Archive for június, 2010
június 25th, 2010 | 
Author: A gazdasági bűncselekmények adatai évről-évre egyre riasztóbb méreteket öltenek, a világszerte növekvő számot a hazai statisztikák még felül is haladják. A hazai vállalatvezetők többsége nem szívesen vesz tudomást ezekről a tényekről, ráadásul a számban és értékben is gyarapodó bűnesetek nagy része még mindig feltáratlan marad – hívja fel a figyelmet Kovács György, a Justice Security ügyvezető igazgatója a Pricewaterhouse Coopers (PwC) kétévente kiadott felmérésére reagálva. A komplex vállalatvédelem hiánya pedig csak súlyosbítja a jövőbeni helyzetet.
A Pricewaterhouse Coopers (PwC) kétévente kiadott felmérése szerint a megkérdezett vállalatok 62%-át érte komoly gazdasági kár 2006-2007-ben, az előző statisztikához képest 2,5-szeres növekedést rögzített a vállalat. A növekvő károk ellenére meglepő a válaszadók optimizmusa, hiszen 82%-uk nem tartja valószínűnek, hogy a következő kétéves ciklusban hasonló kár fogja érni. Fekete Miklós, a PwC vezető tanácsadója érthetetlennek tartja ezt a szemléletet, hiszen a válaszadók ellen átlagosan 9 bűncselekményt követtek el a vizsgált időszakban, és mint a felmérésből kiderül, 62 millió forint közvetlen kárt jelentett ez átlagosan a cégeknek.
A tanácsadó szerint még pontosabb képet kapunk, ha az összes gazdasági kárt (4 milliárd Ft) kiegészítjük az egyéb költségekkel, mint az ügyvédi és felderítési díjak (833 millió forint), és ha a vevői bizalom elvesztése, a kár kezelésével töltött kidobott munkaidő és még hosszan sorolható járulékos költségeket is figyelembe vesszük.
A krízismenedzsment során ráadásul nem is sikerült túlzottan enyhíteni a kárt, több mint fele a válaszadóknak teljes egészében búcsút mondhatott a pénzének. Fekete Miklós a problémát orvosolhatónak látná, ha a gazdaságosság címén saját kútfőből megoldott biztonsági rendszerek helyett nagyobb arányban vonnának be külső szakértőt, illetve nagyobb erőfeszítést tennének a megelőzésre.
Kovács György, a Justice Security ügyvezető igazgatójának tapasztalatai szerint az esetek többségében a belső erőforrásból megoldott biztonság nem mindig a legjobb döntés. Épp a PwC felmérése mutat rá, hogy a legsúlyosabb visszaélések elkövetőinek több mint egyharmada a vállalat dolgozója volt, sőt, az is kiderül, a külső elkövetők is többségében belső emberen keresztül okoztak kár. Kovács György elmondása alapján cégük megkeresésénél hasonló jelenséget tapasztalnak, az esetek túlnyomó részében a leggyengébb láncszem egy elégedetlen vagy sértődött dolgozó, ezért bátran elmondható, hogy a vállalatbiztonság egyik legfontosabb része ma a HR, a megfelelő munkaerő kiválasztása és kezelése.
Mindkét szakember egybehangzó álláspontja, hogy a kontroll és a biztonsági rendszer kialakítása is hagy maga után kívánni valót: a vállalati kultúra részévé kellene hogy váljon a kockázatok folyamatos elemzése-értékelése, a védelmi megoldások dinamikus alkalmazása, a kialakított vállalkozásbiztonsági rendszer működésének folyamatos ellenőrzése. A Justice Security ügyvezetője rámutat arra is, hogy egy meglévő biztonsági rendszer sok esetben apró változtatásokkal jóval nagyobb biztonsági szint elérésére tehető képessé. ha a versenypiaci fenyegetettséggel időben számolunk és szakembert bízunk meg a védelmi rendszer kialakításával A biztonsági szakember tapasztalatai igazolják, hogy az üzleti titkok védelmének elengedhetetlen részét képező, misztikusnak tartott lehallgatásvédelem és felderítés ma már az állami és privát szférából a gazdaság berkeiben éli aranykorát. A gazdasági élet minden szegmensében tetten érhető a titokvédelem szükségessége, a James Bondok azonban kevésbé jellemzőek egyelőre a szakmában, hiszen mindössze három cégnek van hivatalosan is jogosultsága és szakmai felkészültsége az elhárításra.
Az eltúlzott önbizalom helyett mindkét szakember az óvatosságot tanácsolja, Kovács szerint túlbiztosított esettel még sosem találkozott több évtizedes munkája során. A jobb félni, mint megijedni elvét érdemes követni, mondják, hiszen a komplex védelemre fordított összegek elenyészőek már egy egyszeri kár értékéhez képest is.
Posted in 
A megfigyelési ügyben nem feltétlenül a politikusok érintettsége lehet a leggázosabb. Ha kiderül, hogy kiterjedt jogosulatlan gazdasági hírszerzés folyt, annak sokkal nagyobb kára lehet – hangsúlyozta Tóth Károly szocialista képviselő a FigyelőNetnek, aláhúzva: ha igazak az információk. Az biztos, hogy a cégek egyre kíváncsiabbak a konkurenseikre, különösen ha egy-egy zsíros üzlet megkötésének kapujában állnak.Fokozódik az érdeklődés a gazdasági adatok, információk megszerzéséért, de konkrét számokat, trendeket nehéz lenne mondani a hírszerzések titkos volta miatt – közölte a FigyelőNet érdeklődésére Szövényi György. A biztonságpolitikai tanácsadót annak kapcsán kérdeztük, hogy a megfigyelési ügyként elhíresült botrányban jóval kisebb figyelem irányul arra, hogy a hírbe hozott vagyonvédelmi cég gazdasági információk megszerzésére is törekedett állítólag, s ugyancsak állítólag nem mindig törvényes úton.
Tóth Károly, a parlament Nemzetbiztonsági Bizottsága szocialista alelnöke úgy fogalmazott lapunknak, hogy az eddigi információk szerint az ügyben kulcsszerepet játszó UD Zrt. tevékenysége három szálon mozoghatott. Először is az őrző-védő cégcsoport törvényesen, engedéllyel gyűjtött adatokat, végzett magánnyomozói tevékenységet. Másodsorban viszont felmerül a gyanú, hogy a cég gazdasági érdekből nem jogszerű módon is megpróbált üzleti és magánjellegű információkhoz jutni. A harmadik tevékenység pedig, amolyan „melléküzemágként” – ha már úgyis kutakodnak – fideszes politikusok által megfogalmazott, célirányos kérdések megválaszolása volt – sorolta a politikus.
Tóth Károly úgy véli, hogy bár a harmadik tevékenységről szóló történetekre ugrott rá a sajtó – ami érthető abból a szempontból, hogy ott szerepelnek az ismert politikusok, Dávid Ibolya, Kövér László, Demeter Ervin, Almássy Kornél – sokkal károsabb és veszélyesebb, ha bebizonyosodna, hogy a cég széles körben szerzett be jogosulatlanul gazdasági információkat.
Ha igaz az – hangsúlyozta Tóth -, hogy a cég levelezőrendszerekre, az APEH, a Nemzetbiztonsági Hivatal (NBH), a kormányzati vagy önkormányzati rendszerekre telepedett rá, akkor annak nemcsak politikai, de súlyos gazdasági következményei is lehetnek. Kérdésünkre, hogy tudomása szerint milyen típusú gazdasági adatokra utazott a cég, Tóth Károly kitérően felelt, mondván: nincs felhatalmazása arra, hogy ezeket az információkat a nyilvánossággal megossza.
Arról viszont szívesen beszélt, hogy milyen veszélyeket lát esetleges jogszerűtlen információszerzésekben. Példának az önkormányzatokat hozta fel Tóth Károly, amelyeknél esetenként akár több milliárdos közbeszerzési pályázatokat bonyolítanak, tehát igen súlyos gazdasági érdek fűződhet ahhoz, hogy a feltételekhez, a lebonyolítás egyéb részleteihez jusson hozzá valaki.
De a képviselő arra is emlékeztetett saját tapasztalatából, hogy az önkormányzat mondjuk meghatározza, hogy egy eladásra szánt ingatlannál mennyi az a minimálár, ami alá nem mennek, ha ezt megtudja valaki, már óriási előnyben van a vetélytársakkal szemben. Ugyancsak nagyon fontos gazdasági információk birtokába juthat valaki, ha például megszerzi, hogy a településen működő cégek mekkora iparűzési adót fizetnek, amiből a vállalkozás egyéb adatait is visszaszámolhatják.
A jogszerűtlen tevékenység titoksértés
Szövényi György szerint is meg kell különböztetni az üzleti hírszerzést, a gazdasági vagy ipari kémkedéstől. Előbbi legális, hiszen úgyis információkat szerezhetünk egy társaságról, ha rendszeresen nyomon követjük például a honlapján történő változásokat, számon tartjuk mérlegadatait, konferencián, szakmai fórumokon kérdéseket teszünk fel a működéssel kapcsolatban.
Biztosan állítható, hogy a cégek egyre többet szeretnének megtudni vetélytársaikról, így fokozódik az igény a konkurencia megfigyelésére, de állandóan felmerülő kérdés, hogy meddig lehet elmenni – emlékeztetett a tanácsadó. De mire is kíváncsiak általában?
Versenyhelyzetben, pályázatoknál evidens, hogy a legnagyobb kincs az árajánlatok megszerzése, hiszen ha csak egy minimális összeggel is alá ajánlunk, jó esélyünk lehet a megbízás elnyerésére. Hasonlóan „vonzó” lehet fejlesztések leírásának megszerzésére, elég arra utalni, hogy például a gyógyszeriparban, az informatikában, a mobiltelefóniában vagy az energetikában horribilis összegeket költenek innovációra, ezért az információk megszerzésével jelentős „megtakarítást” érhet el a megbízó. Ez akkor is így van, ha a jogsértő információszerzés sem olcsó. Fontos hangsúlyozni ugyanakkor, hogy ez semmiben nem különbözik a lopástól, tehát bűntényről beszélünk – hívta fel a figyelmet Szövényi György.
A furfangos módszerek az emberi gyengeséget célozzák
Érdekes módszerek léteznek az információk megszerzésére, melyek leginkább az emberi gyengeségre, kíváncsiságra, felelőtlenségre építenek – mondta a tanácsadó. Egyik trükk lehet, hogy például az önkormányzatnál közbeszerzések bonyolításával foglalkozó vezetőnek vagy beosztottnak olyan emailt küldünk, ami közbeszerzési tárgyú, tehát bizton számíthatunk arra, hogy ki is nyitja, s ezzel máris fent lehet hipp-hopp a kémprogram, ami aztán szállítja az információkat.
De az is „mókás játék”, ha valaki „véletlenül” elveszt egy pendrive-ot, mondjuk béradatok felcímkézéssel. Jó eséllyel számíthatunk arra, hogy valamely megtaláló kíváncsi a főnök és a kollégák fizetésére, s ezzel ő is feltelepíti a kémprogramot tudta nélkül. De adták már ki magukat kémkedők igen hitelesen a rendszergazda megbízottjának is, hogy így szerezzék meg a rendszer különböző jelszavait, kódjait – sorolta Szövényi György.
Egyéb lágy módszerek
Mikulás Gábor a Magyar Információbrókerek Szövetségének elnöke szerint legális módszerekkel is nagy hatékonysággal lehet „megdolgozni” egy céget. Az olyan megoldások, mint egy beszállítói lista ellopása nyilvánvalóan törvényellenes, de nincs is rá szükség. Vannak olyan „lágy” módszerek, amelyekkel a kívánt eredmény elérhető. Nem tilos egy cég bejáratánál például leparkolni és összeírni az odaérkező kocsik adatait, vagy elbeszélgetni célirányosan a sofőrökkel, hogy áll a vállalat, voltak-e elbocsátások stb.
Az így megszerzett információkat azonban érdemes megerősíteni több forrásból. A cégek többségének erre nincs kapacitása, így az adatgyűjtést, és azok megfelelő hatékonyságú azonosítását másra bízza. Egy megbízás során az ilyen tevékenységet folytató cégek folyamatosan figyelnek mindenre, valamint viselkedési mintákat hoznak létre a döntés-előkészítés megkönnyítéséhez. Az ilyen jellegű információk jól értékesíthetők. Tipikus helyzet amikor egy cég új technológiával jelenik meg a piacon, és versenyelőnyre tesz szert, ilyenkor a többiek elkezdenek nyomozgatni – nem is feltétlen egymásnál – hogy milyen módszerekkel lehet majd ezt a céget utolérni, nem a technológia másolásával, hanem egy saját fejlesztéssel.
Jellemző az is, hogy ezek a cégek próbálják egyéni megközelítésben is vizsgálni a folyamatokat. Jó példa erre, hogy, amikor a Mária-Valéria hidat átadták, a hírszerzők számára a legérdekesebb adat az volt, hogy az új hidat az eredetinél 3 méterrel magasabb aljzattal építették. Ennek olvasata számukra az volt, hogy a magyar kormány esetleg azt tervezi, hogy megépíti a Nagymarosi vízierőművet.
Elmondása szerint egyébként 40-50 cég foglalkozhat ezzel a szakmával, nyilván itt a határok eléggé elmosódottak, hiszen sok cég nem több, mint egyszerű adatbányász vállalkozás.
Krasznay Csaba, a Kancellár.hu cég információbiztonsági tanácsadója szerint az elektronikus hírszerzés, információgyűjtés egyik legegyszerűbb módja az internet lett. A legtöbb cégről egyáltalán nem nehéz fontos adatokat megtudni. A webkeresők, maguk a céges weboldalak tele vannak értékes adatokkal. A cégek többsége azonban nem használja ki ezeket.
Nagyon könnyű órák alatt összeállítani egy jó cégprofilt, bevételekről, partnerekről. Nagy „segítség” például az E-kormányzat portál, amin az üvegzsebtörvény óta minden öt millió forint feletti közbeszerzésnek szerepelnie kell. Ugyanilyen nyilvános forrás az IRM cégnyilvántartása is, vagy akár a cégek oldalain oly büszkén felsorolt referenciák.
Elfelejtett szerverek vallanak
Az illegális információszerzés informatikailag – folytatja Krasznay Csaba – kivitelezhető egyrészről kívülről, a sokszor könnyen sebezhető weboldalakon keresztül, vagy a hanyagul kezelt informatikai biztonságnak köszönhetően. Rengeteg „elfelejtett” szerver pihen az irodák sarkaiban, amelyek merevlemezeit lemásolva pillanatok alatt megteremthető akár a cég klónja is. Szerepelnek rajta a cég bevételei, kiadásai, partnerei megjegyzései.
A másik módszer, a belső támadások egyik legkönnyebb módja pedig megfizetni valakit a cégnél, hogy telepítsen vagy szerezzen be fontos adatokat. Mindig van olyan, aki éppen kifele tart a vállalatból, tőlük könnyebben megszerezhető egy felhasználói jogosultság. A telepített programok pedig innentől kezdve arra is képesek, hogy akár utólag reprodukálják a képernyőnkön megjelenített képeket.
A legfontosabb védekezése egy cégnek, ha saját maguk meghatározzák, melyek a fontos vagy titkos adataik. Szisztematikusan kell alkalmazni a jogosultságokat, ki és milyen módon juthat hozzá a rendszerben lévő adatokhoz.
Az üzleti hírszerzés tipikusan olyan dolog, amiről keveset beszélünk, de nagyon is létezik. Az információlopás és „adat-orgazdaság” Magyarországon össztársadalmi játék, szinte mindenki űzi: cégek, pártok, köztisztviselők, szervezett bűnözői körök, és természetesen a magánnyomozók, sőt időnként a bulvártartalmú média is.
A titkosügynökös tucatfilmek szinte kivétel nélkül ma is a közönséges „állami” kémek hőstetteiről szólnak. Pedig a legtöbb ügynök – akárcsak a nemrég bemutatott amerikai Kettős játék című filmben – a magánszektorban dolgozik. Ahol nem országok, hanem szuperhatalmi méretű nagyvállalatok keresztezik egymás görbe útjait. A szerzői jogvédelmű termékek, szabadalmak, csúcstechnológiai fejlesztéseket leíró dokumentációk, prototípusok, szoftverek, forráskódok ellopására (illetve a humán erőforrás agyelszívó lenyúlására) világméretű iparág szerveződött.
A cégek nem pusztán a szoftver- és zenemásolás, munkahelyi lopás stb. áldozatai, hanem gyakran aktív tettesei is. Az ipari kémelhárítók nem „szent ügyekért” védenek-szereznek atom- és hadititkot, hanem kozmetikumok és üdítőitalok képletét/reklámstratégiáit oltalmazzák vagy fényképezik.
Rivális cégek harca a titkos képlet megszerzéséért
Olyan nemzetközi óriáscégek/bankok, amelyeknek éves forgalma Magyarország állami költségvetésének többszöröse, már nem is külsős nyomozókkal dolgoztatnak. Van saját elhárító- és hírszerzőrészlegük, amelyek létszáma, eszközállománya nagyobb (és jobb), mint egy kisállam titkosszolgálatáé. Magáncégek titkosügynökei védelmezik a gyémánt- és olajmezők kitermelési műhelytitkait, autó- és telefongyárak üzemi csúcstechnológiáit. Időnként – ha a (vélt) nemzeti érdek megköveteli – az állami hírszerzés és egy óriásvállalat kémszolgálata „társbérletben” is dolgozik.
Ugyanakkor nemigen lehet bírósági tudósításokat olvasni ipari/üzleti kémperekről. Nagyítóval keresve se nagyon találunk például Magyarországon (és külföldön) az utóbbi húsz évben olyan felfedett „ipari hírszerzőt”, akinek a neve az újságolvasónak is mond valamit. Persze a károsultnak sem érdeke nagydobra verni: informatikai rendszerét feltörték, vezető munkatársuk áruló, ezért a rivális szabadon kutakodhatott az ügyfelek adataiban. Sasvári Rudolf Üzleti hírszerzés című könyve leír pár esetet, de szigorúan fikcionalizált/anonimizált formában. Legtöbbször a felek megegyeznek eljáráson kívül, lerendezik egymás közt. A tömegmédiának dolgozó bűnügyi újságírást – főleg annak bulvárverzióját – pedig jobban leköti a „színes” gyilkosság, nemi erőszak, tömegverekedés, bankrablás, gengszterbűnözés, mint az „unalmas” üzleti hírszerzés. Tetejébe az újságok nagyhirdetői pont az ipari kémkedés megrendelői és károsultjai. Mindegyikük a diszkrécióban érdekelt hát.
A legtöbb költség manapság nem a termék legyártásánál jelentkezik. Azt kiszervezik az olcsó fejlődő világba, vagy a nyugati civilizáció peremrégióiba. Hanem az értékesítésnél (reklámidő-vásárlásnál), illetve a hétpecsétes üzleti titkok őrzésénél. Az üzleti hírszerzésnek azért van (és lesz) jövője, mert mindig olcsóbb lenyúlni egy kreatív gürcöléssel összehozott fejlesztést, ötletet, újítást, képletet, mint valami eredetit produkálni. (Sajna az újság- és könyvírás gyakorlatilag védtelen a tolvajok ellen. A Google korában lehetetlenség megakadályozni, hogy valaki – saját következtetések/önálló kreatív gyöngyszemek helyett – mások szellemi tulajdonából ollózgasson össze cikk- vagy regénykötetet.)
Mindez újraértelmezi a magánélet és személyiségi jog fogalmát. Bizonyos vezetői szint fölött kötelezővé („kötelezően választhatóvá”) tehető a hazugságvizsgáló teszt, gyanú esetén aztán a magánélet is nyomozók prédája lesz. Kamerákkal pásztázzák a felülről nyitott irodai munkaállomásokat, sokszor a dolgozó szolgálati hívás- és levelezőlistáit is ellenőrzik. (Hazai példák: nagyáruházba felvett főpénztárossal jóváhagyatták, hogy magándetektívvel utánanézethetnek. Autógyár szerelősorára fő- és állásvesztés terhe mellett tilos hang- és képrögzítő eszközt bevinni.) Tombol a vállalati paranoia. Nem is csoda, dollár- és eurómilliárdokról van szó. Ha nem írja alá a dolgozó, hogy önként és dalolva beleegyezik a biztonsági ellenőrzésbe, akkor fel sem veszik.
Idehaza a kis- és középméretű cégeknél az ipari kémelhárítás főként a „poloskairtásra” korlátozódik. Kis pénz, kis nyomozás. Ugyanakkor nagy belpolitikai pénzelosztó klientúra-társaságoknál nem is igazán a konkurens cégektől tartanak, inkább attól, hogy államilag hallgatják le irodáikat, telefonjaikat. Persze jórészt ezt sem hivatalosan, hanem „fusizó maszekokhoz” kiszervezve csináltatják.
