La proprietà intellettuale (IP) è la linfa vitale di ogni organizzazione. Una volta non lo era. Di conseguenza, ora più che mai, è un bersaglio, posto esattamente nel mirino da varie forme di attacco informatico. Testimone la lunga lista di hack su Hollywood e IP del settore dello spettacolo tra cui ” Pirati dei Caraibi “e più recentemente della HBO” Game of Thrones.”
L’IP della tua azienda, che si tratti di brevetti, segreti commerciali o semplicemente know-how dei dipendenti, potrebbe essere più prezioso dei suoi beni fisici., I professionisti della sicurezza devono capire le forze oscure che stanno cercando di ottenere queste informazioni dalla tua azienda e metterle insieme in modo utile. Alcune di queste forze si presentano sotto le spoglie di ricercatori di “intelligenza competitiva” che, in teoria, sono governati da una serie di linee guida legali ed etiche accuratamente elaborate dalla Society of Competitive Intelligence Professionals (SCIP). Altri sono vere e proprie spie assoldate da concorrenti, o persino governi stranieri, che non si fermeranno davanti a nulla, comprese tangenti, furti o persino un registratore a pressione nascosto nella sedia del tuo CEO.,
La protezione IP è un dovere complesso con aspetti che rientrano nella competenza di legal, IT, risorse umane e altri dipartimenti. In definitiva, un Chief Security Officer (CSO) o un comitato di rischio spesso serve a unificare gli sforzi di protezione della proprietà intellettuale. Con la protezione dagli attacchi informatici ora critica, il Chief Information Security Officer (CISO) ora svolge un ruolo importante.
Questo primer copre tutto, dalla definizione di politiche di base alle procedure per la protezione IP.
Che cos’è la proprietà intellettuale?,
L’IP può essere qualsiasi cosa, da un particolare processo di produzione ai piani per il lancio di un prodotto, un segreto commerciale come una formula chimica o un elenco dei paesi in cui sono registrati i tuoi brevetti. Può aiutare a pensare ad esso come informazioni proprietarie intangibili. La definizione formale di IP dell’Organizzazione Mondiale della proprietà intellettuale (WIPI) è creazioni della mente — invenzioni, opere letterarie e artistiche, simboli, nomi, immagini e disegni utilizzati nel commercio.,
La proprietà industriale è suddivisa in due categorie: la proprietà industriale comprende, a titolo esemplificativo ma non esaustivo, brevetti per invenzioni, marchi, disegni e modelli industriali e indicazioni geografiche. Il copyright copre opere letterarie come romanzi, poesie e opere teatrali, film, musica e opere artistiche, ad esempio disegni, dipinti, fotografie, sculture, pagine di siti web e progettazione architettonica. I diritti relativi al diritto d’autore includono quelli degli artisti esecutivi nelle loro esibizioni, dei produttori di fonogrammi nelle loro registrazioni e delle emittenti radiotelevisive.,
Per molte aziende, come quelle del settore farmaceutico, IP è molto più prezioso di qualsiasi bene fisico. Il furto di IP costa alle aziende statunitensi fino a billion 600 miliardi all’anno secondo la Theft of Intellectual Property Commission.
Le quattro categorie legalmente definite di proprietà intellettuale per le quali il furto può essere perseguito sono:
I brevetti concedono il diritto legale di escludere chiunque altro dalla produzione o dalla commercializzazione delle tue cose tangibili uniche., Essi possono anche essere registrati in paesi stranieri per aiutare a mantenere i concorrenti internazionali di scoprire che cosa la vostra azienda sta facendo. Una volta in possesso di un brevetto, altri possono applicare per la licenza del prodotto. I brevetti possono durare per 20 anni.
I marchi sono nomi, frasi, suoni o simboli utilizzati in associazione a servizi o prodotti. Un marchio spesso collega un marchio con un livello di qualità su cui le aziende costruiscono una reputazione. La protezione del marchio dura 10 anni dopo la registrazione e può essere rinnovata in perpetuo.,
Il copyright protegge le espressioni scritte o artistiche fissate in un mezzo tangibile — romanzi, poesie, canzoni o film. Un copyright protegge l’espressione di un’idea, ma non l’idea stessa. Il proprietario di un’opera protetta da copyright ha il diritto di riprodurla, di farne opere derivate (come un film basato su un libro) o di vendere, eseguire o mostrare l’opera al pubblico. Non è necessario registrare il materiale per detenere un copyright, ma la registrazione è un prerequisito se si decide di citare in giudizio per violazione del copyright. Un copyright dura per la vita dell’autore più altri 50 anni.,
Segreti commerciali possono essere una formula, modello, dispositivo o la compilazione di dati che garantisce all’utente un vantaggio rispetto ai concorrenti è un segreto commerciale. Sono coperti dalla legge statale, piuttosto che federale. Per proteggere il segreto, un’azienda deve dimostrare che aggiunge valore all’azienda — che è, di fatto, un segreto — e che sono state prese misure appropriate all’interno dell’azienda per salvaguardare il segreto, come limitare la conoscenza a una manciata selezionata di dirigenti.
IP può essere semplicemente un’idea pure., Se il capo del dipartimento R&D ha un momento eureka durante la doccia mattutina e poi applica la sua nuova idea al lavoro, anche questa è proprietà intellettuale.
Come si fa a mantenere la proprietà intellettuale al sicuro?
Se il tuo IP viene rubato da ne’er-do-wells, catturarli è difficile, perseguirli è più difficile, e ottenere le informazioni rubate indietro — mettendo il gatto proverbiale nella sua borsa — di solito è impossibile. In questa zona, un po ‘ di paranoia è molto utile, perché le persone sono davvero fuori per farti., Ecco perché è importante che CSO, CISO e Chief Risk Officer (CRO) siano coinvolti nella protezione dell’IP. Considerate questi esempi reali.
- Un ingegnere pranzava regolarmente con un ex capo che ora lavorava per un rivale, e si immaginava un eroe per la raccolta di intelligenza competitiva. Le informazioni che stava rinunciando in cambio causato il suo datore di lavoro, ex leader di mercato, a perdere tre grandi offerte in 14 mesi.,
- Gli scienziati immigrati provenienti dall’Europa orientale che stavano lavorando su una difesa americana hanno ricevuto inviti non richiesti dai loro paesi d’origine per parlare a seminari o servire come consulenti retribuiti. Gli inviti si sono rivolti a loro come scienziati: volevano condividere informazioni sul loro lavoro con i coetanei. I paesi hanno visto questo tipo di raccolta di informazioni come più economico della ricerca e dello sviluppo.
I passaggi riportati di seguito sono il minimo che si dovrebbe in alto mantenere il vostro IP sicuro.,
Sai quale proprietà intellettuale hai
Se tutti i dipendenti capiscono cosa deve essere protetto, possono capire meglio come proteggerlo e da chi proteggerlo. A tal fine, le OSC devono comunicare su base continuativa con i dirigenti che sovrintendono al capitale intellettuale. Incontra il CEO, COO e rappresentanti di HR, marketing, vendite, servizi legali, produzione e R & D almeno una volta al trimestre. La leadership aziendale deve lavorare di concerto per proteggere adeguatamente la proprietà intellettuale.,
Sapere dove si trova la tua proprietà intellettuale
Se focalizzi i tuoi sforzi sui tuoi sistemi IT principali per proteggere l’IP, trascurerai altre aree in cui potrebbe essere memorizzato o elaborato. Questi includono:
- Stampanti, fotocopiatrici, scanner e fax: tutti i dispositivi di input/output memorizzano i documenti che elaborano e sono in genere collegati in rete e collegati a sistemi di gestione remota. Politiche e procedure adeguate devono essere in atto per eliminare questi documenti e proteggere dall’accesso non autorizzato.,
- Applicazioni cloud e servizi di condivisione file: questi potrebbero essere gestiti dall’azienda o shadow IT. È necessario sapere cosa utilizzano i dipendenti in modo da poter limitare i servizi cloud non autorizzati e garantire che i servizi sanzionati dall’azienda siano configurati e protetti correttamente.
- Dispositivi personali dei dipendenti: un dipendente potrebbe inviare un’e-mail a casa di un documento, in genere per motivi benigni. Istruisci i tuoi dipendenti sulla corretta gestione dell’IP e disponi di sistemi di monitoraggio per monitorare dove viene inviato il tuo IP.,
- Sistemi di terze parti: l’IP è spesso condiviso con partner commerciali, fornitori o clienti. Assicurati che i tuoi contratti con tali parti definiscano in che modo tali terze parti devono proteggere il tuo IP e disporre di controlli per garantire che tali termini siano rispettati.
Dare la priorità alla proprietà intellettuale
Le OSC che proteggono l’IP da anni raccomandano di fare un’analisi dei rischi e dei costi-benefici. Crea una mappa dei beni della tua azienda e determina quali informazioni, se perse, danneggerebbero di più la tua azienda. Quindi considera quali di questi beni sono più a rischio di essere rubati., Mettere insieme questi due fattori dovrebbe aiutarti a capire dove spendere al meglio i tuoi sforzi protettivi (e denaro).
Etichetta preziosa proprietà intellettuale
Se le informazioni sono riservate alla tua azienda, metti un banner o un’etichetta su di esso che lo dica. Se i tuoi dati aziendali sono proprietari, inserisci una nota in tal senso in ogni schermata di accesso. Questo sembra banale, ma se finisci in tribunale cercando di dimostrare che qualcuno ha preso informazioni che non erano autorizzati a prendere, la tua argomentazione non si alzerà se non puoi dimostrare che hai chiarito che l’informazione era protetta.,
Proteggi la tua proprietà intellettuale sia fisicamente che digitalmente
La protezione fisica e digitale è un must. Blocca le stanze in cui sono archiviati i dati sensibili, che si tratti della server farm o della stanza dell’archivio di carta ammuffita. Tieni traccia di chi ha le chiavi. Utilizzare le password e limitare l’accesso dei dipendenti a database importanti.
Educare i dipendenti sulla proprietà intellettuale
La formazione di sensibilizzazione può essere efficace per collegare e prevenire le perdite IP, ma solo se è mirata alle informazioni che un gruppo specifico di dipendenti deve proteggere., Quando parli in termini specifici di qualcosa in cui ingegneri o scienziati hanno investito molto tempo, sono molto attenti. Come spesso accade, gli esseri umani sono spesso l’anello più debole della catena difensiva. Ecco perché uno sforzo di protezione IP che conta su firewall e diritti d’autore, ma non si concentra anche sulla consapevolezza e la formazione dei dipendenti, è destinato a fallire.
Nella maggior parte dei casi, IP lascia un’organizzazione per caso o per negligenza. Assicurati che i tuoi dipendenti siano consapevoli di come potrebbero esporre involontariamente IP.,tante app di messaggistica come Whatsapp (35%)
Con e-mail, IP potrebbe essere inviato alla persona sbagliata perché:
- Il mittente utilizzato un indirizzo sbagliato, ad esempio, Outlook inserito automaticamente un indirizzo e-mail per qualcuno che non sia il destinatario
- Il destinatario ha inoltrato l’e-mail
- Un allegato contenuto contenuto nascosto, come in Excel un tab
- Dati è stata inoltrata a un account di posta elettronica personale
Conoscere gli strumenti per proteggere la proprietà intellettuale
Una varietà crescente di strumenti software disponibili per la registrazione di documenti e altro IP punti vendita., Gli strumenti DLP (Data Loss Prevention) sono ora un componente fondamentale di molte suite di sicurezza. Essi non solo individuare i documenti sensibili, ma anche tenere traccia di come vengono utilizzati e da chi.
La crittografia IP in alcuni casi riduce anche il rischio di perdita. I dati del sondaggio in uscita mostrano che solo il 21% delle aziende richiede la crittografia quando condivide dati sensibili esternamente e solo il 36% lo richiede internamente.,
Scatta una vista panoramica
Se qualcuno sta scansionando la rete interna e il tuo sistema di rilevamento delle intrusioni si spegne, qualcuno da ESSO in genere chiama il dipendente che sta facendo la scansione e gli dice di fermarsi. Il dipendente offre una spiegazione plausibile, e questa è la fine. Più tardi, il guardiano notturno vede un dipendente che esegue documenti protetti e la sua spiegazione è “Oops…Non avevo capito che fosse entrato nella mia valigetta.,”Nel corso del tempo, il gruppo delle risorse umane, il gruppo di audit, i colleghi dell’individuo e altri notano tutti incidenti isolati, ma nessuno li mette insieme e si rende conto che tutte queste violazioni sono state perpetrate dalla stessa persona. Questo è il motivo per cui le lacune di comunicazione tra i gruppi di infosecurity e di sicurezza aziendale possono essere così dannose. La protezione IP richiede connessioni e comunicazione tra tutte le funzioni aziendali. L’ufficio legale deve svolgere un ruolo nella protezione della proprietà intellettuale. Così fa le risorse umane, IT, R & D, ingegneria, progettazione grafica e così via.,
Applica una mentalità di controspionaggio
Se stavi spiando la tua azienda, come lo faresti? Pensare attraverso tali tattiche ti porterà a considerare la protezione delle liste telefoniche, la triturazione dei documenti nei bidoni del riciclaggio, la convocazione di un consiglio interno per approvare le tue pubblicazioni di scienziati R&D, o altre idee che potrebbero rivelarsi utili per la tua particolare attività.,
Pensa globalmente
Nel corso degli anni, la Francia, la Cina, l’America Latina e gli stati dell’ex Unione Sovietica hanno tutti sviluppato la reputazione di luoghi in cui lo spionaggio industriale è ampiamente accettato, persino incoraggiato, come un modo per promuovere l’economia del paese. Molti altri paesi sono peggio. Una buona risorsa per valutare la minaccia di fare affari in diverse parti del mondo è l’indice di percezione della corruzione pubblicato ogni anno da Transparency International., Nel 2016, il Corruption Perceptions Index ha classificato i seguenti 12 paesi come “percepiti come più corrotti”: Somalia, Sud Sudan, Corea del Nord, Siria, Yemen, Sudan, Libia, Afghanistan, Guinea-Bissau, Venezuela, Iraq ed Eritrea.
Come funzionano le spie e i ladri IP
Leonard Fuld, un esperto di competitive intelligence, afferma che più danni sono causati dalla sicurezza lassista di un’azienda che dai ladri. Tutti i dati che i ladri possono raccogliere dagli esempi seguenti indicano a un concorrente cosa sta facendo la tua azienda.,lities in annunci di lavoro
IP ladri di lavoro i telefoni
John Nolan, fondatore della Fenice Consulting Group, ha alcune storie incredibili di ciò che la gente dirà lui al telefono., Persone come lui sono la ragione per cui apparentemente benigni elenchi di nomi dei dipendenti, titoli ed estensioni telefoniche, o newsletter interne che annunciano pensionamenti o promozioni, dovrebbero essere strettamente sorvegliati. Questo perché più Nolan conosce la persona che risponde al telefono, meglio può lavorare quella persona per informazioni. “Mi identifico e dico:’ Sto lavorando a un progetto, e mi è stato detto che sei la persona più intelligente quando si tratta di pennarelli gialli. E ‘ un buon momento per parlare?'”dice Nolan, descrivendo i suoi metodi.,
“Cinquanta persone su 100 sono disposte a parlare con noi solo con questo tipo di informazioni.”Gli altri 50? Chiedono cosa sia Phoenix Consulting Group. Nolan risponde (e questo è vero) che Phoenix è una società di ricerca che lavora a un progetto per un cliente che non può nominare a causa di un accordo di riservatezza. Quindici persone poi di solito riagganciare, ma gli altri 35 iniziare a parlare. Non un brutto tasso di successo.
Nolan inizia a prendere appunti che alla fine si faranno strada in due file., Il primo file è informazioni per il suo cliente, e il secondo è un database di 120.000 fonti passate, comprese le informazioni sulla loro esperienza, come amichevole erano, e dettagli personali come i loro hobby o dove sono andati a scuola di specializzazione. Spesso i raccoglitori di business intelligence usano tattiche ben praticate per suscitare informazioni senza chiederle direttamente, o implicando che sono qualcuno che non sono.
Questa tattica è conosciuta come “ingegneria sociale.,”Tali truffe potrebbero anche includere” pretesto ” chiamate da qualcuno che finge di essere uno studente che lavora su un progetto di ricerca, un dipendente in una conferenza che ha bisogno di alcuni documenti, o segretario di un membro del consiglio che ha bisogno di un elenco di indirizzi per posta cartoline di Natale. La maggior parte di quelle chiamate non sono illegali. Gli avvocati dicono che mentre è contro la legge fingere di essere qualcun altro, non è illegale essere disonesti.
Andare in campo
Durante il boom della tecnologia, un volo di prima mattina da Austin a San Jose guadagnato il soprannome di “the nerd bird.,”La spola businesspeople da un centro high-tech ad un altro, quel volo e altri simili è diventato luoghi ideali per i professionisti dell’intelligence competitiva per ascoltare le discussioni tra colleghi o per dare un’occhiata alla presentazione PowerPoint di un altro passeggero o al foglio di calcolo finanziario.
Qualsiasi luogo pubblico in cui i dipendenti vanno, spioni possono anche andare: aeroporti, caffetterie, ristoranti e bar vicino a uffici aziendali e fabbriche, e, naturalmente, fiere., Un operatore che lavora per la concorrenza potrebbe angolo uno dei vostri ricercatori dopo una presentazione, o porsi come un potenziale cliente per cercare di ottenere una demo di un nuovo prodotto o conoscere i prezzi dal vostro team di vendita. Quell’agente potrebbe semplicemente togliersi il distintivo prima di avvicinarsi al tuo stand ad una fiera. I dipendenti devono sapere di non parlare di affari sensibili in luoghi pubblici, e come lavorare con il reparto marketing per assicurarsi che i rischi di rivelare informazioni privilegiate in una fiera non superano i vantaggi di drumming business.,
I colloqui di lavoro sono un’altra possibile perdita. I concorrenti audaci possono rischiare di inviare uno dei propri dipendenti a un colloquio di lavoro, o potrebbero assumere una società di intelligence competitiva per farlo. Al contrario, un concorrente potrebbe invitare uno dei tuoi dipendenti per un colloquio di lavoro con nessun altro scopo che raccogliere informazioni sui tuoi processi.
Metti insieme i pezzi
In qualche modo, i segreti commerciali sono facili da proteggere. Rubarli è illegale ai sensi dell’Economic Espionage Act del 1996., I dipendenti di solito sanno che sono preziosi e gli accordi di non divulgazione possono proteggere ulteriormente la tua azienda. La cosa più complicata è aiutare i dipendenti a capire come i dettagli apparentemente innocui possano essere messi insieme in un quadro più ampio e come una semplice lista telefonica aziendale diventi un’arma nelle mani di spioni come John Nolan.
Considera questo scenario: Nolan una volta aveva un cliente che voleva che scoprisse se qualche rivale stava lavorando su una certa tecnologia., Durante la sua ricerca di registri pubblici, si è imbattuto in nove o 10 persone che avevano pubblicato documenti su questo settore specializzato da quando erano studenti grad insieme. Improvvisamente, hanno tutti smesso di scrivere sulla tecnologia. Nolan ha fatto un po ‘ di lavoro di fondo e ha scoperto che tutti si erano trasferiti in una certa parte del paese per lavorare per la stessa azienda.
Niente di tutto ciò costituiva un segreto commerciale o anche, necessariamente, informazioni strategiche, ma Nolan vide un’immagine formarsi., “Quello che ci ha detto è che si erano fermati perché hanno riconosciuto che la tecnologia era arrivata a un punto in cui probabilmente sarebbe stata redditizia”, dice Nolan. Poi, chiamando le persone al telefono, andando alle riunioni in cui stavano parlando su altri argomenti e chiedendo loro in seguito della ricerca di cui non parlavano più pubblicamente, l’azienda di Nolan è stata in grado di capire quando la tecnologia avrebbe colpito il mercato. Questa informazione, dice, ha dato al suo cliente un testa a testa di due anni sui piani della concorrenza.,
Vai oltre le zone grigie
Altri paesi potrebbero avere linee guida etiche e legali molto diverse per la raccolta di informazioni. Quasi tutto ciò di cui abbiamo parlato finora è legale negli Stati Uniti, o almeno probabilmente nelle mani di un avvocato intelligente. C’è un altro regno di investigazione aziendale, utilizzando bug, tangenti, furti e persino estorsioni che è ampiamente praticato altrove.
Nei suoi giorni come consulente per la sicurezza globale, Bill Boni, vice president information security di T-Mobile USA, ha visto accadere diverse cose che probabilmente non sarebbero accadute negli Stati Uniti., Una banca in Sud America che sospettava spionaggio ha portato in una consulenza di sicurezza per spazzare il posto di bug. Quando la perdita di informazioni ha continuato, la banca ha assunto un team di sicurezza diverso. “Hanno trovato 27 dispositivi diversi”, ricorda Boni. “L’intera suite executive era cablata per il movimento e il suono. Il primo team che è venuto a cercare i bug probabilmente li stava installando.”
Lo spionaggio è talvolta sanzionato – o addirittura effettuato – da governi stranieri, che possono vedere aiutare le aziende locali a tenere sotto controllo i rivali stranieri come un modo per rilanciare l’economia del paese., Ecco perché nessuna singola serie di linee guida per la protezione della proprietà intellettuale funzionerà ovunque nel mondo. Il compito del CSO è quello di valutare i rischi per ogni paese in cui l’azienda svolge attività e agire di conseguenza. Alcune procedure, come ricordare alle persone di proteggere i loro laptop, saranno sempre le stesse. Alcuni paesi richiedono più precauzioni. I dirigenti che viaggiano in Pakistan, per esempio, potrebbe essere necessario registrarsi sotto pseudonimi, hanno le loro camere d’albergo o spazi di lavoro spazzato per i bug, o anche avere guardie di sicurezza aiutano a proteggere le informazioni.,
Utilizzare l’Internet of Things (IoT)
Uno degli ambienti più vulnerabili è l’industria sanitaria. In molti ospedali, ogni letto può avere fino a 15 dispositivi IoT bio-med, con potenzialmente metà connessi a Internet. Gli hacker stanno diventando saggi sul fatto che il valore delle informazioni sanitarie protette (PHI) è molto più prezioso delle informazioni di identificazione personale (PII).
La debolezza in una rete ospedaliera tramite questi dispositivi IoT lo rende un obiettivo più semplice rispetto al passato., Diventa estremamente pericoloso per i pazienti se l’hacker inizia a cambiare i protocolli di somministrazione di farmaci su una pompa connessa a Internet IoT.
La maggior parte sarà d’accordo che i produttori IoT hanno affrettato i loro dispositivi sul mercato per riempire la domanda, senza pensare a come proteggerli. Tra i problemi: i processori in questi dispositivi sono troppo piccoli per ospitare ID e pochi dispositivi possono essere aggiornati. I produttori stanno lavorando per rendere i dispositivi facili da aggiornare o aggiornabili automaticamente poiché molti consumatori non si preoccupano di eseguire gli aggiornamenti da soli.,
Detto questo, la maggior parte degli hacker non sono geograficamente abbastanza vicino per rimanere nel raggio d’azione del dispositivo e indirizzare l’anello più debole, il server finale. Le organizzazioni devono sviluppare e implementare le proprie strategie che potrebbero includere la protezione dei server finali, dei server centrali e dei punti di accesso wireless poiché è più probabile che siano l’obiettivo di un’irruzione.
Infiltrarsi reti aziendali inosservato e vivere lì per lunghi periodi di tempo
R. P., Eddy, CEO di Ergo una società di intelligence globale, afferma:”Ho lavorato su diversi team M&A e consiglio vivamente ai miei clienti di eseguire un audit su tutte le loro protezioni IP, cyber e altro, per vedere quanto sia ben protetto e se lo possiedono davvero. Se è trapelato in Cina, Russia o un concorrente, sarà significativamente fattore nei dati finanziari in un’acquisizione, e non in senso buono.,”Ha avuto zero clienti che lo hanno accolto fino all’acquisizione di Verizon/Yahoo in cui oltre 500 milioni di account utente sono stati compromessi da un attore sponsorizzato dallo stato. Il prezzo dell’affare doveva essere ristrutturato a causa della credibilità che Yahoo ha preso.
Per ulteriori dati sull’impatto del furto informatico della proprietà intellettuale, scaricare l’infografica qui sotto, che è da un recente sondaggio condotto da Bitdefender.
Leave a Reply