Bedrijfsspionage in Nederland

Nederland en Nederlandse bedrijven zijn om verschillende redenen een ‘aantrekkelijk doelwit’ voor buitenlandse inlichtingendiensten en criminele actoren. Nederland heeft een hoogontwikkelde kenniseconomie, waar voortdurend technologische innovatie plaatsvindt. De open economie en de Nederlandse handelsgeest bieden buitenlandse inlichtingendiensten ruimte om hun operationele agenda te volgen (Bron: AIVD).

De vraag is dan ook: "Hoe kwetsbaar is uw organisatie? Weet u dat en wat doet u er tegen?" Bedrijfsspionage is een geruisloos en bijna onzichtbaar fenomeen én begint altijd met mensenwerk,  speciek door het toepassen van benaderings- en wervingsgronden.

Regelmatig blijkt dat buitenstaanders grote interesse hebben in essentiële bedrijfsinformatie, materiële goederen of zelfs gebouwen. Zij maken gebruik van heimelijke middelen en onoorbare praktijken om hun doelen te bereiken. Informatie hierover is terug te vinden in de jaarverslagen van de AIVD, MIVD en de NCSC. Daarnaast attendeert SecPrevent op de speciale publicaties t.a.v. (cyber)dreigingsbeelden (AIVD, MIVD). Deze publicaties zijn zeker het lezen waard en geven u een reëel beeld over de dreiging.

Het is noodzakelijk om bedrijfsinformatie goed te beschermen. Elke organisatie beschikt over informatie die men niet wil delen met onbevoegden. Helaas is niet iedereen zich daarvan bewust of doordrongen. Het 'zich bewust zijn' gaat vaak gepaard aan een te laag niveau van beveiliging, het ontbreken van voldoende veiligheidsbewustzijn bij medewerkers en leidinggevenden (de zogenaamde ‘Lack of Employee Awareness of Cybersecurity’) of het bewust wegkijken van risico's. Het gebrek aan veiligheidsbewustzijn is veelal desastreus voor een organisatie wanneer deze kwetsbaar is voor aanvallen van binnenuit en/of buitenaf. Bewust wegkijken voor de risico's van bedrijfsspionage kan hele nare gevolgen genereren.

De mens is en blijft de zwakste schakel

De oorzaak van bedrijfsspionage is zelden een fout in een ICT-systeem, maar vaak is het de gebruiker die onverantwoorde dingen doet: de mens is de zwakste schakel! Gebruikmakend van social engineerings- en elicitatie technieken richting een medewerker verkrijgen kwaadwillenden via (sociale) interventies informatie om een cyberaanval te kunnen gaan uitvoeren. Daartoe gebruikt de tegenstander vaak phising of andere infiltratietechnieken. En dat laatste kan op meerdere manieren plaatsvinden. 

Bedrijfsspionage komt dan ook voor in alle lagen van onze organisatorische samenleving.

Het verbeteren van het veiligheidsbewustzijn onder medewerkers is een deel van de sleutel om tot een betere bescherming te komen, naast het opleiden van personeel dat speciefiek is belast met de veiligheid.

Helaas is industrieveiligheid vaak een sluitpost voor organisaties en MKB-ondernemers. Maar realiseert u zich dat kleine investeringen ervoor kunnen zorgen dat er op het moment suprême daar veel profijt van kan hebben. De impact van succesvolle bedrijfsspionage kan enorm zijn.

Bewustwording en het tijdig nemen van organisatorische, fysieke, personele en digitale beveiligingsmaatregelen om bedrijfsspionage proactief te kunnen voorkomen of te mitigeren zijn onlosmakelijk met elkaar verbonden.

Wie het best geïnformeerd is, is in het voordeel en voorkomt verrassingen 

Kennis over bedrijfsspionage en haar kenmerken zijn de sleutels naar een effectieve beveiliging bij het voorkomen van verlies of schade aan bedrijfsgeheimen (de kroonjuwelen) of de te beschermen belangen (TBB).

Wij helpen onze klanten bij het verbreden van hun kennis en dragen zorg voor een verhoogd veiligheidsbewustzijn voor de kenmerken van bedrijfsspionage en bij het reizen naar landen met een verhoogd of hoog veiligheidsrisico.

Janus, de god van het begin, de poorten, de overgangen, de tijd, de dualiteit, de deuropeningen, de doorgangen en het einde.

Wat is een bedrijfsgeheim conform de Wet bescherming bedrijfsgeheimen (Wbb) of wat zijn te beschermen belangen (TBB)?

Een bedrijfsgeheim is volgens de Wbb 

• Informatie die geheel of gedeeltelijk niet algemeen bekend is bij of gemakkelijk toegankelijk is voor degenen die zich met dergelijke informatie bezighouden.
• Een handelswaarde vertegenwoordigt omdat ze geheim is, en door de eigenaar aan redelijke maatregelen onderworpen is om de informatie geheim te houden.
  

Bedrijfsgeheim (de kroonjuwelen) is dus geclassificeerde of gerubriceerde informatie die waardevol is. Het is die informatie waarover u zich als bestuurder het meeste zorgen maakt. Deze informatie kan gekoppeld zijn aan een of meerdere (gerubriceerd) bedrijfsproces(sen) of producten.  

Binnen de overheid worden kroonjuwelen aangeduid als de 'te beschermen belangen (TBB's)'. Een TBB gaat altijd over een gewichtig gerubriceerd proces, handeling, product of informatie die noodzakerlijkerwijs beschermd dient te worden i.h.k.v. nationale veiligheid. Informatie hierover kunt terugvinden in het Voorschrift Informatiebeveiliging Rijksdienst (VIR).

Bedrijfsgeheimen hebben betrekking op heel wat verschillende soorten informatie, zoals:

• Informatie of apparaten die niet verloren mogen gaan. Denk hierbij aan:

        - Fysieke opslag van hardcopy documenten en bestanden. 

        - Digitale dataopslag, microfiches en harddisks.

• Informatie of producten die een hoge (financiele) waarde vertegenwoordigen zoals:

        - Klantlijsten, intellectueel eigendom (tekeningen, schema’s en formules)

        - Werkprocessen, concepten en onderzoeksresultaten 

        - Prijscalculaties & offertes, overnameplannen en waardebepalingen

        - informatie die naast strategisch ook een concurrerend voordeel kunnen bieden

        - Technische know how en software (AI), 

• Informatie die in verkeerde handen riskant of gevaarlijk is door verlies, diefstal of compromittatie, zoals:
  

        - Geclassificeerde of gerubriceerde documenten en compromittatie van beveiligingsplannen.

        - Strategieplannen en onderzoeksresultaten van en naar hoogwaardige technologie

        - USB-stick, dvd, cd-rom, laptop, smartphone of tablet.

        - Personeelsgegevens/dossiers met BSN-nummers. *

* Het verlies van personeelsgegevens of dossiers leidt veelal tot aanzienlijke imago- en reputatieschade en gaat gepaard met forse (financiële) schade claims!

Detectie of opsporen is lastig, maar schade kan proactief worden voorkomen!

Bedrijfsspionage is voor veel mensen een complex en ongrijpbaar fenomeen. Het is dan niet verwonderlijk dat detectie van interne en/of externe bedreigingen ook door professionals als lastig worden ervaren. Bedrijfsspionage vereist naast het onderzoeken en mitigeren van risico's een andere aanpak dan het managen van andere veiligheidsrisico’s. Het verbeteren van kennis en inzicht in dit fenomeen is essentieel naast het borgen van veiligheidsbewustzijn onder de medewerkers om uiteindelijk (veel) schade te kunnen voorkomen door bedrijfsspionage.

Tijdens de meerdaagse training "Bedrijfsspionage" nemen wij u mee naar een wereld waarbij actief gebruik wordt gemaakt van osint technieken, insider threat actoren (infiltratie of sabotage) en social engineeringsmethoden om een organisatie in kaart te brengen. In dit proces wordt vaak heimelijke beïnvloeding en inmenging niet geschuwd, waarbij het verspreiden van desinformatie mogelijk is. De typerende spionageactiviteiten, zowel fysiek als digitaal, ontbreken niet. Het gaat over signalen van sabotage, klassieke infiltratie, misleiding, het plaatsen van een APT of het gebruik maken van phishing-methodes.

Investeren in een training "Bedrijfsspionage" verbetert dus niet alleen uw kennis, maar draagt direct bij aan het inzicht hoe bedrijfsspionage tot stand komt door statelijke en non-statelijke (criminele) actoren en de wijze waarop deze gemitigeerd of voorkomen kan worden.

Op zakenreis naar het buitenland

De afgelopen jaren zijn in toenemende mate statelijke en non-statelijke actoren zeer bedreven geworden in het bespioneren van bedrijven die innovatieve technologieën bedenken of ontwikkelen. Hun doelen zijn duidelijk. Ze willen deze kennis jatten en doen dat ook! 

Niet allen zakendoen met een totalitaire staat of regime brengt veiligheidsrisico’s met zich mee. Maar ook het zakelijke reizen naar landen met een verhoogd of hoog veiligheidsrisico’s brengt stevige veiligheidsrisico’s met zich mee. En dat laatste geldt eigenlijk voor alle landen - in meer of mindere mate - waarmee Nederland vriendschappelijke banden of betrekkingen onderhoudt. Vriendschappelijke banden of berekkingen is geen reden om niet te spioneren en doelgericht informatie te stelen.

De veiligheidsrisico’s voor personen die langdurig werkzaam zijn en/of verblijven in het buitenland zijn  eveneens van toepassing. 

Tijden uw zakenreizen hebben buitenlandse inlichtingendiensten, maar ook non-statelijke (criminele) actoren, interesse in u en met name in de kennis die u heeft of bij u draagt. Van belang is dat u de juiste voorzorgsmaatregelen neemt om het risico op (digitale en fysieke) bedrijfsspionage te verkleinen naast de wijze waarop u zich tijdens uw reis en ter plaatse profileert en manifesteert.

Investeren in een eendaagse training "Reizen naar landen met een verhoogd of hoog veiligheidsrisico" verbetert niet alleen uw kennis en inzicht op dit gebied, maar levert fundamenteel minder veiligheidsrisco's op voor u als reiziger en uw organisatie bij het reizen naar landen met een verhoogd veiligheidsrisico. Tijdens deze training vertellen wij u de 'do and don'ts' en hoe u een veilige digitale omgeving kunt creëren tijdens uw reis en tijdens uw verblijf, waarbij de risico’s van cyberspionage niet ontbreken!

Voor wie bedoeld?

Kennis en inzicht vergrootten over bedrijfsspionage om een gedegen beveiligingsrisicobeheerprogramma op te kunnen zetten, is met name geschikt voor security (RSE en MSec), informatie-, HR-, IT- en facility en logistieke managers, hun plaatsvervangers, bureauhoofden en medewerkers, die afkomstig zijn uit de verschillende topsectoren, de startups. het bedrijfsleven en het MKB in Nederland:

• Agri & Food.
• Chemie.
• Creatieve Industrie.
• Energie en telecom.
• Life Sciences & Health (LSH).
• Logistiek.
• High Tech Systemen en Materialen (HTSM).
  
• Tuinbouw & Uitgangsmaterialen.
• Water.
  
• Wetenschap.
• Onderwijsinstellingen en universiteiten.
• Denktanks en kennisinstellingen.

SecPrevent kan helpen!

SecPrevent zoekt commitment en samenwerking en helpt u daarbij graag verder met het geven van advies en het trainen van uw personeel en leidinggevenden.

Over ons

Betrouwbaar, uniek en modern kennisplatform

SecPrevent is in 2019 opgericht door twee oud-officieren I&V van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD).

SecPrevent maakt onderdeel uit van Trio Security Management Consultancy (kortweg Trio Security). Het bedrijf is in 2008 is opgericht. 

Bedrijfsspionage, insider threat, social engineering en radicalisering & sabotage

SecPrevent zet haar expertise op het gebied van intelligence graag in voor een veiliger Nederland en vertaalt kennis over complexe fenomenen zoals bedrijfsspionage, insider threat, social engineering en  radicalisering & sabotage naar begrijpelijke inzichten en kennissessies.

Dat doet SecPrevent door het geven van (maatwerk) trainingen in de vorm van incompany workshops met de focus op de werkwijze van statelijke, non-statelijke *criminele) actoren en informatiemakelaars. Hierdoor leert u situaties beter herkennen door kennisverreiking en worden de scenarios inzichtelijker.

Tijdens deze trainingen zoeken de docenten 'challanges' met de cursisten in de vorm van discussie over verschillende vraagstukken en uitdagende onderwerpen.

Onze roots

Onze jarenlange ervaring (ca. 35 jaar) in hoog en (on)gerubriceerde omgevingen heeft ons fundamenteel geschoold en gevormd. Uit ervaring weten we dat een tegenstander uiteindelijk een keer zijn doelstellingen bereikt en uw organisatie binnendringt. Vaak komt dat natuurlijk op een moment dat uw organistie kwetsbaar of minder weerbaar is.

SecPrevent biedt een unieke combinatie van achtergronden (LUID, CLAS/DIVI, KLU/SBC, MIVD/ACIV: speciale veiligheidsonderzoeken, CI-inlichtingenoperaties, onderzoek naar veiligheidsbevorderende maatregelen, OBE-audits, personele veiligheidsonderzoeken (HBPV), informatieveiligheid, ontwikkelen van veiligheidsbeleid en informatiebeveiliging (HBIB).

Daarnaast zorgt onze langdurige ervaring gedurende uitzendingen en operaties voor een gedegen kennis en inzichtniveau over de wijze waarop bedrijfsgeheimen en de 'te beschermen belangen (TBB's)' accuraat en veilig kunnen worden gewaarborgd.

Tenslotte, daar waar de de risico's groot zijn en de belangen hoog, voelen wij ons als een vis in het water.

Bedrijfsspionage

Organisaties staan voor de opgave om een grens te stellen tussen informatie die met de buitenwereld kan worden gedeeld en informatie die moet worden afgeschermd. Bedrijven moeten voorkomen dat koersgevoelige informatie uitlekt, het openbaar bestuur moet sollicitatieprocedures afschermen, de krijgsmacht vanwege de NAVO, de energievoorziening en nog op veel andere terreinen waarop inmenging op een heleboel manieren toeneemt. Zij moeten hun strategieën geheimhouden. 

Er is ook interesse voor Nederlanders die op belangrijke positie werken. Daarbij moet u denken aan: bestuurders, politici, leidinggevenden van grote bedrijven, wetenschappelijke instituten. Maar u moet ook denken aan secretaresses, chauffeurs en aan andere actoren. Het is een heel breed spectrum.

Een voorbeeld

Een bedrijf plaatst op haar website een artikel over een (telecom)opdracht voor de overheid. Het bedrijf is trots dat ze een aanbesteding hebben ontvangen van de overheid. Het blijft even stil rond de aanbesteding en dan neemt het bedrijf deel aan een congres.  Aldaaar komt men in contact met een persoon of personen die hetzelfde interessegebied hebben. Ze raken met elkaar aan de praat over het onderwerp en er volgt een geanimeerd gesprek. Er komt een vervolg in de vorm van een persoonlijk contact: "Zullen we een keer gaan lunchen, of dineren met onze partners?"

Op deze manier wordt het vertrouwen in ‘die’ andere persoon langzaam opgebouwd. Er wordt om informatie gevraagd, heel onschuldige die ook op hun website te vinden is. Zo wordt er aan een patroon gewerkt waarbij steeds meer om informatie gevraagd gaat worden en er een grens overschreden wordt. Die grens is het verstrekken van informatie, het accepteren van cadeaus of zodanig gemanoeuvreerd c.q. gemanipuleerd worden dat je daardoor chantabel wordt.

Niettemin hebben al deze organisaties te kampen met bedoelde en onbedoelde overschrijdingen van de gestelde grens. Soms komt dat doordat opponenten het functioneren van de betrokken instantie willen blokkeren of op zoek zijn naar informatie waarvan zij maatschappelijk profijt verwachten te kunnen trekken.

Maar ook omdat deze instellingen meer of minder intensief in die buitenwereld werkzaam zijn, omdat moderne media geïnteresseerd zijn in het functioneren van die organisaties (en vooral in eventueel disfunctioneren) en omdat burgers van instellingen eisen dat zij transparant zijn in hun optreden.

De duur van het lekken zegt iets over de omvang en de ernst van het geval.

Soort informatie

Uit de melding van een verdenking van lekken valt niet altijd op te maken welke informatie is gelekt. Dat is ook niet altijd mogelijk nadat onderzoek is verricht. Als wel meteen duidelijk is welke informatie is gelekt, blijkt dat het vrijwel altijd operationele informatie betreft, dat wil zeggen informatie over medewerkers, objectinformatie of bedrijfsinformatie.

In de meeste gevallen bevestigen de vervolgens ingestelde onderzoeken deze inschatting. Omdat de onderzoeken in een flink aantal gevallen de verdenking ontzenuwen, blijkt uiteindelijk minder informatie over criminele subjecten, over burgers en over lopende strafrechtelijke onderzoeken te zijn gelekt dan aanvankelijk gevreesd. Omgekeerd blijkt bovendien vaker dan uit de melding kon worden opgemaakt onrechtmatig informatie over de lekker zelf en over collega’s te zijn vergaard.

Voor het delen van informatie moet de betrokkene zich er bovendien van vergewissen dat de ontvanger ook geautoriseerd is en de informatie nodig heeft bij het uitvoeren van zijn of haar taak. 

Ten slotte is er ook nog bijzonder vertrouwelijke informatie die alleen gedeeld mag worden met toestemming van bevoegd gezag. Al met al is de omgang met informatie wettelijk nauwgezet geregeld, maar wel op zo’n manier dat een soepele omgang met vertrouwelijke informatie binnen de politie mogelijk is. 

Regels bieden houvast, maar bij de naleving spelen ook zaken als ervaring, routines, gedeelde werkwijzen en de dwang der omstandigheden een rol.

Onze workshops Bedrijfsspionage

Er zijn workshops beschikbaar voor twee categorieën functionarissen. Het instapniveau voor een workshoptraining staat vermeld in de beschrijving van de respectievelijke opleiding.

• Categorie Mbo opgeleide personen.
• Categorie Hbo en hoger opgeleide personen.

Onze workshops zijn interactieve trainingen. Workshops, waarin het contact met de cursisten bewust wordt gezocht en waarbij onze kennis over bedrijfsspionage met u wordt gedeeld. Daar waar nodig wordt het onderwerp extra belicht door middel van een video, tekening of afbeelding.

SecPrevent deelt  geen gerubriceerde informatie.