Archívum június, 2010
június 25th, 2010 | 
Szerző: A gazdasági bűncselekmények adatai évről-évre egyre riasztóbb méreteket öltenek, a világszerte növekvő számot a hazai statisztikák még felül is haladják. A hazai vállalatvezetők többsége nem szívesen vesz tudomást ezekről a tényekről, ráadásul a számban és értékben is gyarapodó bűnesetek nagy része még mindig feltáratlan marad – hívja fel a figyelmet Kovács György, a Justice Security ügyvezető igazgatója a Pricewaterhouse Coopers (PwC) kétévente kiadott felmérésére reagálva. A komplex vállalatvédelem hiánya pedig csak súlyosbítja a jövőbeni helyzetet.
A Pricewaterhouse Coopers (PwC) kétévente kiadott felmérése szerint a megkérdezett vállalatok 62%-át érte komoly gazdasági kár 2006-2007-ben, az előző statisztikához képest 2,5-szeres növekedést rögzített a vállalat. A növekvő károk ellenére meglepő a válaszadók optimizmusa, hiszen 82%-uk nem tartja valószínűnek, hogy a következő kétéves ciklusban hasonló kár fogja érni. Fekete Miklós, a PwC vezető tanácsadója érthetetlennek tartja ezt a szemléletet, hiszen a válaszadók ellen átlagosan 9 bűncselekményt követtek el a vizsgált időszakban, és mint a felmérésből kiderül, 62 millió forint közvetlen kárt jelentett ez átlagosan a cégeknek.
A tanácsadó szerint még pontosabb képet kapunk, ha az összes gazdasági kárt (4 milliárd Ft) kiegészítjük az egyéb költségekkel, mint az ügyvédi és felderítési díjak (833 millió forint), és ha a vevői bizalom elvesztése, a kár kezelésével töltött kidobott munkaidő és még hosszan sorolható járulékos költségeket is figyelembe vesszük.
A krízismenedzsment során ráadásul nem is sikerült túlzottan enyhíteni a kárt, több mint fele a válaszadóknak teljes egészében búcsút mondhatott a pénzének. Fekete Miklós a problémát orvosolhatónak látná, ha a gazdaságosság címén saját kútfőből megoldott biztonsági rendszerek helyett nagyobb arányban vonnának be külső szakértőt, illetve nagyobb erőfeszítést tennének a megelőzésre.
Kovács György, a Justice Security ügyvezető igazgatójának tapasztalatai szerint az esetek többségében a belső erőforrásból megoldott biztonság nem mindig a legjobb döntés. Épp a PwC felmérése mutat rá, hogy a legsúlyosabb visszaélések elkövetőinek több mint egyharmada a vállalat dolgozója volt, sőt, az is kiderül, a külső elkövetők is többségében belső emberen keresztül okoztak kár. Kovács György elmondása alapján cégük megkeresésénél hasonló jelenséget tapasztalnak, az esetek túlnyomó részében a leggyengébb láncszem egy elégedetlen vagy sértődött dolgozó, ezért bátran elmondható, hogy a vállalatbiztonság egyik legfontosabb része ma a HR, a megfelelő munkaerő kiválasztása és kezelése.
Mindkét szakember egybehangzó álláspontja, hogy a kontroll és a biztonsági rendszer kialakítása is hagy maga után kívánni valót: a vállalati kultúra részévé kellene hogy váljon a kockázatok folyamatos elemzése-értékelése, a védelmi megoldások dinamikus alkalmazása, a kialakított vállalkozásbiztonsági rendszer működésének folyamatos ellenőrzése. A Justice Security ügyvezetője rámutat arra is, hogy egy meglévő biztonsági rendszer sok esetben apró változtatásokkal jóval nagyobb biztonsági szint elérésére tehető képessé. ha a versenypiaci fenyegetettséggel időben számolunk és szakembert bízunk meg a védelmi rendszer kialakításával A biztonsági szakember tapasztalatai igazolják, hogy az üzleti titkok védelmének elengedhetetlen részét képező, misztikusnak tartott lehallgatásvédelem és felderítés ma már az állami és privát szférából a gazdaság berkeiben éli aranykorát. A gazdasági élet minden szegmensében tetten érhető a titokvédelem szükségessége, a James Bondok azonban kevésbé jellemzőek egyelőre a szakmában, hiszen mindössze három cégnek van hivatalosan is jogosultsága és szakmai felkészültsége az elhárításra.
Az eltúlzott önbizalom helyett mindkét szakember az óvatosságot tanácsolja, Kovács szerint túlbiztosított esettel még sosem találkozott több évtizedes munkája során. A jobb félni, mint megijedni elvét érdemes követni, mondják, hiszen a komplex védelemre fordított összegek elenyészőek már egy egyszeri kár értékéhez képest is.
Megjelent 
A megfigyelési ügyben nem feltétlenül a politikusok érintettsége lehet a leggázosabb. Ha kiderül, hogy kiterjedt jogosulatlan gazdasági hírszerzés folyt, annak sokkal nagyobb kára lehet – hangsúlyozta Tóth Károly szocialista képviselő a FigyelőNetnek, aláhúzva: ha igazak az információk. Az biztos, hogy a cégek egyre kíváncsiabbak a konkurenseikre, különösen ha egy-egy zsíros üzlet megkötésének kapujában állnak.Fokozódik az érdeklődés a gazdasági adatok, információk megszerzéséért, de konkrét számokat, trendeket nehéz lenne mondani a hírszerzések titkos volta miatt – közölte a FigyelőNet érdeklődésére Szövényi György. A biztonságpolitikai tanácsadót annak kapcsán kérdeztük, hogy a megfigyelési ügyként elhíresült botrányban jóval kisebb figyelem irányul arra, hogy a hírbe hozott vagyonvédelmi cég gazdasági információk megszerzésére is törekedett állítólag, s ugyancsak állítólag nem mindig törvényes úton.
Tóth Károly, a parlament Nemzetbiztonsági Bizottsága szocialista alelnöke úgy fogalmazott lapunknak, hogy az eddigi információk szerint az ügyben kulcsszerepet játszó UD Zrt. tevékenysége három szálon mozoghatott. Először is az őrző-védő cégcsoport törvényesen, engedéllyel gyűjtött adatokat, végzett magánnyomozói tevékenységet. Másodsorban viszont felmerül a gyanú, hogy a cég gazdasági érdekből nem jogszerű módon is megpróbált üzleti és magánjellegű információkhoz jutni. A harmadik tevékenység pedig, amolyan „melléküzemágként” – ha már úgyis kutakodnak – fideszes politikusok által megfogalmazott, célirányos kérdések megválaszolása volt – sorolta a politikus.
Tóth Károly úgy véli, hogy bár a harmadik tevékenységről szóló történetekre ugrott rá a sajtó – ami érthető abból a szempontból, hogy ott szerepelnek az ismert politikusok, Dávid Ibolya, Kövér László, Demeter Ervin, Almássy Kornél – sokkal károsabb és veszélyesebb, ha bebizonyosodna, hogy a cég széles körben szerzett be jogosulatlanul gazdasági információkat.
Ha igaz az – hangsúlyozta Tóth -, hogy a cég levelezőrendszerekre, az APEH, a Nemzetbiztonsági Hivatal (NBH), a kormányzati vagy önkormányzati rendszerekre telepedett rá, akkor annak nemcsak politikai, de súlyos gazdasági következményei is lehetnek. Kérdésünkre, hogy tudomása szerint milyen típusú gazdasági adatokra utazott a cég, Tóth Károly kitérően felelt, mondván: nincs felhatalmazása arra, hogy ezeket az információkat a nyilvánossággal megossza.
Arról viszont szívesen beszélt, hogy milyen veszélyeket lát esetleges jogszerűtlen információszerzésekben. Példának az önkormányzatokat hozta fel Tóth Károly, amelyeknél esetenként akár több milliárdos közbeszerzési pályázatokat bonyolítanak, tehát igen súlyos gazdasági érdek fűződhet ahhoz, hogy a feltételekhez, a lebonyolítás egyéb részleteihez jusson hozzá valaki.
De a képviselő arra is emlékeztetett saját tapasztalatából, hogy az önkormányzat mondjuk meghatározza, hogy egy eladásra szánt ingatlannál mennyi az a minimálár, ami alá nem mennek, ha ezt megtudja valaki, már óriási előnyben van a vetélytársakkal szemben. Ugyancsak nagyon fontos gazdasági információk birtokába juthat valaki, ha például megszerzi, hogy a településen működő cégek mekkora iparűzési adót fizetnek, amiből a vállalkozás egyéb adatait is visszaszámolhatják.
A jogszerűtlen tevékenység titoksértés
Szövényi György szerint is meg kell különböztetni az üzleti hírszerzést, a gazdasági vagy ipari kémkedéstől. Előbbi legális, hiszen úgyis információkat szerezhetünk egy társaságról, ha rendszeresen nyomon követjük például a honlapján történő változásokat, számon tartjuk mérlegadatait, konferencián, szakmai fórumokon kérdéseket teszünk fel a működéssel kapcsolatban.
Biztosan állítható, hogy a cégek egyre többet szeretnének megtudni vetélytársaikról, így fokozódik az igény a konkurencia megfigyelésére, de állandóan felmerülő kérdés, hogy meddig lehet elmenni – emlékeztetett a tanácsadó. De mire is kíváncsiak általában?
Versenyhelyzetben, pályázatoknál evidens, hogy a legnagyobb kincs az árajánlatok megszerzése, hiszen ha csak egy minimális összeggel is alá ajánlunk, jó esélyünk lehet a megbízás elnyerésére. Hasonlóan „vonzó” lehet fejlesztések leírásának megszerzésére, elég arra utalni, hogy például a gyógyszeriparban, az informatikában, a mobiltelefóniában vagy az energetikában horribilis összegeket költenek innovációra, ezért az információk megszerzésével jelentős „megtakarítást” érhet el a megbízó. Ez akkor is így van, ha a jogsértő információszerzés sem olcsó. Fontos hangsúlyozni ugyanakkor, hogy ez semmiben nem különbözik a lopástól, tehát bűntényről beszélünk – hívta fel a figyelmet Szövényi György.
A furfangos módszerek az emberi gyengeséget célozzák
Érdekes módszerek léteznek az információk megszerzésére, melyek leginkább az emberi gyengeségre, kíváncsiságra, felelőtlenségre építenek – mondta a tanácsadó. Egyik trükk lehet, hogy például az önkormányzatnál közbeszerzések bonyolításával foglalkozó vezetőnek vagy beosztottnak olyan emailt küldünk, ami közbeszerzési tárgyú, tehát bizton számíthatunk arra, hogy ki is nyitja, s ezzel máris fent lehet hipp-hopp a kémprogram, ami aztán szállítja az információkat.
De az is „mókás játék”, ha valaki „véletlenül” elveszt egy pendrive-ot, mondjuk béradatok felcímkézéssel. Jó eséllyel számíthatunk arra, hogy valamely megtaláló kíváncsi a főnök és a kollégák fizetésére, s ezzel ő is feltelepíti a kémprogramot tudta nélkül. De adták már ki magukat kémkedők igen hitelesen a rendszergazda megbízottjának is, hogy így szerezzék meg a rendszer különböző jelszavait, kódjait – sorolta Szövényi György.
Egyéb lágy módszerek
Mikulás Gábor a Magyar Információbrókerek Szövetségének elnöke szerint legális módszerekkel is nagy hatékonysággal lehet „megdolgozni” egy céget. Az olyan megoldások, mint egy beszállítói lista ellopása nyilvánvalóan törvényellenes, de nincs is rá szükség. Vannak olyan „lágy” módszerek, amelyekkel a kívánt eredmény elérhető. Nem tilos egy cég bejáratánál például leparkolni és összeírni az odaérkező kocsik adatait, vagy elbeszélgetni célirányosan a sofőrökkel, hogy áll a vállalat, voltak-e elbocsátások stb.
Az így megszerzett információkat azonban érdemes megerősíteni több forrásból. A cégek többségének erre nincs kapacitása, így az adatgyűjtést, és azok megfelelő hatékonyságú azonosítását másra bízza. Egy megbízás során az ilyen tevékenységet folytató cégek folyamatosan figyelnek mindenre, valamint viselkedési mintákat hoznak létre a döntés-előkészítés megkönnyítéséhez. Az ilyen jellegű információk jól értékesíthetők. Tipikus helyzet amikor egy cég új technológiával jelenik meg a piacon, és versenyelőnyre tesz szert, ilyenkor a többiek elkezdenek nyomozgatni – nem is feltétlen egymásnál – hogy milyen módszerekkel lehet majd ezt a céget utolérni, nem a technológia másolásával, hanem egy saját fejlesztéssel.
Jellemző az is, hogy ezek a cégek próbálják egyéni megközelítésben is vizsgálni a folyamatokat. Jó példa erre, hogy, amikor a Mária-Valéria hidat átadták, a hírszerzők számára a legérdekesebb adat az volt, hogy az új hidat az eredetinél 3 méterrel magasabb aljzattal építették. Ennek olvasata számukra az volt, hogy a magyar kormány esetleg azt tervezi, hogy megépíti a Nagymarosi vízierőművet.
Elmondása szerint egyébként 40-50 cég foglalkozhat ezzel a szakmával, nyilván itt a határok eléggé elmosódottak, hiszen sok cég nem több, mint egyszerű adatbányász vállalkozás.
Krasznay Csaba, a Kancellár.hu cég információbiztonsági tanácsadója szerint az elektronikus hírszerzés, információgyűjtés egyik legegyszerűbb módja az internet lett. A legtöbb cégről egyáltalán nem nehéz fontos adatokat megtudni. A webkeresők, maguk a céges weboldalak tele vannak értékes adatokkal. A cégek többsége azonban nem használja ki ezeket.
Nagyon könnyű órák alatt összeállítani egy jó cégprofilt, bevételekről, partnerekről. Nagy „segítség” például az E-kormányzat portál, amin az üvegzsebtörvény óta minden öt millió forint feletti közbeszerzésnek szerepelnie kell. Ugyanilyen nyilvános forrás az IRM cégnyilvántartása is, vagy akár a cégek oldalain oly büszkén felsorolt referenciák.
Elfelejtett szerverek vallanak
Az illegális információszerzés informatikailag – folytatja Krasznay Csaba – kivitelezhető egyrészről kívülről, a sokszor könnyen sebezhető weboldalakon keresztül, vagy a hanyagul kezelt informatikai biztonságnak köszönhetően. Rengeteg „elfelejtett” szerver pihen az irodák sarkaiban, amelyek merevlemezeit lemásolva pillanatok alatt megteremthető akár a cég klónja is. Szerepelnek rajta a cég bevételei, kiadásai, partnerei megjegyzései.
A másik módszer, a belső támadások egyik legkönnyebb módja pedig megfizetni valakit a cégnél, hogy telepítsen vagy szerezzen be fontos adatokat. Mindig van olyan, aki éppen kifele tart a vállalatból, tőlük könnyebben megszerezhető egy felhasználói jogosultság. A telepített programok pedig innentől kezdve arra is képesek, hogy akár utólag reprodukálják a képernyőnkön megjelenített képeket.
A legfontosabb védekezése egy cégnek, ha saját maguk meghatározzák, melyek a fontos vagy titkos adataik. Szisztematikusan kell alkalmazni a jogosultságokat, ki és milyen módon juthat hozzá a rendszerben lévő adatokhoz.
