Guide för Försäkringsförmedlare
Försäkring för Industrispionage Nämn begreppet spionage och tankarna vänder sig omedelbart till filmer och romaner - spioner, kalla kriget, James Bond... Verkligheten för företag är mindre uppseendeväckande men icke desto mindre skrämmande Effekten av traditionella landsgränsers minskade betydelse, så som inom Europeiska unionen, och globaliseringen har lett till en dramatisk ökning av spionage. Under de senaste åren har det fastställts att det existerar ett stor och utbrett nätverk av företag specialiserade på industrispionage för att stjäla industri- och affärshemligheter från den internationella och nationella industrin. Dessa nätverk är inriktade på att nå tekniskt och finansiellt kunnande med hjälp av hemliga medel i kampen om internationella marknadsandelar. Eftersom många länder har utsatts för dessa nätverk har bland annat Tyskland, Frankrike, Holland, Belgien och England påbörjat internationella utredningar kring hotbilden. Industrispionage är enkelt - allt som krävs är en billig och lätt erhållen hårdvara såsom keyloggers etc, som lätt går att få tag på ebay för ca 500 SEK samt en mutbar missnöjd anställd, för att ett bolags ställning som industri- och marknadsledare inom sitt område skall gå förlorad. Svenskt Säkerhetsarbete För ett antal år sedan fanns det nästan inga certifierade säkerhetschefer i Sverige. Säkerhetsansvariga rekryterades från andra yrkesgrupper, ofta militärer eller poliser. Dessa yrken har inte så mycket gemensamt med kraven på dagens säkerhetschefer. Idag finns internationella certifieringar som säkerställer kompetensen. Traditionellt säkerhetsarbete förknippas ofta med lås, larm och vakter. Förutsättningarna har förändrats och ytterligare krav ställs sedan vi tog steget in i informationssamhället. Allt fler organisationer lägger stor vikt vid skadeförebyggande åtgärder, riskhantering och kontinuitetsplanering. Inte nog med att säkerhetschefen behöver ha kunskap om informationssäkerhet, säkerhetschefen måste dessutom förstå verksamheten, ekonomin och processerna. Säkerhetschefen ska vara en god ledare och kunna entusiasmera medarbetarna, kommunicera sitt budskap till personalen och ledningen, hantera budget, vara insatt i juridik, personalfrågor, försäkringar osv. Det kan finnas flera anledningar till att säkerhetsarbetet haltar i en organisation. Inte minst skall säkerhetsfrågorna konkurrera med andra affärsområden om resurser så som tid, pengar och intresse hos beslutsfattarna. Eftersom de konkurrerande områdena ofta handlar om att generera intäkter till bolaget så kommer de vanligtvis högre upp på agendan och är viktigare för stunden fram till dess något drastiskt händer och företagsledningen ändrar fokus från intjäning till att skydda företagets tillgångar. Detta beteende har vi sett i stort och smått och det är lätt att i affekt förköpa sig på produkter och tjänster. Kommersiella grupper har intresse av industriellt spionage, av att skada konkurrenter eller att påverka affärer politiskt och ekonomiskt. Det här är totalt sett ett mycket stort brottsområde och förorsakar stora kostnader för de drabbade. Hotaktörerna är riskobenägna och lägger stor vikt vid att undvika identifiering. Varaktiga angrepp kräver tillräckligt med personella resurser och IT-skicklighet. Uppgifter om dessa grupper är knappast tillgängliga från öppna källor annat än sådant som tidigare upptäckts och analyserats. 1
Fjolårets Computer Security Institute and FBI Computer Crime and Security Crime Survey omfattade statistik från över 500 företag, myndigheter, medicinska institutioner, finansinstitut och universitet. Av utfrågningen framkom bland annat att 90 % av de tillfrågade upptäckt förlust av konfidentiell information. 80 % medgav ekonomiska förluster 44 % kunde kvantifiera förlusterna 74 % av brotten kom från Internet 34 % rapporterade brott till lagförande organ 85 % upptäckte virus i sina system 78 % upptäckte att anställda missbrukade Internet 40 % utsattes för denial of service attacker Diskussionspunkter Diskutera exponeringen av industrispionage med kunden Att närmare undersöka industrispionage är mycket komplext. Dessutom förväntas den svenska lagstiftningen avseende industrispionage och skydd av konfidentiella uppgifter att utvecklas och förändras under 2009. Utan en företagsspecifik funktion inom området för industrispionage och utredningsteknik kan det vara en komplex fråga att ta upp med dina kunder. Men du kan som försäkringsförmedlare avgöra en kunds risker och öka deras medvetenhet genom att ställa några enkla frågor: 1. Har företaget verksamhet eller affärshemligheter som de anser ger dem konkurrensfördelar gentemot marknadens övriga aktörer? Detta kan tyckas vara en självklar fråga - de flesta företag skulle svara - naturligtvis! Du bör be dina kunder att fundera över vad som förvaras och hanteras inom företaget som de tror ger dem konkurrensfördel på marknaden. Exempel på information kan vara: befintliga eller nya produktutvecklingsplaner, industridesign, affärsstrategier, kanske till och med den kunskap en eller två nyckelpersoner besitter! Alla dessa exempel kan betraktas som affärs- eller yrkeshemligheter. Hotaktörernas motiv: Nationella politiska eller militära mål Sekulärt inflytande Makt Propaganda Kriminella Religiösa Terrorism Konkurrensfördelar Personlig vinning (ekonomisk, hämnd, kunskap och information, erkännande, inflytande, makt, nyfikenhet) 2
2. Hur är kundens företags- och/eller affärshemligheter lagrade och hur är tillgängligheten till dem för de anställda? Efter att ha konstaterat att kunden har affärs- och/eller företagshemligheter inom företaget blir nästa punkt för er att ta upp, hur denna information (kan) skyddas. Vissa kunder kan vara tveksamma till att diskutera detaljer rörande den inre säkerheten och informationssystemet samt dess handhavanderutiner. Trots detta bör Ni kunna ge vägledning om de nuvarande rutinerna för upprätthållandet av skydd är tillräckliga. Skyddsnivån bör anpassas till informationskänsligheten samt den sannolika ekonomiska förlusten för det fall informationen hamnar i orätta händer. Enligt nuvarande svensk lagstiftning innebär ett misslyckande att skydda affärshemligheter på ett sätt som anstår känslig information, att domstolen eventuellt inte anser informationen som hemlig för den anställde med tillgång till densamma varför detta får till följd att klienten inte har något rättsmedel att tillgå mot gärningsmannen. Faktorer som motverkar IT-hot och industrispionage* Strävan efter hög IT-säkerhetsnivå, lämpligen med hjälp av professionella IT-säkerhetsexperter Risk att identifieras och åtalas Risk att misslyckas och att detta blir känt bland andra Kostnad för angrepp i ekonomiska termer, utrustning eller tidsåtgång Lagföringsmöjligheter Faktorer som förstärker IT-hot och industrispionage* Strävan efter högre status, exempelvis att framstå som expert bland andra hackers Berömmelse, ryktbarhet, exempelvis spridning av information om G7-gruppens möten Tillgång till information Teknikskiften där man kan avslöja svagheter och exploatera dem Produktion och spridning av ondskefulla programvaror som automatiskt startar attacker och som också kan användas av vem som helst Kunskaps- och utbildningsnivå inom IT-området ökar hela tiden och får också större spridning bland befolkningsgrupper Lagföringsaktiviteter som är svaga eller ineffektiva Svagt skyddade system som därför är sårbara 3. Vid misstanke om industrispionage, vem skulle bli företagets första kontakt för att utreda det inträffade? Få företag har klart för sig vem dess första kontakt är om de misstänker att dess informations- eller affärshemligheter kan ha hamnat i händerna på en konkurrent. Vid ett sådant tillfälle krävs snabba åtgärder för att hitta en specialist med rätt kunskap och kompetens för att inleda och hantera en grundlig ännu hemlig utredning, och för att minska risken för ytterligare förluster. Likaså finns det rättsliga konsekvenser att beakta. Om utredningen hanteras dåligt kan detta äventyra företagets relation till de anställda på grund av brott mot arbetsrätten. Vägledning under utredningen från en juridisk rådgivare i arbetsrätt kommer att minska sannolikheten för eventuella skadestånd hänförliga till anställningspraxis. * Computer Security Institute and FBI Computer Crime and Security Crime Survey, 2008 3
En juridisk rådgivare kan även ge ett expertutlåtande om företagets rättsmedel och möjligheter till återvinning samt ge råd om skydd av bolagets immateriella rättigheter för att minska sannolikheten för ytterligare förluster. Av ovan angivna anledningar har vi valt att inkludera denna service i BusinessGuard COBRA. 4. Vilka effekter skulle en förlust av informations- eller affärshemligheter på grund av industrispionage ha på bolagets vinst? Enkelt uttryckt, om det förlorade är att anse som en informations- eller företagshemlighet, är det sannolikt viktig information till den pågående verksamheten och den framtida framgången för företaget. Ni och kunden bör utreda om det finnas några finansiella effekter på kort eller lång sikt, såsom utebliven vinst, avbrott i verksamheten eller förlust av betalda licensavgifter. Förlusten kan leda till förlorade marknadsandelar, förlorade arbetstillfällen och förlorad produktivitet för företaget. 5. Hur ser kundens skadeförebyggande åtgärder ut avseende industrispionage? Ni bör avgöra om klienten aktivt försöker hantera riskerna genom att: i) utveckla och genomföra utbildningsmanualer och regelbunden utbildning av anställda, ii) utveckla och genomföra fysiska säkerhetsrutiner när det gäller hantering och lagring av affärs- och/eller yrkeshemligheter, iii) skydda företagets immateriella rättigheter i samarbete med en erfaren immaterialrättslig rådgivare. BusinessGuard COBRA Försäkring för Industrispionage Chartis är stolta över lanseringen av BusinessGuard COBRA, en unik produkt på marknaden som fokuserar på att hjälpa företag i händelse av faktiskt eller misstänkt industrispionage. Genom tillhandahållande av experter på området för förebyggande och upptäckt av industrispionage, immaterialrätt och arbetsrätt, samt vår skadehantering kan Chartis erbjuda specialiserad expertis som ingen annan för att ta itu med den ökande risken för industrispionage. Key Features / Key Benefits För närmare beskrivning av produkten hänvisas till produktbladet. LÄNKAR www.chartisinsurance.se www.gothiaprotection.se www.franklaw.se Försäkringsgivare är Chartis Europe S.A. Detta dokument är endast i informationssyfte och utgör inte bevis för försäkringsskydd eller som fullständig grund för försäkringens innehåll. Produkten kan variera mellan olika länder och erbjuds i en del fall inte inom hela Europa. Beskrivning av produktens omfattning och begränsningar finns i våra fullständiga produktvillkor, som du finner på www.chartisinsurance.com eller kan ta del av vid kontakt med oss på Chartis. Chartis är ett varumärke under Chartis Europe S.A. Chartis Europe S.A., Svensk filial, Drottninggatan 82, Box 3506, 103 69 Stockholm Telefon +46 8 506 920 00 Fax +46 8 506 920 90 Org nr 516401-8060 www.chartisinsurance.com Filial av Chartis Europe S.A., Tour Chartis - Paris La Défense, 34 Place des Corolles, 92400 Courbevoie, Frankrike. Registrerat i Frankrike under RCS Nanterre 552 128 795. 4
Chartis Europe S.A. P.O. Box 3506 103 69 Stockholm Sweden Telefon: +46 8 506 920 00 Fax: +46 8 506 920 90 info.sweden@chartisinsurance.com