Fokozódik az érdeklődés a gazdasági adatok, információk megszerzéséért, de konkrét számokat, trendeket nehéz lenne mondani a hírszerzések titkos volta miatt – közölte a FigyelőNet érdeklődésére Szövényi György. A biztonságpolitikai tanácsadót annak kapcsán kérdeztük, hogy a megfigyelési ügyként elhíresült botrányban jóval kisebb figyelem irányul arra, hogy a hírbe hozott vagyonvédelmi cég gazdasági információk megszerzésére is törekedett állítólag, s ugyancsak állítólag nem mindig törvényes úton.
Egyre több mindent szeretnének tudni
Tóth Károly, a parlament Nemzetbiztonsági Bizottsága szocialista alelnöke úgy fogalmazott lapunknak, hogy az eddigi információk szerint az ügyben kulcsszerepet játszó UD Zrt. tevékenysége három szálon mozoghatott. Először is az őrző-védő cégcsoport törvényesen, engedéllyel gyűjtött adatokat, végzett magánnyomozói tevékenységet. Másodsorban viszont felmerül a gyanú, hogy a cég gazdasági érdekből nem jogszerű módon is megpróbált üzleti és magánjellegű információkhoz jutni. A harmadik tevékenység pedig, amolyan „melléküzemágként” – ha már úgyis kutakodnak – fideszes politikusok által megfogalmazott, célirányos kérdések megválaszolása volt – sorolta a politikus.
Sokkal veszélyesebb
Tóth Károly úgy véli, hogy bár a harmadik tevékenységről szóló történetekre ugrott rá a sajtó – ami érthető abból a szempontból, hogy ott szerepelnek az ismert politikusok, Dávid Ibolya, Kövér László, Demeter Ervin, Almássy Kornél – sokkal károsabb és veszélyesebb, ha bebizonyosodna, hogy a cég széles körben szerzett be jogosulatlanul gazdasági információkat.
Egyre veszélyesebb játék
Ha igaz az – hangsúlyozta Tóth -, hogy a cég levelezőrendszerekre, az APEH, a Nemzetbiztonsági Hivatal (NBH), a kormányzati vagy önkormányzati rendszerekre telepedett rá, akkor annak nemcsak politikai, de súlyos gazdasági következményei is lehetnek. Kérdésünkre, hogy tudomása szerint milyen típusú gazdasági adatokra utazott a cég, Tóth Károly kitérően felelt, mondván: nincs felhatalmazása arra, hogy ezeket az információkat a nyilvánossággal megossza.
Arról viszont szívesen beszélt, hogy milyen veszélyeket lát esetleges jogszerűtlen információszerzésekben. Példának az önkormányzatokat hozta fel Tóth Károly, amelyeknél esetenként akár több milliárdos közbeszerzési pályázatokat bonyolítanak, tehát igen súlyos gazdasági érdek fűződhet ahhoz, hogy a feltételekhez, a lebonyolítás egyéb részleteihez jusson hozzá valaki.
De a képviselő arra is emlékeztetett saját tapasztalatából, hogy az önkormányzat mondjuk meghatározza, hogy egy eladásra szánt ingatlannál mennyi az a minimálár, ami alá nem mennek, ha ezt megtudja valaki, már óriási előnyben van a vetélytársakkal szemben. Ugyancsak nagyon fontos gazdasági információk birtokába juthat valaki, ha például megszerzi, hogy a településen működő cégek mekkora iparűzési adót fizetnek, amiből a vállalkozás egyéb adatait is visszaszámolhatják.
A jogszerűtlen tevékenység titoksértés
Szövényi György szerint is meg kell különböztetni az üzleti hírszerzést, a gazdasági vagy ipari kémkedéstől. Előbbi legális, hiszen úgyis információkat szerezhetünk egy társaságról, ha rendszeresen nyomon követjük például a honlapján történő változásokat, számon tartjuk mérlegadatait, konferencián, szakmai fórumokon kérdéseket teszünk fel a működéssel kapcsolatban.
Biztosan állítható, hogy a cégek egyre többet szeretnének megtudni vetélytársaikról, így fokozódik az igény a konkurencia megfigyelésére, de állandóan felmerülő kérdés, hogy meddig lehet elmenni – emlékeztetett a tanácsadó. De mire is kíváncsiak általában?
Versenyhelyzetben, pályázatoknál evidens, hogy a legnagyobb kincs az árajánlatok megszerzése, hiszen ha csak egy minimális összeggel is alá ajánlunk, jó esélyünk lehet a megbízás elnyerésére. Hasonlóan „vonzó” lehet fejlesztések leírásának megszerzésére, elég arra utalni, hogy például a gyógyszeriparban, az informatikában, a mobiltelefóniában vagy az energetikában horribilis összegeket költenek innovációra, ezért az információk megszerzésével jelentős „megtakarítást” érhet el a megbízó. Ez akkor is így van, ha a jogsértő információszerzés sem olcsó. Fontos hangsúlyozni ugyanakkor, hogy ez semmiben nem különbözik a lopástól, tehát bűntényről beszélünk – hívta fel a figyelmet Szövényi György.
—-A furfangos módszerek az emberi gyengeséget célozzák—-
Érdekes módszerek léteznek az információk megszerzésére, melyek leginkább az emberi gyengeségre, kíváncsiságra, felelőtlenségre építenek – mondta a tanácsadó. Egyik trükk lehet, hogy például az önkormányzatnál közbeszerzések bonyolításával foglalkozó vezetőnek vagy beosztottnak olyan emailt küldünk, ami közbeszerzési tárgyú, tehát bizton számíthatunk arra, hogy ki is nyitja, s ezzel máris fent lehet hipp-hopp a kémprogram, ami aztán szállítja az információkat.
Az emberi tényező előtérbe kerül
De az is „mókás játék”, ha valaki „véletlenül” elveszt egy pendrive-ot, mondjuk béradatok felcímkézéssel. Jó eséllyel számíthatunk arra, hogy valamely megtaláló kíváncsi a főnök és a kollégák fizetésére, s ezzel ő is feltelepíti a kémprogramot tudta nélkül.
De adták már ki magukat kémkedők igen hitelesen a rendszergazda megbízottjának is, hogy így szerezzék meg a rendszer különböző jelszavait, kódjait – sorolta Szövényi György.
Egyéb lágy módszerek
Mikulás Gábor a Magyar Információbrókerek Szövetségének elnöke szerint legális módszerekkel is nagy hatékonysággal lehet „megdolgozni” egy céget. Az olyan megoldások, mint egy beszállítói lista ellopása nyilvánvalóan törvényellenes, de nincs is rá szükség.
Vannak olyan „lágy” módszerek, amelyekkel a kívánt eredmény elérhető. Nem tilos egy cég bejáratánál például leparkolni és összeírni az odaérkező kocsik adatait, vagy elbeszélgetni célirányosan a sofőrökkel, hogy áll a vállalat, voltak-e elbocsátások stb.
Az így megszerzett információkat azonban érdemes megerősíteni több forrásból. A cégek többségének erre nincs kapacitása, így az adatgyűjtést, és azok megfelelő hatékonyságú azonosítását másra bízza. Egy megbízás során az ilyen tevékenységet folytató cégek folyamatosan figyelnek mindenre, valamint viselkedési mintákat hoznak létre a döntés-előkészítés megkönnyítéséhez. Az ilyen jellegű információk jól értékesíthetők. Tipikus helyzet amikor egy cég új technológiával jelenik meg a piacon, és versenyelőnyre tesz szert, ilyenkor a többiek elkezdenek nyomozgatni – nem is feltétlen egymásnál – hogy milyen módszerekkel lehet majd ezt a céget utolérni, nem a technológia másolásával, hanem egy saját fejlesztéssel.
Egyéni megközelítésben Mária-Valéria
Jellemző az is, hogy ezek a cégek próbálják egyéni megközelítésben is vizsgálni a folyamatokat. Jó példa erre, hogy, amikor a Mária-Valéria hidat átadták, a hírszerzők számára a legérdekesebb adat az volt, hogy az új hidat az eredetinél 3 méterrel magasabb aljzattal építették. Ennek olvasata számukra az volt, hogy a magyar kormány esetleg azt tervezi, hogy megépíti a Nagymarosi vízierőművet.
Elmondása szerint egyébként 40-50 cég foglalkozhat ezzel a szakmával, nyilván itt a határok eléggé elmosódottak, hiszen sok cég nem több, mint egyszerű adatbányász vállalkozás.
Krasznay Csaba, a Kancellár.hu cég információbiztonsági tanácsadója szerint az elektronikus hírszerzés, információgyűjtés egyik legegyszerűbb módja az internet lett. A legtöbb cégről egyáltalán nem nehéz fontos adatokat megtudni. A webkeresők, maguk a céges weboldalak tele vannak értékes adatokkal. A cégek többsége azonban nem használja ki ezeket.
Nagyon könnyű órák alatt összeállítani egy jó cégprofilt, bevételekről, partnerekről. Nagy „segítség” például az E-kormányzat portál, amin az üvegzsebtörvény óta minden öt millió forint feletti közbeszerzésnek szerepelnie kell. Ugyanilyen nyilvános forrás az IRM cégnyilvántartása is, vagy akár a cégek oldalain oly büszkén felsorolt referenciák.
Elfelejtett szerverek vallanak
Az illegális információszerzés informatikailag – folytatja Krasznay Csaba – kivitelezhető egyrészről kívülről, a sokszor könnyen sebezhető weboldalakon keresztül, vagy a hanyagul kezelt informatikai biztonságnak köszönhetően. Rengeteg „elfelejtett” szerver pihen az irodák sarkaiban, amelyek merevlemezeit lemásolva pillanatok alatt megteremthető akár a cég klónja is. Szerepelnek rajta a cég bevételei, kiadásai, partnerei megjegyzései.
A másik módszer, a belső támadások egyik legkönnyebb módja pedig megfizetni valakit a cégnél, hogy telepítsen vagy szerezzen be fontos adatokat. Mindig van olyan, aki éppen kifele tart a vállalatból, tőlük könnyebben megszerezhető egy felhasználói jogosultság. A telepített programok pedig innentől kezdve arra is képesek, hogy akár utólag reprodukálják a képernyőnkön megjelenített képeket.
A legfontosabb védekezése egy cégnek, ha saját maguk meghatározzák, melyek a fontos vagy titkos adataik. Szisztematikusan kell alkalmazni a jogosultságokat, ki és milyen módon juthat hozzá a rendszerben lévő adatokhoz.
