Korporativna špijunaža ili industrijska špijunaža je postupak pridobivanja tajnih informacija od naših poslovnih konkurenata, a provodi se iz ekonomskih razloga i radi stjecanja prednosti nad poslovnom konkurencijom.
Jedan od današnjih načina špijunaže uključuje pridobivanje informacija pomoću društvenih mreža. Kad se Web 2.0 fenomen prvi put prihvatio od strane samih korisnika, mnogi su smatrali da predstavlja trošenje korisnog vremena. Organizacije su bile zabrinute za potrošeno vrijeme unutar tvrtke jer bi se zaposlenici prijavljivali u takve web stranice i opterećivali bandwidth tvrtkine mreže ili što je još gore otkrivali tajne informacije.
U 2009. godini takvi stavovi se smatraju prošlošću jer su tvrtke široko prihvatile korištenje društvenih mreža. One danas uobičajeno koriste blogove i sve više prihvaćaju društvene mreže da bi proširile i podijelile informacije sa korisnicima. Prema Ciscou skoro 2% svih online klikova u prošloj godini je bilo preko društvenih mreža, a 1.35% samo na Facebooku. Možemo reći da današnji poslovni svijet teško može ignorirati ovakvu činjenicu. No korištenje društvenih mreža i dalje nosi sa sobom određene opasnosti otkrivanja tajnih informacija.
Što je socijalni inženjering?
Socijalni inženjering predstavlja skup različitih načina napada koje često koriste hakeri da bi zaobišli sigurnosne mehanizme mreže i dobili pristup osjetljivim podacima tvrtke – ne koristeći tehnologiju, nego same zaposlenike. Hakeri pribjegavaju ovom načinu napada ako je tvrtkina mreža vrlo dobro zaštićena, tj. ako nisu pronašli način da upadnu u mrežu pomoću standardnih načina napada. Oni tada pokušavaju prikupiti što je više moguće podataka i informacija o samoj tvrtki i zaposlenicima, koncentrirajući se na individualne ranjivosti samih zaposlenika.
Napadi socijalnim inženjeringom koristeći društvene mreže su rastući i često podcijenjen rizik prema tvrtkinoj IT infrastrukturi. Podaci se obično prikupljaju suptilno i postepeno, dio po dio. Ovdje društvene mreže mogu predstavljati vrlo važan alat u organiziranom napadu na tvrtku.
Potrebno je nešto malo informacija da se učlanimo u društvene mreže kod kojih je obično sam nivo postavki privatnosti zanemaren, a prag za dobitak informacija vrlo nizak. Na primjer, na pretrazi društvenih mreža možemo lako pronaći listu zaposlenika neke tvrtke koja bi mogla biti korisna u slučaju napada na tvrtku socijalnim inženjeringom.
Ovakva ranjivost je specifična za društvene mreže jer možemo vidjeti i veze između zaposlenika. Također na društvenim mrežama mogle biti se nalaziti i informacije o dioničarima tvrtke sa kojima tvrtka posluje. Ako zaposlenik objavi osjetljive informacije kao što je, na primjer, njegova pozicija unutar tvrtke, to bi moglo predstavljati ozbiljan sigurnosni problem. Isto tako, objava informacija o IT infrastrukturi kao što su mrežne mape, često je viđena stvar kod tehničkog blogganja ili po diskusijskim forumima na mreži, ali i na društvenim mrežama.
Za mnoge tvrtke, ideja kontroliranja posjećivanja društvenih mreža jednostavnim stavljanjem blokade na takve stranice je nepraktična. Potrebne su mnogo suptilnije kontrole, kao što su praćenje određenih vrsta informacija koje prolaze izvan tvrtke, ali i sama edukacija zaposlenika.
Statistika napada na tvrtke
Prema Sophosovom istraživanju provedenom u prosincu 2009. godine, 60% ispitanika vjeruje kako Facebook predstavlja najveći sigurnosni rizik naspram ostalih društvenih mreža, znatno ispred MySpacea, Twittera i LinkedIna. Iako je produktivnost i dalje glavni razlog tvrtki da blokiraju društvene mreže, došlo je do dramatičnog rasta, od travnja 2009. godine, u broju poduzetnika koji vjeruju da je malware njihov glavni sigurnosni problem na društvenim mrežama.
Čini se da je zabrinutost oko malware napada dobro opravdana jer je u 2009. godini 70% tvrtki prijavilo malware napade putem društvenih mreža. Više od polovice svih anketiranih tvrtki u Sophosovom istraživanju reklo je da su primili neželjene poruke putem društvenih mreža, a preko 72% tvrtki vjeruju da bi ponašanje zaposlenika na društvenim mrežama moglo ugroziti sigurnost njihovog posla.
Glavni rizik ovakvih napada je gubitak intelektualnog vlasništva tvrtke. Međutim dobivanje unutarnjeg pristupa tvrtki može prouzročiti širi raspon ostalih zločina kao što su: onesposobljavanje mreže tvrtke radi uzrokovanja štete, iznuđivanje zaposlenika da otkriju osjetljive informacije o kupcima ili tvrtki te pristup materijalnoj imovini pojedinca odnosno tvrtke.