ECONOMISCHE SPIONAGE Praktische tips voor de bescherming tegen economische spionage
ECONOMISCHE SPIONAGE Praktische tips voor de bescherming tegen economische spionage
ECONOMISCHE SPIONAGE
3
4
ECONOMISCHE SPIONAGE
INHOUDSTAFEL 1 Inleiding ...................................................................................... 5 2 De bescherming van het Wetenschappelijk en Economisch Potentieel (WEP) ..................................................... 6 3 Economische spionage ............................................................. 7 3.1. Origine..................................................................................... 7 3.2. Gezochte informatie................................................................ 8 3.3. Methoden................................................................................ 9 3.4. praktische tips ter voorkoming van spionage.......................... 15 3.4.1. Algemene tips................................................................... 15 3.4.2. Het kantoorgebouw.......................................................... 16 3.4.2. Op (zaken-)reis................................................................ 18 3.4.4. Personeel......................................................................... 19 3.4.5. ICT.................................................................................... 20 4. De Veiligheid van de Staat contacteren................................... 23
ECONOMISCHE SPIONAGE
5
6
ECONOMISCHE SPIONAGE
1. INLEIDING In deze brochure wordt de aandacht toegespitst op economische spionage. Het doelpubliek van de brochure zijn in de eerste plaats de Belgische ondernemingen. Maar ook overheidsdiensten en onderzoeksinstellingen die met gevoelige economische, wetenschappelijke of technologische informatie in aanraking komen, kunnen deze brochure nuttig vinden. In 1998 heeft de Veiligheid van de Staat de wettelijke opdracht gekregen om het Wetenschappelijk en Economisch Potentieel (WEP) te beschermen. De bescherming van het WEP is een relatief nieuwe opdracht voor de dienst - zeker in vergelijking met de twee overige inlichtingenopdrachten, de bescherming van de inwendige en de uitwendige veiligheid van het land. De Veiligheid van de Staat voert de laatste twee opdrachten reeds uit sinds de oprichting van de dienst, kort na de onafhankelijkheid van België. Het is echter geen toeval dat de bescherming van het WEP in 1998 een nieuwe opdracht werd voor de Veiligheid van de Staat. Ook in het buitenland zien we dat vanaf het einde van de twintigste eeuw de nationale inlichtingen- en veiligheidsdiensten zich meer en meer gaan richten op het probleem van de economische veiligheid. Dat kan verklaard worden door het feit dat de economische veiligheid aan belang heeft gewonnen binnen het concept van nationale veiligheid. Sinds de Tweede Wereldoorlog heeft de Westerse wereld een ongekende economische groei en voorspoed gekend. Uiteraard willen alle landen die economische welvaart behouden of zelfs nog doen toenemen. Het beschermen tegen concurrerende landen van de sleutelfactoren die de economische groei mogelijk maken, wordt aldus een onderdeel van de nationale veiligheidsplannen. Dit fenomeen wordt nog versterkt door de globalisering van de economie. Door die globalisering intensifieert de internationale economische concurrentie nog meer en verschuiven strategische belangen verder over de landsgrenzen heen.
ECONOMISCHE SPIONAGE
7
2. DE BESCHERMING VAN HET WEP De bescherming van het WEP is een onderdeel van de inlichtingenopdracht van de dienst. Dat wil zeggen dat de Veiligheid van de Staat inlichtingen mag inwinnen, analyseren en verwerken over activiteiten die het Belgische wetenschappelijk en economisch potentieel kunnen bedreigen. De wetgever laat de Veiligheid van de Staat echter niet toe om zomaar om het even welke inlichtingen te verzamelen. De inlichtingen moeten betrekking hebben op minstens één van de zeven door de wet opgesomde bedreigingen, namelijk: spionage, inmenging, terrorisme, extremisme, proliferatie, schadelijke sektarische organisaties en criminele organisaties. De Veiligheid van de Staat zal daarentegen niet instaan voor bijvoorbeeld de fysieke bescherming van kritieke infrastructuur. De dienst zal ook niet de bescherming van belangrijke informaticanetwerken op zich nemen of agenten inzetten om laboratoria te bewaken. De Veiligheid van de Staat zal echter wel actief inlichtingen verzamelen en analyseren met betrekking tot potentiële of actuele bedreigingen en indien nodig zal de dienst hierover de betrokken partijen en de verantwoordelijke overheden informeren.
8
ECONOMISCHE SPIONAGE
3. ECONOMISCHE SPIONAGE Er bestaan vele soorten spionage: politieke spionage, militaire spionage, technologische en wetenschappelijke spionage, economische spionage, industriële spionage, commerciële spionage enz. Helaas bestaat er geen eensgezindheid over de definities van al die spionagevormen. Elk land houdt er zo zijn eigen definities op na. Meestal wordt het onderscheid gebaseerd op de aard van de opdrachtgever (regering/bedrijf/particulier) en/of het type informatie dat gezocht wordt. De Veiligheid van de Staat hanteert een eenvoudige definitie: economische spionage is elke spionagevorm die beoogt om economisch exploiteerbare informatie te verzamelen. Het is bijzonder moeilijk om een fenomeen als economische spionage in kaart te brengen. De beeldvorming over economische spionage is eerder fragmentarisch en anekdotisch. Dat is niet alleen in België zo; het geldt voor bijna alle landen. De redenen daarvoor zijn voor de hand liggend. Eerst en vooral zijn veel bedrijven er zich niet van bewust dat ze het slachtoffer zijn geworden van spionage. Bijgevolg kan er ook niet over gerapporteerd worden. Ten tweede zijn de meeste bedrijven die ontdekt hebben dat ze slachtoffer zijn geworden van spionage heel terughoudend om daarover te communiceren en eventueel te melden. Vooral de bezorgdheid om mogelijke imagoschade en de reacties van de aandeelhouders weerhouden bedrijven ervan om klacht in te dienen.
3.1. Origine Een eerste markante vaststelling is dat op het gebied van economische spionage de klassieke vijandbeelden en bondgenootschappen niet meer gelden. Het gevaar van economische spionage kan zowel uitgaan van bevriende als van “minder bevriende” landen (of bedrijven of personen uit die landen). De klassieke bondgenootschappen werden opgericht om gezamenlijke politieke, militaire of andere veiligheidsdoeleinden te realiseren. Vanwege de bikkelharde internatio-
ECONOMISCHE SPIONAGE
9
nale economische concurrentie maken economische belangen echter geen deel uit van die gemeenschappelijke doeleinden. De concurrerende landen - en zeker de landen met een offensieve inlichtingendienst - kunnen dan ook beschouwd worden als een potentiële bedreiging voor het Belgisch wetenschappelijk en economisch potentieel. Volgens binnen- en buitenlandse rapporten zijn meer dan honderd landen betrokken bij economische spionage. Het betreft zowel geavanceerde industrielanden als landen die volop aan hun industriële ontwikkeling werken. Hoewel er een grote groep landen betrokken is bij economische spionage, moet er opgemerkt worden dat een relatief kleine groep landen, waaronder China en Rusland, verantwoordelijk zijn voor het grootste aantal en de meest agressieve spionagepogingen. Economische spionage gebeurt niet altijd in opdracht van een buitenlandse regering. De opdrachtgevers kunnen heel divers zijn: private ondernemingen, buitenlandse regeringen of entiteiten die gelieerd zijn aan een buitenlandse regering (bijvoorbeeld een onderneming die gecontroleerd wordt door een regering) en individuen die voor eigen rekening werken. Volgens de beschikbare informatie zouden commerciële ondernemingen even grote opdrachtgevers voor spionage zijn als buitenlandse regeringen. Het aandeel van niet-gouvernementele opdrachtgevers zal in de toekomst waarschijnlijk nog toenemen.
3.2. GEZOCHTE INFORMATIE Bij de woorden “economische spionage” wordt vaak spontaan gedacht aan het ontvreemden van R&D-geheimen. R&D-informatie is zeker gegeerd, maar het doelwit van economische spionage is in de praktijk veel ruimer. De volgende soorten informatie blijken de meest voorkomende doelwitten te zijn voor spionage (in willekeurige volgorde): R&D, prototypes, fabricagegegevens, productspecificaties, strategische plannen, klantenlijsten en –gegevens, financiële data en informatie over fusies en overnames.
10
ECONOMISCHE SPIONAGE
Er kunnen een aantal verbanden gelegd worden tussen de doelwitten van de spionagepogingen en de origine. Het zijn immers niet altijd de “kroonjuwelen” die het doelwit vormen van spionage. Spionagepogingen met een origine in ontwikkelingslanden of landen die volop bezig zijn om hun economische en technologische achterstand ten opzichte van het Westen in te halen, zijn vooral geïnteresseerd in technologie, know-how en informatie die bruikbaar is voor de vooruitgang van de eigen industrie. Dat zijn niet noodzakelijk de nieuwste technologische ontwikkelingen. Geavanceerde industrielanden zijn, naast de technologische ontwikkelingen die de concurrentiepositie kunnen versterken, vaak ook geïnteresseerd in strategische bedrijfsplannen en marketing of commerciële informatie. Daarnaast speelt de actuele, geopolitieke situatie van het land van origine eveneens een rol. Zo zijn sommige landen specifiek geïnteresseerd in wapentechnologie of nucleaire technologie.
ECONOMISCHE SPIONAGE
11
3.3. MEthoden De methoden die aangewend worden voor de informatievergaring en economische spionage zijn zeer divers en niet noodzakelijk illegaal! Ze variëren van eenvoudige, perfect legale technieken voor informatievergaring tot ronduit clandestiene spionageactiviteiten. Verrassend genoeg blijken de legale technieken behoorlijk succesvol te zijn. De reden daarvoor is dat vele bedrijven nalaten om hun gevoelige of geheime bedrijfsinformatie als zodanig te behandelen en voldoende te beschermen. Hierna volgt een overzicht van de meest gerapporteerde methoden: 1) De eenvoudige vraag: De meest voor de hand liggende manier om informatie te bekomen is het eenvoudigweg te vragen. Die methode blijkt verbazend veel succes te hebben! Dat is vooral te wijten aan het feit dat binnen ondernemingen het vaak niet duidelijk gemaakt wordt wat al dan niet als gevoelige of kostbare informatie moet beschouwd worden. Als de informatiezoeker de juiste context creëert dan worden die vragen vaak zonder argwaan beantwoord. Het merendeel van de gerapporteerde pogingen om informatie te ontfutselen gebeurt op deze manier. 2) De directe aankoop: Deze techniek wordt toegepast voor het verwerven van technologie die beschermd wordt door de proliferatiewetgeving of onderworpen is aan exportcontrole (voornamelijk militaire en nucleaire technologie). De verkoper is soms niet op de hoogte van het feit dat zijn product onder de proliferatie- of exportwetgeving valt. Het komt ook voor dat de potentiële koper de end user informatie vervalst om de koop te faciliteren of de overheden te misleiden. 3) Aanbod van diensten en producten: De informatiezoeker biedt producten of diensten aan het gecibleerde bedrijf of instelling aan. De bedoeling ervan is niet zozeer het realiseren van een verkoop maar wel om toegang te krijgen tot de gezochte informatie. Dat kan gebeuren door bijvoorbeeld werknemers voor de dienstverlening in het geciblee-
12
ECONOMISCHE SPIONAGE
rde bedrijf te plaatsen, door producten te leveren die achteraf kunnen gebruikt worden voor informatievergaring (computernetwerken, telefooncentrales, etc.) of door misbruik te maken van tijdelijke toegang tot het netwerk van het doelwit om daar trojan horses, virussen of andere spyware achter te laten. 4) Exploiteren van zakenlui en experten in het buitenland: Personeelsleden die voor het werk in het buitenland verblijven zijn er zich niet altijd bewust van dat ze bijkomende veiligheidsrisico’s lopen. Documenten en computers kunnen door de douane of veiligheidsdiensten in luchthavens of grensdoorgangen doorzocht worden, hotelkamers zijn minder veilig dan het kantoor in het thuisland, telecommunicatie kan in het buitenland makkelijker worden afgeluisterd en het is
ECONOMISCHE SPIONAGE
13
voor inlichtingenagenten makkelijker om in het buitenland personen te benaderen of om compromitterende situaties uit te lokken. 5) Bedrijfsbezoeken: Bedrijfsbezoeken zijn een klassieke manier om toegang te krijgen tot de gebouwen van een bedrijf of instelling. In vele bedrijven worden bezoekers ook rondgeleid in plaatsen waar zich vertrouwelijke informatie bevindt. De inlichtingenzoeker probeert zich onopvallend af te zonderen van de bezoekersgroep om “toevallig” te blijven rondhangen op plaatsen waar gevoelige informatie verzameld kan worden. Personen die deel uitmaken van een bezoekersgroep en waarvan de naam niet op voorhand werd doorgegeven zouden de toegang tot het bedrijf moeten geweigerd worden of op zijn minst als verdacht moeten beschouwd worden. 6) Exploiteren van samenwerkingsverbanden: Door nauw samen te werken met - al dan niet buitenlandse - bedrijven, bijvoorbeeld in joint ventures, kunnen gezamenlijke doelstellingen gerealiseerd worden. Dergelijke samenwerking kan echter ook misbruikt worden voor spionageactiviteiten. Enkele voorbeelden van mogelijke kentekenen hiervan zijn de volgende: voorstellen voor al te eenzijdige informatiedeling, druk om onbeperkte toegang te krijgen tot het informaticanetwerk, een te grote inzet van personeel door de partner, vragen om informatie die verder reiken dan de samenwerkingsovereenkomst, etc. 7) Internetspionage: Bijna alle bedrijven zijn tegenwoordig verbonden met het internet. Het internet biedt vele opportuniteiten maar is intrinsiek geen veilig medium. Bedrijfsnetwerken worden continu blootgesteld aan hacking en infiltratiepogingen. Onwetendheid en naïef gebruik van het internet leiden tot veiligheidsrisico’s. Slachtoffers van internetspionage wisten bijvoorbeeld vaak niet dat er informatie gestolen was en dat de gestolen informatie toegankelijk was vanaf het internet... Eén van de meest gebruikte technieken is de targeted trojan horse e-mail attack. Dat zijn onschuldig uitziende e-mailberichten die een attachment bevatten waarin malware verscholen zit die kan gebruikt worden voor spionageactiviteiten. Vaak worden social engineering-technieken toegepast om de ontvanger van het e-mailbe-
14
ECONOMISCHE SPIONAGE
richt ertoe aan te zetten om het bericht en de attachment te openen. Dat kan gebeuren door het afzendadres te vervalsen en de inhoud en context van het bericht zodanig voor te stellen dat er geen argwaan wordt gewekt bij de ontvanger. 8) Internationale beurzen: conferenties en colloquia: Deze evenementen hebben expliciet tot doel om in contact te komen met andere bedrijven of om informatie uit te wisselen. Vragen om informatie is dus geen verdachte activiteit in deze context. Die open sfeer kan misbruikt worden voor spionagepogingen. Dergelijke evenementen bieden bovendien een mooie kans om de interessante personen en dus mogelijke doelwitten binnen een onderneming te identificeren. Vaak vinden deze evenementen plaats in het buitenland wat de kwetsbaarheid van het uitgestuurde personeel verhoogt. 9) Stagiairs en studenten: Voor bedrijven en onderzoeksinstellingen kan het nuttig zijn om samen te werken met veelbelovende studenten en stagiairs. Vaak worden ze aangetrokken om te werken op een specifiek project. In de praktijk blijkt echter dat die studenten en stagiairs, door onvoldoende voorzorgen of nonchalance van het bedrijf, toegang hebben tot meer informatie dan strikt nodig voor het uitvoeren van hun opdracht. Er zijn gevallen bekend waarbij studenten en stagiairs misbruik hebben gemaakt van hun vrije toegang tot vertrouwelijke bedrijfsinformatie om die informatie te stelen. 10) Misbruik van etnische afkomst: In de Belgische bevolking vindt men een grote diversiteit in etnische en geografische origine terug. Deze diversiteit wordt uiteraard weerspiegeld in het personeelsbestand van ondernemingen. De etnische afkomst kan misbruikt worden voor spionagedoeleinden. Een werknemer kan onder druk gezet worden door te appelleren op zijn etnische loyauteit of zelfs door achtergebleven familie in zijn vorige thuisland te bedreigen. 11) De traditionele spionagemethoden: De traditionele methoden zoals inbraak, afluisteren en rekrutering van insiders komen occasioneel nog steeds voor. Gezien de hoge risico’s van de klassieke tech-
ECONOMISCHE SPIONAGE
15
nieken en het succes van de andere methoden worden de clandestiene methoden minder gebruikt. Tot slot moet er nog iets gezegd worden over de insider threat, het gevaar van binnen de onderneming of organisatie. De meeste spionagepogingen gebeuren zonder medewerking van binnen de organisatie. Echter, de spionagegevallen waar er sprake is van medewerking van een insider zijn succesvoller en resulteren meestal in een veel grotere schade voor het bedrijf. Achteraf blijkt vaak dat de insiderspionnen wel degelijk signalen hebben uitgezonden die hun intenties zouden kunnen verraden. Dat kunnen bijvoorbeeld zijn: tekenen van plotse rijkdom, buitenlandse reizen die verborgen werden gehouden, professionele conflicten en ontevredenheid. Die signalen werden vaak wel degelijk waargenomen maar helaas niet gerapporteerd. De personeelsdienst, de sociale dienst en de collega’s kunnen dus een belangrijke rol vervullen in het voorkomen van de insider threat.
16
ECONOMISCHE SPIONAGE
3.4. PRAKTISCHE TIPS TER VOORKOMING VAN SPIONAGE Het is niet mogelijk, zonder de reguliere bedrijfsactiviteiten ernstig te verstoren, om zich 100% te beschermen tegen spionage. Het respecteren van enkele veiligheidsrichtlijnen kan evenwel een groot deel van de bedreiging teniet doen. Hierna worden een aantal tips gegeven die – zonder exhaustief te willen zijn – een aanzet kunnen geven voor een beschermingsbeleid tegen spionage.
3.4.1. Algemene tips - Erken dat er een reële dreiging bestaat en dat gevoelige informatie moet beschermd worden. Het erkennen van de problematiek is altijd de eerste stap in een degelijk preventiebeleid. - Implementeer een werkbaar plan voor de bescherming van bedrijfsgeheimen. Indien het veiligheidsplan te moeilijk is om toe te passen in de dagelijkse bedrijfsvoering zullen de werknemers de richtlijnen niet consequent toepassen. - Identificeer welke informatie als bedrijfsgeheim moet beschouwd worden binnen het bedrijf of instelling. Zo weet u welke informatie moet beschermd worden en worden er geen middelen verspild voor het beschermen van informatie die geen bedrijfsgeheimen zijn. Indien mogelijk moet de beschermde informatie ook monetair gewaardeerd worden. Op die manier heeft het bedrijf een idee van het risico indien de informatie zou gestolen worden. - Bepaal wie over welke informatie mag beschikken (het “need to know”-principe). Een document kan versnipperd worden en informatie op een harde schijf kan weggeveegd worden maar mensen nemen hun kennis overal mee.
ECONOMISCHE SPIONAGE
17
- Beperk de toegang tot informatie tot de personen die daadwerkelijk over de informatie mogen beschikken. - Zorg ervoor dat gevoelige informatie niet ongewild in de bedrijfscommunicatie (website, intranet, publicaties, jaarverslagen, etc.) voorkomt. - Documenten die bedrijfsgeheimen of vertrouwelijke informatie bevatten mogen niet zomaar weggegooid worden. Ze moeten op een gepaste manier vernietigd of digitaal weggeveegd worden wanneer ze niet langer nodig zijn. - Laat documenten of ander dragers van bedrijfsgeheimen (laptop, usb-stick enz.) nooit onbeheerd achter buiten het bedrijf (auto, hotel, conferenties, vergaderingen, enz.).
3.4.2. Het kantoorgebouw - Controleer de toegang tot de kantoorgebouwen. Elke toegang tot het gebouw moet door veiligheidspersoneel of een alarmsysteem bewaakt worden. De perimeter rond het kantoorgebouw moet voldoende verlicht en beveiligd zijn om ’s nachts ongeoorloofde toegang tot het gebouw te verhinderen. - Werknemers en bezoekers moeten toegangsbadges zichtbaar dragen, zeker op plaatsen waar vertrouwelijke informatie bewaard wordt. Het is aangewezen dat bezoekersbadges er anders uitzien dan de werknemersbadges zodat elk personeelslid bezoekers kan herkennen. - Zorg voor een extra-beveiligde zone in het kantoorgebouw waar de meest gevoelige informatie wordt bewaard. Alleen personeel met toegang tot die informatie mag de extra-beveiligde zone betreden. Het is geen goed idee om bezoekers in de extra-beveiligde zone toe te laten. Indien derden toch toegang moeten hebben tot de extra-beveiligde
18
ECONOMISCHE SPIONAGE
zone (bijvoorbeeld voor schoonmaak) dan moeten die personen vergezeld zijn van een geautoriseerd personeelslid. - Een gepast sleutelbeleid is nodig om binnen het gebouw de toegang te controleren. Er moet vastgelegd worden wie kan beschikken over welke sleutels. De personeelsleden zijn verantwoordelijk voor de sleutels waarover ze beschikken. Eventueel verlies of diefstal moet zo vlug mogelijk gemeld worden zodat indien nodig de sloten kunnen vervangen worden. - Werknemers moeten kunnen beschikken over voldoende afsluitbare kasten of kluizen om hun vertrouwelijke documenten of informatiedragers in op te bergen. Indien mogelijk is het aangeraden om een clean desk policy in te voeren zodat er geen vertrouwelijk informatie onbewaakt wordt achtergelaten.
ECONOMISCHE SPIONAGE
19
- Het is niet ongebruikelijk dat zakenlui gevoelige informatie van het bedrijf mee naar huis nemen om thuis verder te werken. In principe moeten thuis – in de mate van het mogelijke - dezelfde veiligheidsmaatregelen in acht genomen worden als op het kantoor. Men moet er zich van bewust zijn dat het risico op verlies van vertrouwelijk informatie buiten de kantoorgebouwen aanzienlijk groter is. Om de uitgaande informatie te controleren moet er een register bijgehouden worden van alle vertrouwelijke informatie die het bedrijfsgebouw verlaat. Alleen daartoe geautoriseerde personeelsleden mogen vertrouwelijke bedrijfsinformatie buiten het kantoorgebouw brengen.
3.4.3. Op (zaken-)reis
- Neem alleen apparatuur en informatie mee die strikt nodig is voor het doel van de reis. - Vervoer de informatiedragers en computerapparatuur in de handbagage zodat je ze niet uit het oog verliest bij grens- en veiligheidscontroles. - Laat vertrouwelijke informatie nooit onbewaakt achter in de hotelkamer of op andere plaatsen. - Gebruik alleen usb-sticks of andere draagbare media die door het eigen bedrijf werden verstrekt en sluit die apparaten niet aan op vreemde computers. Ga er voorzichtigheidshalve van uit dat de laptop of de draagbare media mogelijk besmet zijn na contact met vreemde apparatuur. - Vermijd indien mogelijk het gebruik van wifi-netwerken. - Probeer ervoor te zorgen dat omstaanders niet kunnen meelezen van het scherm of het document dat je zelf aan het lezen bent. Dezelfde voorzichtigheid geldt voor omstaanders die kunnen meeluisteren met gesprekken die gevoerd worden. - Informeer jezelf alvorens af te reizen over de wetgeving in het land van bestemming inzake de invoer van informatica-apparatuur en het gebruik van encryptietechnieken. - Verwacht in het buitenland niet dezelfde veiligheidsgaranties met betrekking tot communicatiemiddelen (telefoon, fax, GSM etc.) als in het thuisland. Probeer het gebruik van de communicatiemiddelen dus
20
ECONOMISCHE SPIONAGE
te beperken. Vertrouwelijke informatie moet via beveiligde communicatie-kanalen en beschermd door versleuteling verstuurd worden.
3.4.4. Personeel - Zorg voor een sensibilisatie bij het personeel en voor voldoende opleiding met betrekking tot de veiligheid van gevoelige of geheime bedrijfsinformatie. Zo een sensibilisatiecampagne en opleiding mogen geen eenmalige gebeurtenis zijn maar moeten regelmatig herhaald worden. - Loyauteit tussen onderneming en werknemer is tweerichtingsverkeer. Professionele frustraties worden vaak in verband gebracht met de insider threat. Een goed personeelsbeleid is een belangrijke component van het veiligheidsbeleid. - Pre-employment screening, binnen het wettelijk kader (bijvoorbeeld het controleren van referenties), is aangewezen bij de aanwerving van personeelsleden die in contact gaan komen met vertrouwelijke bedrijfsinformatie. Ook de verplichtingen van personeelsleden met betrekking tot het veiligheidsbeleid kunnen best in het arbeidscontract worden opgenomen. Voor sommige belangrijke functies binnen de onderneming kan een concurrentiebeding overwogen worden. - Personeelsleden die het bedrijf verlaten, moeten al hun sleutels en toegangsbadges teruggeven. Ook hun toegangscodes voor het informaticanetwerk moeten zo vlug mogelijk worden opgeheven.
3.4.5. ICT - Beperk de fysieke toegang tot informatica-apparatuur. Fysieke toegang tot informatica-apparatuur maakt het makkelijker om informatie te ontvreemden. Daarom moet er op toegezien worden dat niet-bevoegden geen toegang kunnen krijgen tot die apparatuur. Dat geldt zeker ook voor draagbare apparaten zoals laptops, mobiele harde schijven en usb-sticks.
ECONOMISCHE SPIONAGE
21
- Maak duidelijke en bindende afspraken met derden die moeten kunnen gebruik maken van het informaticanetwerk (bijv. stagiairs en dienstenleveranciers) over procedures en toegang tot de informaticainfrastructuur. - Gebruik alleen hardware en software die door het eigen bedrijf beschikbaar wordt gesteld. Wees met name voorzichtig met usb-sticks die door derden worden cadeau gedaan. - Hou software up-to-date. Virussen, Trojaanse paarden en andere malware die gebruikt wordt voor spionage exploiteren veiligheidslekken in software. Softwareproducenten brengen regelmatig updates en patches voor hun programma’s uit om die veiligheidslekken te dichten. Het is dan ook aangewezen om een beleid uit te werken dat het bedrijf of dienst in staat stelt om op alle computers de meeste recente updates en patches te installeren. - Gebruik sterke paswoorden en verander ze regelmatig (zeker na een buitenlandse reis). Sterke paswoorden zijn paswoorden die niet gemakkelijk geraden kunnen worden. Ze mogen dus niet afgeleid zijn van informatie die door anderen gekend kan zijn. Typische voorbeelden van slechte paswoorden zijn geboortedata en namen van kinderen. Bij voorkeur bevatten sterke paswoorden zowel letters, cijfers als leestekens. - Schakel computerfunctionaliteit die niet gebruikt wordt of die niet nodig is uit. Computers hebben standaard vaak mogelijkheden die niet voor alle gebruikers nuttig of nodig zijn. Vooral draadloze verbindingen (bijv. wifi en Bluetooth) en andere netwerktoepassingen (bijv. ftp- en webservers, file sharing) zijn kwetsbaar voor hacking of exploitatie. Als die functionaliteit niet nodig is, is het aangeraden om ze volledig uit te schakelen of – indien mogelijk – zelfs te verwijderen. - Versleutel databestanden. Door de bestanden te versleutelen verhinder je dat onbevoegden vertrouwelijke informatie kunnen lezen,
22
ECONOMISCHE SPIONAGE
zelfs al hebben ze op één of andere manier toegang gekregen tot het computersysteem. Uiteraard is het best om ook voor het versleutelen van bestanden sterke paswoorden te gebruiken. - Besef dat de moderne communicatiemiddelen - zeker voor internationale communicatie - zoals e-mail, gsm en PDA nooit 100% veilig zijn. Gebruik ook versleuteltechnieken voor het elektronisch versturen van bedrijfsgeheimen. Papieren documenten of fysieke informatiedragers kunnen desnoods per drager getransporteerd worden. - Gebruik geen illegaal gekopieerde software. Illegale kopieën van software op het internet zijn één van de meest gebruikte methoden om virussen en andere malware te verspreiden. - Een goede virusscanner is een essentieel onderdeel van de bescherming van het bedrijfsnetwerk. Vergeet ook niet om de database van de virusscanner regelmatig te actualiseren.
ECONOMISCHE SPIONAGE
23
- Open geen emailattachments van onbekende afzenders of e-mailberichten die je niet verwacht. Neem bij twijfel contact op met de afzender om de oorsprong van de attachment te verifiëren. Wees ook voorzichtig met het klikken op weblinks in e-mailberichten. Weblinks kunnen eenvoudig vervalst worden om ongeoorloofde verbindingen te maken.
24
ECONOMISCHE SPIONAGE
4. DE VEILIGHEID VAN DE STAAT CONTACTEREN U kan de Veiligheid van de Staat contacteren op het volgende adres:
Veiligheid van de Staat Sectie WEP-PES Koning Albert II-laan 6 1000 Brussel Telefoon: 02/205 62 11 Fax: 02/205 57 72 E-mail:
[email protected] Website: www.veiligheidvandestaat.be
ECONOMISCHE SPIONAGE
25
Nuttige informatie Wetgeving - Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. - Wet van 30 juni 1994 ter bescherming van de persoonlijke levenssfeer tegen het afluisteren, kennis nemen en openen van privé- en telecommunicatie -Wet van 25 november 2000 inzake informaticacriminaliteit -Wet van 30 november 1998 houdende regeling van de inlichtingenen veiligheidsdienst
Internet www.fedict.be www.fccu.be www.vbo-feb.be www.cpni.gov.uk/productsServices.aspx www.enisa.europa.eu www.iso.org (zie ISO-norm 27001)
26
ECONOMISCHE SPIONAGE
D/2010/7951/NL/841 — Verantwoordelijke Uitgever : A. WINANTS - Koning Albert II-laan, 6 - 1000 Brussel — Fotos : VSSE - sxc.hu
Veiligheid van de Staat Koning Albert II-laan 6 1000 Brussel
[email protected]
