immaterialrätt (IP) är livsnerven i varje organisation. Det var det inte. Som ett resultat, nu mer än någonsin, det är ett mål, placeras rakt i hårkorset av olika former av cyberattack. Bevittna den långa listan över hacks på Hollywood och underhållningsindustrins IP inklusive ”Pirates of the Caribbean” och mer nyligen HBO ’ s ”Game of Thrones.”
ditt företags IP, oavsett om det är patent, affärshemligheter eller bara anställdas know-how, kan vara mer värdefullt än dess fysiska tillgångar., Säkerhetsproffsen måste förstå de mörka krafterna som försöker få denna information från ditt företag och pussla ihop det på ett användbart sätt. Några av dessa krafter kommer i skepnad av” competitive intelligence ” – forskare som i teorin styrs av en uppsättning juridiska och etiska riktlinjer som noggrant utarbetas av Society of Competitive Intelligence Professionals (SCIP). Andra är rena spioner anlitade av konkurrenter, eller till och med utländska regeringar, som kommer att stanna vid ingenting, inklusive mutor, stöld eller till och med en tryckaktiverad bandspelare gömd i din VD: s stol.,
IP-skydd är en komplex plikt med aspekter som omfattas av juridiska, it, mänskliga resurser och andra avdelningar. I slutändan tjänar en chief security officer (CSO) eller riskkommitté ofta till att förena insatser för skydd av immateriella rättigheter. Med skydd mot cyberattack nu kritisk, chief Information security officer (CISO) spelar nu en viktig roll.
denna primer täcker allt från att upprätta grundläggande policyer till förfaranden för IP-skydd.
vad är immateriella rättigheter?,
IP kan vara allt från en viss tillverkningsprocess till planer för en produktlansering, en företagshemlighet som en kemisk formel eller en lista över de länder där dina patent är registrerade. Det kan bidra till att tänka på det som immateriell äganderättsinformation. World Intellectual Property Organization (WIPO) formella definitionen av IP är skapelser av sinnet-uppfinningar, litterära och konstnärliga verk, symboler, namn, bilder och mönster som används i handeln.,
IP är indelad i två kategorier: industriell egendom omfattar men är inte begränsad till patent för uppfinningar, varumärken, industriella mönster och geografiska beteckningar. Upphovsrätt omfattar litterära verk som romaner, dikter och pjäser, filmer, musik och konstnärliga verk, till exempel ritningar, målningar, fotografier, skulpturer, webbsidor och arkitektonisk design. Rättigheter relaterade till upphovsrätt inkluderar artister som utför artister i sina föreställningar, fonogramframställare i sina inspelningar och programföretag i sina radio-och TV-program.,
För många företag, som de inom läkemedelsindustrin, är IP mycket mer värdefull än någon fysisk tillgång. IP stöld kostar amerikanska företag så mycket som $ 600 miljarder per år enligt stöld av immaterialrätt kommissionen.
de fyra juridiskt definierade kategorierna av immateriella rättigheter för vilka stöld kan åtalas är:
patent ger laglig rätt att utesluta någon annan från tillverkning eller marknadsföring av dina unika materiella saker., De kan också registreras i utlandet för att hålla internationella konkurrenter från att ta reda på vad ditt företag gör. När du har ett patent kan andra ansöka om att licensiera din produkt. Patent kan vara i 20 år.
varumärken är namn, fraser, ljud eller symboler som används i samband med tjänster eller produkter. Ett varumärke förbinder ofta ett varumärke med en kvalitetsnivå där företag bygger ett rykte. Varumärkesskydd varar i 10 år efter registrering och kan förnyas i evighet.,
upphovsrätt skyddar skrivna eller konstnärliga uttryck som fastställs i ett konkret medium — romaner, dikter, låtar eller filmer. En upphovsrätt skyddar uttrycket av en idé, men inte själva idén. Ägaren till ett upphovsrättsskyddat arbete har rätt att reproducera det, att göra härledda verk från det (till exempel en film baserad på en bok) eller att sälja, utföra eller visa arbetet för allmänheten. Du behöver inte registrera ditt material för att hålla en upphovsrätt, men registrering är en förutsättning om du väljer att stämma för upphovsrättsintrång. En upphovsrätt varar för författarens liv plus ytterligare 50 år.,
affärshemligheter kan vara en formel, mönster, enhet eller sammanställning av data som ger användaren en fördel gentemot konkurrenterna är en affärshemlighet. De omfattas av statlig, snarare än federal, lag. För att skydda hemligheten måste ett företag bevisa att det tillför företagets värde-att det faktiskt är en hemlighet-och att lämpliga åtgärder har vidtagits inom företaget för att skydda hemligheten, till exempel att begränsa kunskapen till en utvald handfull Chefer.
IP kan helt enkelt vara en idé också., Om chefen för din R&D-avdelning har ett eureka-ögonblick under sin morgondusch och sedan tillämpar sin nya idé på jobbet, är det också immateriella rättigheter.
Hur skyddar du immateriella rättigheter?
om din IP är stulen av ne ’ er-do-wells, fånga dem är svårt, åtala dem är svårare, och att få den stulna informationen tillbaka — att sätta den ökända katten tillbaka i sin väska — är vanligtvis omöjligt. På detta område är lite paranoia ganska hjälpsam, för människor är verkligen ute efter att få dig., Därför är det viktigt för CSO, CISO och chief risk officer (CRO) att vara involverad i att skydda IP. Tänk på dessa verkliga exempel.
- en ingenjör hade regelbundet lunch med en tidigare chef som nu arbetar för en rival och fancied sig en hjälte för att samla konkurrenskraftig intelligens. Den information han gav upp i gengäld fick sin arbetsgivare, tidigare marknadsledare, att förlora tre stora bud på 14 månader.,
- Invandrarforskare från Östeuropa som arbetade på ett amerikanskt försvar fick oönskade inbjudningar från sina hemländer att tala vid seminarier eller fungera som betalda konsulter. Inbjudningarna vädjade till dem som forskare-de ville dela information om sitt arbete med kamrater. Länderna såg denna typ av underrättelseinsamling som billigare än forskning och utveckling.
stegen nedan är det minsta du bör toppa hålla din IP säker.,
vet vilken immateriell egendom du har
om alla anställda förstår vad som behöver skyddas kan de bättre förstå hur man skyddar den och från vem som ska skydda den. För att göra det måste CSO löpande kommunicera med de chefer som övervakar intellektuellt kapital. Träffa VD, COO och representanter från HR, marknadsföring, försäljning, juridiska tjänster, produktion och R&D minst en gång i kvartalet. Företagsledning måste arbeta i samförstånd för att på ett adekvat sätt skydda IP.,
vet var din immateriella egendom är
om du fokuserar dina ansträngningar på dina centrala IT-system för att säkra IP, kommer du att förbise andra områden där det kan lagras eller bearbetas. Dessa inkluderar:
- skrivare, kopiatorer, skannrar och faxmaskiner: dina inmatnings – /utmatningsenheter lagrar alla de dokument de behandlar, och de är vanligtvis nätverksanslutna och anslutna till fjärrhanteringssystem. Korrekta policyer och förfaranden måste finnas på plats för att rensa dessa dokument och skydda mot obehörig åtkomst.,
- molnprogram och fildelningstjänster: dessa kan vara företagshanterade eller skugga det. Du behöver veta vad dina anställda använder så att du kan begränsa obehöriga molntjänster och se till att företagsanpassade tjänster är korrekt konfigurerade och säkrade.
- anställdas personliga enheter: en anställd kan maila ett dokument hem, vanligtvis av godartade skäl. Utbilda dina anställda om korrekt hantering av IP och har övervakningssystem på plats för att spåra var din IP skickas.,
- system från tredje part: IP delas ofta med affärspartners, leverantörer eller kunder. Se till att dina kontrakt med dessa parter definierar hur dessa tredje parter måste säkra din IP och ha kontroller på plats för att säkerställa att dessa villkor följs.
prioritera din immateriella egendom
CSO som har skyddat IP i flera år rekommenderar att du gör en risk-och kostnads-nyttoanalys. Gör en karta över ditt företags tillgångar och avgöra vilken information, om förlorade, skulle skada ditt företag mest. Tänk sedan på vilka av dessa tillgångar som löper störst risk att bli stulna., Att sätta dessa två faktorer tillsammans bör hjälpa dig att räkna ut var du bäst spendera dina skyddande ansträngningar (och pengar).
märka värdefull immateriell egendom
om informationen är konfidentiell för ditt företag, lägg en banner eller etikett på den som säger Det. Om din företagsdata är proprietär, lägg en anteckning om detta på varje inloggningsskärm. Detta verkar trivialt, men om du hamnar i domstol och försöker bevisa att någon tog information som de inte var behöriga att ta, kommer ditt argument inte att stå upp om du inte kan visa att du gjorde det klart att informationen var skyddad.,
säkra din immateriella egendom både fysiskt och digitalt
fysiskt och digitalt skydd är ett måste. Lås rummen där känsliga data lagras, oavsett om det är servergården eller det smaklösa pappersarkivet. Håll reda på vem som har nycklarna. Använd lösenord och begränsa anställdas tillgång till viktiga databaser.
utbilda anställda om immateriella rättigheter
Medvetenhetsutbildning kan vara effektiv för att plugga och förhindra IP-läckor, men endast om det är inriktat på den information som en viss grupp anställda behöver skydda., När du pratar i specifika termer om något som ingenjörer eller forskare har investerat mycket tid i, är de mycket uppmärksamma. Som ofta är fallet är människor ofta den svagaste länken i defensivkedjan. Det är därför en IP – skyddsinsats som räknas på brandväggar och upphovsrätt, men fokuserar inte också på arbetstagarnas medvetenhet och utbildning, är dömd att misslyckas.
i de flesta fall lämnar IP en organisation av misstag eller genom försumlighet. Se till att dina anställda är medvetna om hur de oavsiktligt kan exponera IP.,tant messaging apps som Whatsapp (35 procent)
med e-post kan IP skickas till fel person eftersom:
- avsändaren använde en fel adress-till exempel Outlook Auto-infogade en e-postadress för någon annan än den avsedda mottagaren
- mottagaren vidarebefordrade e-postmeddelandet
- en bilaga innehöll dolt innehåll, till exempel i en Excel-flik
- data vidarebefordrades till ett personligt e-postkonto
Känn dina verktyg för att skydda immateriella rättigheter
ett växande utbud av programverktyg finns tillgängliga för att spåra dokument och andra IP-butiker., Data loss prevention (DLP) verktyg är nu en kärnkomponent i många Säkerhetssviter. De lokaliserar inte bara känsliga dokument utan håller också reda på hur de används och av vem.
kryptera IP i vissa fall kommer också att minska risken för förlust. Avtrycksundersökningsdata visar att endast 21 procent av företagen kräver kryptering när de delar känsliga data externt, och endast 36 procent kräver det internt.,
ta en helhetsbild
om någon skannar det interna nätverket och ditt intrångsdetekteringssystem slocknar, kallar någon från det vanligtvis den anställde som gör skanningen och ber honom att sluta. Arbetstagaren erbjuder en rimlig förklaring, och det är slutet på det. Senare ser nattvakten en anställd som utför skyddade dokument, och hans förklaring är ”Oops…Jag visste inte att det kom in i min portfölj.,”Med tiden märker personalgruppen, revisionsgruppen, individens kollegor och andra isolerade incidenter, men ingen sätter dem ihop och inser att alla dessa överträdelser begåtts av samma person. Det är därför som kommunikationsluckor mellan infosecurity och corporate security grupper kan vara så skadliga. IP-skydd kräver anslutningar och kommunikation mellan alla företagsfunktioner. Den juridiska avdelningen måste spela en roll i IP-skydd. Så gör mänskliga resurser, det, R&D, teknik, grafisk design och så vidare.,
tillämpa en counter-intelligence tänkesätt
om du spionerar på ditt eget företag, hur skulle du göra det? Att tänka igenom sådana taktik kommer att leda dig att överväga att skydda telefonlistor, fragmentering av papper i återvinningsfacken, sammankalla ett internt råd för att godkänna din R &d forskares publikationer eller andra idéer som kan visa sig vara värda för din verksamhet.,
Tänk globalt
genom åren har Frankrike, Kina, Latinamerika och före detta Sovjetunionen alla utvecklat rykte som platser där industrispionage är allmänt accepterat, till och med uppmuntrat, som ett sätt att främja landets ekonomi. Många andra länder är värre. En bra resurs för att utvärdera hotet att göra affärer i olika delar av världen är Corruption Perceptions Index som publiceras varje år av Transparency International., I 2016 rankade Korruptionsindexet perceptions följande 12 länder som ”uppfattas som mest korrupta”: Somalia, Sydsudan, Nordkorea, Syrien, Jemen, Sudan, Libyen, Afghanistan, Guinea-Bissau, Venezuela, Irak och Eritrea.
hur IP spioner och tjuvar fungerar
Leonard Fuld, en konkurrenskraftig intelligensexpert, säger att mer skada görs av ett företags slappa säkerhet än av tjuvar. Alla data som tjuvar kan samla in från exemplen nedan berättar en konkurrent vad ditt företag gör.,li > leverantörer som skryter om försäljning på sina webbplatser
IP-tjuvar arbetar telefonerna
John Nolan, grundare av Phoenix Consulting Group, har en del fantastiska historier om vad folk kommer att berätta för honom via telefon., Människor som honom är anledningen till att till synes godartade listor över anställdas namn, titlar och telefonförlängningar, eller interna nyhetsbrev som meddelar pensionärer eller kampanjer, bör vara noga bevakade. Det beror på att ju mer Nolan vet om personen som svarar i telefonen, desto bättre kan han arbeta den personen för information. ”Jag identifierar mig själv och säger,” jag arbetar på ett projekt, och jag får höra att du är den smartaste personen när det gäller gula markörpennor. Är det här ett bra tillfälle att prata?””säger Nolan, som beskriver hans metoder.,
”femtio av 100 personer är villiga att prata med oss med just den typen av information.”De andra 50? De frågar vad Phoenix Consulting Group är. Nolan svarar (och detta är sant) att Phoenix är ett forskningsföretag som arbetar med ett projekt för en klient som han inte kan namnge på grund av ett sekretessavtal. Femton personer kommer då vanligtvis att lägga på, men de andra 35 börjar prata. Inte en dålig träffhastighet.
Nolan börjar ta anteckningar som så småningom kommer att göra sin väg in i två filer., Den första filen är information för sin klient, och den andra är en databas med 120,000 tidigare källor, inklusive information om deras expertis, hur vänliga de var och personuppgifter som deras hobbyer eller var de gick till forskarskolan. Ofta använder business intelligence samlare välutbildade taktik för att framkalla information utan att fråga om det direkt, eller genom att antyda att de är Någon de inte är.
denna taktik kallas ”social engineering.,”Sådana bedrägerier kan också innehålla” förevändning ” samtal från någon som låtsas vara en student som arbetar med ett forskningsprojekt, en anställd på en konferens som behöver lite pappersarbete eller en styrelseledamot sekreterare som behöver en adresslista för att skicka julkort. De flesta samtal är inte olagliga. Advokater säger att medan det är mot lagen att låtsas vara någon annan, är det inte olagligt att vara oärlig.
gå in i fältet
under teknikboomen fick en tidig morgonflyg från Austin till San Jose smeknamnet ”The nerd bird.,”Shuttling affärsmän från ett högteknologiskt centrum till ett annat, det flyget och andra som det blev bra ställen för konkurrenskraftiga underrättelsepersonal att höra diskussioner bland medarbetare eller att smyga en titt på en medpassagerares PowerPoint-presentation eller ekonomiskt kalkylblad.
alla offentliga platser där anställda går, snoops kan också gå: flygplatser, kaféer, restauranger och barer nära företagskontor och fabriker, och, naturligtvis, mässor., En operativ arbetar för tävlingen kan hörn en av dina forskare efter en presentation, eller utgör som en potentiell kund för att försöka få en demo av en ny produkt eller lära sig om prissättning från ditt säljteam. Den där agenten kan ta av sig hans namnbricka innan han närmar sig din monter på en mässa. Anställda måste veta att inte prata om känsliga affärer på offentliga platser och hur man arbetar med marknadsavdelningen för att se till att riskerna med att avslöja insiderinformation vid en mässa inte överväger fördelarna med att trumma upp affärer.,
jobbintervjuer är en annan möjlig läcka. Vågade konkurrenter kan riskera att skicka en av sina egna anställda till en anställningsintervju, eller de kan anställa en konkurrenskraftig underrättelsetjänst för att göra det. Omvänt kan en konkurrent bjuda in en av dina anställda i en anställningsintervju med något annat syfte än att hämta information om dina processer.
sätt ihop bitarna
på vissa sätt är affärshemligheter lätta att skydda. Att stjäla dem är olagligt enligt 1996 års lag om ekonomiskt spionage., Anställda vet vanligtvis att de är värdefulla, och icke-avslöjande avtal kan skydda ditt företag ytterligare. Det som är mer komplicerat är att hjälpa anställda att förstå hur till synes oskyldiga detaljer kan spännas ihop till en större bild-och hur en enkel företagstelefonlista blir ett vapen i händerna på snoops som John Nolan.
Tänk på detta scenario: Nolan hade en gång en klient som ville att han skulle ta reda på om några rivaler arbetade med en viss teknik., Under sin forskning av offentliga register kom han över nio eller 10 personer som hade publicerat papper på detta specialiserade område sedan de var doktorander tillsammans. Plötsligt slutade de alla skriva om tekniken. Nolan gjorde lite bakgrundsarbete och upptäckte att de alla hade flyttat till en viss del av landet för att arbeta för samma företag.
inget av det utgjorde en företagshemlighet eller till och med, nödvändigtvis, strategisk information, men Nolan såg en bildformning., ”Vad som berättade för oss var att de hade slutat eftersom de insåg att tekniken hade kommit till en punkt där det förmodligen skulle bli lönsamt”, säger Nolan. Sedan, genom att ringa folket i telefon, gå till möten där de talade om andra ämnen och fråga dem efteråt om den forskning som de inte längre talade offentligt om, kunde Nolans firma räkna ut när tekniken skulle slå på marknaden. Denna information, säger han, gav sin klient en tvåårig ledning på konkurrensens planer.,
gå utöver de gråzonerna
andra länder kan ha väldigt olika etiska och juridiska riktlinjer för informationsinsamling. Nästan allt vi har pratat om hittills är lagligt i USA, eller åtminstone förmodligen så i händerna på en smart advokat. Det finns en annan värld av företags sleuthing, med hjälp av buggar, mutor, stöld och till och med utpressning som praktiseras på annat håll.
i hans dagar som global säkerhetskonsult såg Bill Boni, Vice president information security på T-Mobile USA, flera saker hända som förmodligen inte skulle hända i USA, En bank i Sydamerika som misstänkte spionage tog in en säkerhetsrådgivning för att sopa platsen för buggar. När förlusten av information fortsatte anställde banken ett annat säkerhetsteam. ”De hittade 27 olika enheter,” påminner Boni. ”Hela verkställande sviten var kopplad för rörelse och ljud. Det första laget som kom in för att leta efter buggar var förmodligen installera dem.”
spionage är ibland sanktionerat – eller till och med utfört – av utländska regeringar, vilket kan se att hjälpa lokala företag att hålla koll på utländska rivaler som ett sätt att öka landets ekonomi., Det är därför ingen enda uppsättning riktlinjer för att skydda immateriella rättigheter kommer att fungera överallt i världen. CSO: s uppgift är att utvärdera riskerna för varje land som företaget bedriver verksamhet i och agera därefter. Vissa förfaranden, som att påminna människor om att skydda sina bärbara datorer, kommer alltid att vara desamma. Vissa länder kräver fler försiktighetsåtgärder. Chefer som reser till Pakistan kan till exempel behöva registrera sig under pseudonymer, få sina hotellrum eller arbetsutrymmen sopade för buggar eller till och med ha säkerhetsvakter som hjälper till att skydda information.,
använd sakernas Internet (IoT)
en av de mest utsatta miljöerna är hälso-och sjukvårdsindustrin. På många sjukhus kan varje säng ha upp till 15 IoT bio – med-enheter, med potentiellt hälften ansluten till internet. Hackare blir kloka på det faktum att värdet av skyddad hälsoinformation (PHI) är mycket mer värdefull än personligt identifierbar information (PII).
svaghet i ett sjukhusnätverk via dessa IoT-enheter gör det till ett enklare mål än tidigare., Det blir kritiskt farligt för patienter om hackaren börjar ändra drogadministrationsprotokoll på en IoT Internet-ansluten pump.
de flesta kommer överens om att IoT-tillverkare har rusat sina enheter till marknaden för att fylla efterfrågan utan att tänka på hur man säkrar dem. Bland problemen: processorer i dessa enheter är för små för att hysa ID, och få enheter kan uppdateras. Tillverkarna arbetar för att göra enheter lätt att uppdatera eller automatiskt uppdaterbar eftersom många konsumenter inte bry sig om att utföra uppdateringar på egen hand.,
som sagt är de flesta hackare inte geografiskt tillräckligt nära för att hålla sig inom enhetens räckvidd och rikta in sig på den svagaste länken, slutservern. Organisationer måste utveckla och genomföra sina egna strategier som kan omfatta säkra end-servrar, centrala servrar och trådlösa åtkomstpunkter eftersom de är mest sannolikt att vara målet för en inbrott.
infiltrera företagsnätverk oupptäckta och bor där under långa tidsperioder
R. P., Eddy, VD för Ergo ett globalt underrättelseföretag, säger, ” jag har arbetat på flera m&ett team och rekommenderar starkt till mina kunder att de kör en revision på alla sina IP-skydd, cyber och annars, för att se hur välskyddad faktiskt är och om de verkligen äger det. Om det läckte ut till Kina, Ryssland eller en konkurrent, kommer det att väsentligt påverka finanserna i ett förvärv, och inte på ett bra sätt.,”Han hade noll kunder som tog upp honom på erbjudandet tills Verizon / Yahoo-förvärvet där uppemot 500 miljoner användarkonton äventyrades av en statligt sponsrad skådespelare. Affärspriset måste omstruktureras på grund av trovärdigheten slog Yahoo tog.
För mer information om effekterna av cyberstöld av immateriella rättigheter, ladda ner infographic nedan, som är från en nyligen genomförd undersökning av Bitdefender.
Leave a Reply