Bedrijfsspionage door verminderde privacy

Privacy

De afgelopen jaren is privacy veel besproken. De snelle ontwikkelingen op het gebied van internet maar ook de onthullingen van Snowden en Wikileaks maken ons duidelijk dat het beeld over privacy verandert. Dit gebeurt op een veelal niet transparante manier. Vaak komen we er pas achteraf achter wat er speelt.

Klokkenluiders, journalisten en soms de overheid zelf zijn de redenen waarom privacy het nieuws haalt. Het bedrijfsleven houdt zich het liefst stil. Dit komt natuurlijk omdat er grote belangen spelen. Bedrijven kopen en verkopen data, onze gegevens, om diensten en producten zo gericht mogelijk aan de man de brengen.

Stilzwijgen

Ook bedrijven houden elkaar goed in de gaten. Bedrijven kopen ‘Big’ data niet alleen om een goed beeld te krijgen van de klant maar ook van de concurrent. Philips zal ook zeker informatie inkopen over hoe bepaalde groepen zoeken naar Sony of Samsung. Schiphol is ook geïnteresseerd in het verkeer van en naar concurrerende vliegvelden in het Duitse grensgebied gaan.

Wat opvalt is het stilzwijgen van bedrijven over dit onderwerp. Ze hebben natuurlijk hun belangen maar daar tegenover investeren ze ook zelf veel in informatiebeveiliging. Toch lijken ze niet te zien welke risico´s de huidige ontwikkelingen met zich meebrengen. Dezelfde mensen die hun hele leven stallen op het internet zijn ook hun medewerkers of de familie en vrienden van die medewerkers.

We zouden het misschien graag willen maar het scheiden van werk en privé lukt bijna niemand. Hoeveel collega´s hebben we uiteindelijk toch ook op Facebook? Daarnaast richt bijvoorbeeld LinkedIn zich volledig op het zakelijk netwerken. Al deze gegevens worden net zo goed verkocht.

Bedrijfsspionage

Bedrijven maken veel gebruikt van gerichte reclame en zullen dus voorzichtig zijn om deze ontwikkelingen te bekritiseren. Toch wordt ook nu al gebruik gemaakt van dezelfde data om elkaar goed in de gaten te houden. Wanneer is er sprake van bedrijfsspionage? Net als in de privacy discussie is er geen duidelijke definitie en daardoor een groot grijs gebied.

Bedrijven willen steeds meer weten over hun potentiele klanten. Dat veel van deze potentiele klanten ook eigen medewerkers zijn die ook weer interessant zijn voor andere bedrijven blijft onderbelicht. Dat deze mensen een directe toegang kunnen zijn tot de bedrijven zelf wordt gemakshalve genegeerd. Met de wens om steeds meer te willen weten van mensen snijden bedrijven zich ook zelf in de vingers. Veel bedrijven zijn zich hier niet voldoende bewust van.

Direct toegang tot de concurrent

Personen schrijven zich in bij allerlei organisaties en sites, ook bij die van de concurrent. Vaak houdt dit in dat er een account aangemaakt moet worden met wachtwoord. De kans is vrij groot dat hier hetzelfde wachtwoord wordt gebruikt als bij het bedrijfsaccount van deze persoon. Met email adressen, namen en wachtwoorden is de kans best groot dat je ook een bedrijfsnetwerk of -applicatie kunt benaderen. In veel gevallen heeft de betreffende persoon deze gegeven geheel vrijwillig ingevuld en weggegeven op sites van de concurrent of als slachtoffer van phising.

Indirect bruikbare gegevens

Social engineering is nog steeds een van de krachtigste manieren van hacken, en het is alleen maar makkelijker geworden. Bijvoorbeeld: een goksite heeft buitengewoon waardevolle gegevens in de aanbieding. Stel je kunt gericht zoeken op namen van personeel van een bepaald bedrijf en hun gokgedrag. Dit voorbeeld hoeft niet eens verder uitgewerkt te worden, je snapt het punt.

Een ander voorbeeld: Je kunt gericht de zoekresultaten bekijken van de concurrent? Google kan, technisch gezien, de zoekopdrachten doorspitten vanaf Apple adressen. Dit zal veel kunnen zeggen over de ontwikkelingen en projecten binnen een bedrijf.