, DLP řešení a bezpečnost obecně.

Pokud firma zjistí, že se stala obětí průmyslové špionáže, pak se tímto faktem nechlubí. Stejně tak společnosti, které k podobným praktikám přistupují o nich nemluví. Slavným odhaleným případem z loňského roku je prodej dat giganta IBM konzultační společnosti New Castle Funds, za kterým stál mimo jiných odsouzených i tehdejší viceprezident IBM.

2) Je národní i nadnárodní legislativa chránící duševní vlastnictví z hlediska průmyslové špionáže dostatečná?

České legislativa, stejně jako nařízení EU a mezinárodní dohody, chrání zájmy firem v oblasti duševních práv i průmyslové špionáže dostatečně. Společnosti by se však měly chránit samy. Soudní spory a tahanice se totiž často vlečou roky a případné finanční odškodnění přichází pozdě, pokud vůbec. Pravidlem také je, že odškodné zdaleka nepokrývá všechny ztráty, které špionáž společnosti způsobila. V zájmu každé společnosti je chránit své citlivé informace preventivně a nedávat prostor pro možné úniky dat.

Připomeňme, že společnost, která neošetřuje své vztahy s partnery, dodavateli a zaměstnanci smluvně formou dohody o důvěrnosti (NDA), má značně stíženou pozici u soudu.

3) Přes veškeré úsilí může dříve či později k incidentu z oblasti průmyslové špionáže dojít. Jak se na něj co nejlépe připravit?

Důležitá je prevence a kontrola nad celkovou bezpečnostní situací ve vaší společnosti. Z hlediska administrativy je vhodné do smluv se zaměstnanci a lidmi pohybujícími se uvnitř vaší společnosti zakotvit postihy demotivující je od útoků na data společnosti. Nerozlišujte v tomto ohledu mezi manažery a uklízečkami. Všichni lidé, kteří se pohybují uvnitř vaši společnosti jsou pro vás nebezpečím.

Z technického hlediska je nutné mít přehled o tom, kdo a kdy k jakým datům přistupoval, případně mu umět zabránit informace využít nelegitimním způsobem. Dalším bodem je nutná preventivní ochrana proti neznámým aplikacím, ze kterých se mohou vyklubat škodlivé programy. K tomu vám poslouží systémy pro prevenci úniku dat (DLP), monitorování aktivity zaměstnanců při práci na počítači a nástroje pro šifrování dat – a to nejenom těch, které opouští kanceláře společnosti.

Kvůli hrozbě zlodějů informací je také vhodné skartovat nepotřebná a nepoužívaná data (fyzicky i digitálně).

4) Průmyslová špionáž bývá často velmi skrytá. Jak nejlépe zjistíme, že jsme její obětí - dříve než bude pozdě?

Klíčem je minimalizovat rizika vedoucí k úspěšnému provozování špionáže. Jak? Dojde-li k hrozbě výskytu špionáže, pomohou vám nástroje kontrolující chování uživatelů, které odhalí problém i viníky dříve, než ke ztrátě dat skutečně dojde. Pro samotnou ochranu proti odcizení dat je vhodné použít řešení typu Data Loss Prevention. Ideálním případem je využít řešení, které umí synergicky kombinovat oba způsoby eliminace průmyslové špionáže.

5) Největší problém z hlediska průmyslové špionáže představuje lidský faktor. Jak jej co nejúčinněji "eliminovat"?

Nedílnou součástí problémů spojených s lidským faktorem musí být řešení otázky uživatelů v širším kontextu – nejenom technicky v otázce Data loss prevention (DLP), protože DLP je jenom jeden (a ve skutečnosti až ten poslední) článek řetězu, který s tím dokáže něco udělat. Ideálně doporučujeme využít technologie kombinující DLP s nástroji, které dokáží z chování uživatelů reálné hrozby včas odhalit a informovat příslušné pracovníky a nenarušit tak business continuity společnosti. Už i pouhé vědomí personálu a lidí pohybujících se uvnitř vaší firmy o tom, že využíváte pokročilé DLP a monitorovací nástroje, snižuje výskyt úmyslných bezpečnostních incidentů.