На розвідку ставай!
Комерційна або конкурентна розвідка, тобто збір та аналіз інформації про суперників на ринку, – рутинна процедура для більшості компаній. У невеликих фірмах вона, як правило, є додатковим завданням співробітників відділу маркетингу, а у великих корпораціях розвідкою займаються цілі підрозділи. Зібрана ними інформація вважається дуже цінною, адже вона часто стає базою для прийняття стратегічних рішень, що визначають майбутнє організації.
Саме тому навіть після кризи 2008 року, яка змусила багато компаній урізати свої витрати, витрати на конкурентну розвідку продовжували зростати. Опитування, проведене Fuld&Company, показало, що протягом першої посткризової п’ятирічки кількість компаній, які витрачають на неї понад 1,1 млн доларів на рік, збільшилась з 5% до 10%. Не стала винятком і «велика фарма»: її представники склали майже третину від загальної кількості фірм, що виділяють на розвідку понад 2 млн доларів на рік.
Незважаючи на настільки значні бюджети, для проведення більшості «розвідувальних заходів» достатньо мати доступ до Інтернету і володіти деякими дослідницькими навичками. Збір відомостей здійснюється шляхом аналізу газетних статей, корпоративних публікацій, веб-сайтів, судових документів, патентних заявок, спеціалізованих баз даних, звітів тощо. Інакше кажучи, у сфері конкурентної розвідки використовуються тільки відкриті джерела і юридично чисті способи отримання інформації. У цьому-то і полягає її головна відмінність від промислового шпигунства, яке за визначенням лежить поза законом і етикою.
Розвідка і шпигунство: тонка різниця
На практиці вловити цю різницю вдається не завжди. Компанії часто використовують цілком законні, але не зовсім чесні і до того ж вельми агресивні способи збору інформації. Наприклад, одним із найпростіших і водночас найефективніших прийомів може стати звичайний телефонний дзвінок у службу маркетингу конкуруючої компанії. Той, хто телефонує, повідомляє завідомо неправдиву інформацію і змушує менеджерів спростовувати її, сподіваючись на те, що вони вибовкають якісь комерційні секрети.
У сучасній бізнес-практиці таких прикладів чимало. Лінію розмежування між законними і незаконними методами збору інформації провести складно, а коли йдеться про етичний бік питання, визначення «розвідка» і «шпигунство» стають ще більш схожими. Так, 2001 року компанію Proster&Gamble спіймали на тому, що протягом півроку збирала вміст сміттєвих баків чиказького офісу свого конкурента, компанії Unilever, сподіваючись роздобути цінну інформацію про її продукти. Це була ініціатива відділу корпоративної розвідки, яка просто вийшла з-під контролю. І хоча з юридичної точки зору закон порушено не було, Procter&Gamble офіційно заявила, що не використовувала інформацію, отриману всупереч внутрішнім правилам, звільнила трьох співробітників, замішаних у скандалі, повернула компанії Unilever близько 80 документів, знайдених у смітті, і, за непідтвердженими даними, виплатила їй 10 млн доларів, щоб не доводити справу до суду.
Шантаж, стеження і кібератаки
Інструментарій справжнього промислового шпигуна значно багатший і яскравіший, ніж рядового комерційного розвідника. Одним із поширених прийомів тут є збір інсайдерської інформації. Навіть найпередовіші з погляду безпеки компанії, які виділяють величезні ресурси для захисту від зовнішніх загроз, легко випускають з уваги ризик внутрішнього витоку інформації. До того ж надійних способів убезпечити себе від інсайдерських загроз просто не існує.
Використовуючи соціальні мережі, різні форуми і блоги, шпигуни шукають незадоволених співробітників і вербують їх за допомогою підкупу. Знахідкою для них, як відомо, можуть стати і звичайнісінькі базіки. Спочатку такий співробітник (в англійському шпигунському жаргоні його називають patsy, що означає лопух або простак) зі своєї дурості вибовкує відомості, які не становлять особливої цінності. Але шпигун чіпляється за них, роздмухує їхню важливість, залякує і починає шантажувати володаря довгої язика, змушуючи його видавати все більш і більш важливі секрети під загрозою викриття.
Але, мабуть, найціннішими джерелами інформації є «кроти», які можуть роками працювати в компанії, зливаючи інформацію конкурентам. При цьому вони не обов’язково обіймають високі посади. Шпигуном може бути будь-який співробітник (менеджер, інженер, монтер, прибиральник), у якого є законний доступ до приміщень компанії.
Для проникнення в корпоративні комп’ютерні системи найчастіше використовують фішинг (англ. phishing від fishing – «рибна ловля, вивуджування») – вид шахрайства, метою якого є отримання доступу до логінів і паролів користувачів. Наприклад, під виглядом корпоративної розсилки або листа від банку, провайдера чи телефонного оператора зловмисники розсилають електронні повідомлення, в яких міститься посилання на підроблений сайт, що зовні не відрізняється від справжнього. Переходячи за посиланням і намагаючись зайти на сайт, користувач сам вводить у потрібні форми логін і пароль доступу, які одразу ж стають здобиччю хакерів, даючи змогу їм отримати доступ до корпоративних мереж, поштових акаунтів або банківських рахунків.
Справжні масштаби кібершпіонажу оцінити складно. Річ у тім, що за законами, які діють, наприклад, у Європі та США, виробничі підприємства та дослідницькі компанії (на відміну від торгових і фінансових) не зобов’язані повідомляти про скоєні проти них кіберзлочини. Тому багато гравців ринку, побоюючись за свою репутацію, вважають за краще зберігати вторгнення у свою комп’ютерну систему в таємниці. Однак, згідно з опублікованим у 2017 році звітом Verizon Data Breach, вони, безумовно, є найпоширенішим об’єктом атак. При цьому понад 90% даних, вкрадених у виробників, пов’язані з інтелектуальною власністю, тобто головним джерелом життєвої сили компаній.
Ласий шматок для промислового шпигунства
Промислове шпигунство найчастіше пов’язане з високотехнологічними галузями, в яких значна сума грошей витрачається на НДДКР – науково-дослідні та дослідно-конструкторські роботи (англ. research and development, R&D). Найпривабливішими тут вважають IT-технології, автопром, енергетику, біотехнології і, звісно ж, фармацевтику. У цій галузі цілі шпигунів охоплюють програми клінічного розвитку, заявки на реєстрацію ліків, молекулярні формули, записи пацієнтів, виробничі записи, відомості про якість тощо.
Ситуація ускладнюється тим, що фармацевтичний сектор дедалі більше залежить від аутсорсингу. Під час роботи над препаратом ключові дані про нього можуть бути розкидані по декількох підрядниках, партнерах, регулюючих органах, юридичних фірмах, маркетингових організаціях, лікувальних установах, що полегшує до них доступ.
Оскільки комерційний успіх фармацевтичних компаній багато в чому залежить від захисту їхньої інтелектуальної власності та корпоративних секретів, проблеми промислового шпигунства, з якими вони стикаються, з кожним роком стають дедалі серйознішими. Це підтверджує хоча б той факт, що глобальні страхові компанії, як-от Lloyds of London та Heath Lambert і Samian, створили цілі підрозділи, які захищають їхніх клієнтів, що працюють у сфері фармацевтики, від корпоративного шпигунства.
Крадіжка як головний вектор економіки
Шпигунство здатне вплинути на майбутнє будь-якої компанії, а в деяких випадках – і на економіку цілої країни. Так, щорічний збиток від крадіжки технологій, винаходів та інтелектуальної власності в США, за оцінками ФБР, сягає 400 млрд доларів.
Деякі країни зробили промислове або економічне шпигунство невід’ємною частиною своєї національної політики. За часів холодної війни таку стратегію обрала для себе Східна Німеччина, за спиною якої стояв Радянський Союз. Ерік Мейерссон, доцент Стокгольмської школи економіки, та Альбрехт Глітц, ад’юнкт-професор Університету Помпеу Фабра, проаналізували 189725 звітів інформаторів Міністерства державної безпеки Східної Німеччини (відомого як Штазі) від 1969-го до 1989 року та порівняли їх з економічними показниками промислового сектору НДР. Дослідники дійшли висновку, що у світлі співвідношення витрат і прибутку державне шпигунство було для країни вигіднішим, ніж власні зусилля з НДДКР.