Biznis i politika
StoryEditor

Špijun među prijateljima: Pazite što i komu govorite

21. Rujan 2024.
Špijuni se lažno predstavljaju kao diplomati, znanstvenici, novinari ili poduzetnici, pa osobe koje dolaze s njima u kontakt – zaposlene u javnim i privatnim tvrtkama – mogu nesvjesno postati izvor informacija. Od ulaska u NATO i Europsku uniju Hrvatska je postala predmet obavještajnog interesa pojedinih država koje NATO i EU smatraju sigurnosnim izazovom ili prijetnjom

Je li vam se ikada dogodilo da na poslovnom sastanku, networking-događaju ili službenom putovanju upoznate osobu koja postavlja čudna pitanja, malo previše zabada nos tražeći informacije o vašem poslovanju, a s druge strane izbjegava odgovore o sebi i svom radu? Ili ste možda primijetili da netko od vaših zaposlenika ili kolega izražava neobičan interes za povjerljive informacije kao što su poslovni planovi, istraživanje i razvoj te financije? Moguće da ste naletjeli na špijuna.

Uza sve rizike i izazove s kojima se poduzetnici susreću i bore u posljednjih nekoliko godina, poput krize, ratova, inflacije i hakerskih napada, poslovna špijunaža možda je jedna od najmanje uočljivih, ali itekako prisutnih i opasnih prijetnji poslovanju. Također, zbog digitalne transformacije tvrtkama prijeti da ključne informacije, intelektualno vlasništvo i povjerljivi podaci vrlo lako dospiju u pogrešne ruke. Glavni akteri – špijuni – pritom ne primjenjuju uvijek sofisticirane taktike ili naprednu tehnologiju, nego se katkad i neprimjetno infiltriraju unutar tvrtki.

Ugroza nacionalnih interesa

Špijunaža, odnosno strana obavještajna aktivnost, u Hrvatskoj je bila najintenzivnija tijekom Domovinskog rata, a u Sigurnosno-obavještajnoj agenciji ističu da je i danas prisutna. Kao primjer strane obavještajne aktivnosti u Hrvatskoj na njezinim je internetskim stranicama navedeno ‘nastojanje da se pribave klasificirani podaci koji bi mogli ugroziti nacionalne interese RH, npr. u područjima poput gospodarskih aktivnosti ili međunarodnih pregovora u kojima sudjeluje RH‘. Špijuni se lažno predstavljaju kao diplomati, znanstvenici, novinari ili poduzetnici, pa osobe koje dolaze s njima u kontakt – zaposlene u javnim i privatnim tvrtkama – mogu nesvjesno postati izvor informacija. Od ulaska u NATO i Europsku uniju Hrvatska je postala predmet obavještajnog interesa pojedinih država koje NATO i EU smatraju sigurnosnim izazovom ili prijetnjom, a špijuni prikupljaju podatke i o hrvatskoj politici prema državama zapadnog Balkana.

Isto tako, SOA navodi da špijuni ‘mogu nastojati utjecati na hrvatsku javnost plasiranjem (dez)informacije koje služe njihovim ciljevima‘. Spomenute su dezinformacije hibridne prijetnje, odnosno strano uplitanje u demokratske procese te ometanje nacionalnog odlučivanja, s čime se zapadne zemlje sve češće susreću. Iza takvih prijetnji najčešće stoje državni akteri iz Rusije i Kine, koji se često skrivaju iza tzv. korisnih idiota, utjecajnih pojedinaca koji ne shvaćaju da ih strane zemlje iskorištavaju za širenje dezinformacija na internetu.

S obzirom na specifičnost rada i zakonska ograničenja iz SOA-e nisu mogli odgovoriti na Liderov upit o konkretnom broju i učestalosti špijunaža u Hrvatskoj, odakle dolaze, kao i o tome kako ih prepoznati. Otkrivanje takvih radnji ne događa se pod svjetlom javnosti, a i ne pronalazi ih se često u medijima. No uputili su nas na svoje izvještaje o temama strane obavještajne djelatnosti i protuobavještajnog rada koje objavljuju od 2014. godine. U tadašnjem, prvom izvješću SOA spominje porast trenda prihvaćanja radikalnog tumačenja islama u državama jugoistočne Europe i upozorava na sigurnosni izazov ‘džihadista‘, koji su prijetnja u Europi i danas.

S druge strane, Željko Cvrtila, stručnjak i konzultant za sigurnost te vlasnik tvrtke Analytics za poslovnu sigurnost i ISO standarde, kaže da poslije rata ne zna za konkretne primjere špijunaža u Hrvatskoj, a često govori da u Hrvatskoj očito nema stranih agenata.

– No mislim da to nije točno, nego će prije biti da ih naše službe nisu u stanju locirati ili s njima manipuliraju radi plasiranja podataka koje žele da se dale prosljeđuju – ističe Cvrtila te dodaje da takvi špijuni od poduzetnika, političara i općenito ljudi s kojima dolaze u kontakt nastoje saznati tajne.

image

Željko Cvrtila

foto Analytics.com
– Uglavnom podatke koji nisu javno dostupni temeljem kojih mogu podrivati funkcioniranje tvrtke ili države. Slabljenjem tvrtke konkurencija može doći u poziciju preuzimanja njezinih poslova ili preuzimanje cijele tvrtke koja je meta, što se u Hrvatskoj događalo od strane domaćih i stranih predatora. Kada je u pitanju slabljenje države, tada takva država slabi gospodarski, institucionalno, nadzorno i lakše je u nju na razne pozicije instalirati svoje djelatnike koji će raditi u interesu strane države. Na primjer, veličat će poslove strane države, njezinu kulturu, snagu, vojsku, zatirati domaći identitet, plasirati razne dezinformacije u samoj državi i po svijetu, s obzirom na dostupne joj podatke biti korak ispred u poslovnim, sigurnosnim i diplomatskim razgovorima. Inicirati korupciju i ‘nezgodne‘ situacije službenika radi njihovog ucjenjivanja i podvrgavanja željama i interesima strane države – navodi Cvrtila, koji se više od 30 godina bavi sigurnošću.

Kibernetička opasnost

Iznimno je važno imati na umu da špijunaža danas postoji i u virtualnome svijetu. Špijuni do informacija dolaze putem kibernetičkih napada poput phishinga i malwarea, a prisutna su naravno i prisluškivanja poziva te čitanje nešifriranih poruka. Kibernetička je špijunaža danas rastući problem u svijetu, pa tako i u Hrvatskoj. U izvješću iz 2020. SOA govori o stranom obavještajnom radu u informacijskom, a posebice u kibernetičkom prostoru.

‘Uz klasično obavještajno djelovanje i prikupljanje podataka, posljednjih je godina sve intenzivnije korištenje kibernetičkih napada na informacijsku infrastrukturu državnih tijela radi špijuniranja i krađe podataka‘, stoji u SOA-inu izvješću iz 2020. godine.

U posljednjem javnom izvješću SOA-e iz 2022. spominje se povećanje broja državno sponzoriranih kibernetičkih napada na državna tijela i operatere kritične infrastrukture u Republici Hrvatskoj. Naime, samo u prvoj polovici ove godine zabilježeno je više od deset naprednih državno sponzoriranih kibernetičkih napada koji su usmjereni na pažljivo odabrane ciljeve i provode ih organizirane hakerske grupe koje se povezuje s obavještajnim sustavima pojedinih država. Kibernetički napadi posebno ciljaju zaštićene sustave i komunikacije državnih tijela iz područja vanjskih poslova, obrane, financija i gospodarstva. Prisjetimo se samo kibernetičkog napada na zagrebački KBC. Tijekom prošle godine zabilježen je 31 takav napad, a godinu prije devetnaest.

Kako upozoravaju u SOA-i, posljedice špijunaže ‘mogu biti gospodarski gubici, povećanje troškova ili ovisnosti države, destabilizacija sigurnosnih prilika, onemogućavanje slobodnog donošenja političkih odluka, pa čak i ugrožavanje fizičke sigurnosti hrvatskih građana‘. SOA će tako provođenjem NIS2 Direktive EU-a putem novog Zakona o kibernetičkoj sigurnosti, koji na snagu stupa 17. listopada ove godine, postati središnje državno tijelo i za kibernetičku sigurnost.

Znakovi upozorenja

Znak upozorenja na špijuna može biti svaki pokušaj pristupa povjerljivim informacijama ili intelektualnom vlasništvu bez posebne potrebe, navodi Tapio Pyysalo, voditelj međunarodnih odnosa u Europskom centru izvrsnosti za borbu protiv hibridnih prijetnji, čiji je Hrvatska član od 2021. godine.

image

Tapio Pyysalo

foto Ratko Mavar
– Kibernetičku ​​špijunažu još je teže otkriti, ali također često zahtijeva društveni inženjering ili prikupljanje informacija od privatnih osoba kako bi se pristupilo sustavima s ograničenim pristupom. Stoga uvijek treba posumnjati u sve pokušaje dobivanja vaših osobnih podataka ili podataka za prijavu te je ponekad vaš klik na poveznicu sve što hakeri trebaju da bi dobili pristup osjetljivim informacijama – objašnjava Pyysalo, dodajući da u nekim slučajevima, na primjer u politici, špijuni nastoje postići dugoročan utjecaj.

Tako je i nedavni slučaj da je kineska vlada za špijunske aktivnosti novcem dugo potkupljivala Lindu Sun, bivšu zamjenicu guvernerke New Yorka, osvijetlio trend primanja novca i darova od stranih vlada među visokim javnim dužnosnicima u Sjedinjenim Američkim Državama.

Pyysalo pak navodi distinkciju između legalnih i ilegalnih špijuna.

Zakoniti špijuni, odnosno obavještajni službenici, djeluju pod službenim pokrićem nacionalnog veleposlanstva i zaštićeni su diplomatskim imunitetom. Priznaje ih vlada domaćina i službeno akreditira na isti način kao i diplomate. Ako su uključeni u ilegalne aktivnosti, mogu biti protjerani iz zemlje domaćina, ali ne i kazneno gonjeni zbog diplomatskog imuniteta. Ilegalni špijuni ili ‘ilegalci‘ rade bez službenog pokrića ili diplomatskog imuniteta. Obično djeluju pod lažnim identitetom i ako budu uhvaćeni, mogu biti kazneno gonjeni i obično se suočavaju s oštrim kaznama – objašnjava Pyysalo.

– Sve je veća zabrinutost zbog ruske špijunaže u Europi od ruske ilegalne invazije na Ukrajinu 2022., a u ožujku 2022. nekoliko je europskih zemalja odlučilo protjerati oko 600 ruskih diplomata zbog sumnje u špijuniranje. To je omelo ruske špijunske napore u Europi i sada se čini da Rusija pokušava unovačiti nacionalne ilegalne špijune kako bi popunili njezinu prorijeđenu mrežu legalnih špijuna. Raste zabrinutost zbog nedavnih sabotaža i kibernetičkih napada diljem Europe, a čak je i NATO raspravljao o mogućnostima odgovora na to ‘strožim ograničenjima ruskoga obavještajnog osoblja u cijelom Savezu‘, a EU razmatra opcije za ograničavanje kretanja legalnih špijuna unutar Unije – nadodaje Pyysalo.

Kao konkretne slučajeve navodi da je Njemačka 2023. optužila dvojicu njemačkih državljana za veleizdaju zbog špijuniranja za Rusiju, a u proljeće 2024. njemački dužnosnik u Europskom parlamentu uhićen je zbog sumnji na špijuniranje za Kinu.

– Radnje legalnih špijuna obično se ne objavljuju u javnosti, već ih se tiho izbacuje ako se uhvate u ilegalnim aktivnostima. Većina zemalja ima legalne špijune ili obavještajne službenike, ali najnovija zabrinutost barem u Europi povezana je s ruskim i kineskim špijunima – zaključuje Pyysalo.

‘Cola wars‘

U poslovnim je krugovima na svijetu možda jedan od najpoznatijih slučajeva špijunaže onaj iz 2006. godine između Coca-Cole i Pepsija, dvaju najvećih konkurenata u industriji bezalkoholnih pića, kada je Joya Williams, tadašnja pomoćnica voditelja marketinga u Coca-Coli, nezadovoljna radnim uvjetima pokušala dati povjerljive informacije Pepsiju u zamjenu za novac. Točnije, riječ je bila o tajnoj formuli novih pića koje je Coca-Cola tada razvijala (a bitno je naglasiti da je originalna formula prave Coca-Cole jedna od najčuvanijih tajni na svijetu pohranjena u trezoru vrijednom više milijuna dolara, čiji recept zna samo dvoje ljudi na Zemlji, koji zato nikada ne lete u istom zrakoplovu, u slučaju nesreće). Ukratko, Pepsi nije prihvatio takvu (nemoralnu) ponudu, nego je zadržao poslovni integritet te o špijunaži obavijestio Coca-Colu, svoga najvećeg rivala, pa čak i surađivao s FBI-em kako bi ulovili zaposlenicu te suučesnike u njihovu pokušaju prijevare.

Primjer je to koji jasno oslikava koliko industrijska špijunaža može potencijalno naštetiti poslovanju jedne kompanije, ne samo gubitkom prihoda ili tržišnog udjela, već i reputacije i povjerenja kupaca ili klijenata, a to je teže popraviti nego financijske gubitke. Jednako tako naglašava i važnost zaštite povjerljivih informacija te etičkog postupanja u konkurentskom okružju. Međutim, nijedno poslovanje niti sustav nisu imuni na strane obavještajne aktivnosti. Sve pametne države imaju špijunažu, upozorava Cvrtila.

– Neke države su temeljile ili još uvijek temelje na tome svoj gospodarski rast poput Japana, Sjeverne i Južne Koreje, KIne... Također, mnoge tvrtke više ulažu u špijuniranje, odnosno kopiranje tuđih proizvoda nego u razvoj svojih jer je to daleko isplativije. Na kraju treba reći da svega oko deset posto hrvatskih tvrtki imaju neki oblik poslovne (korporativne) sigurnosti, dok recimo 90 posto tvrtki iz SAD-a i 500 najvećih švicarskih tvrtki imaju odlično posloženu poslovnu sigurnost. Je li slučajno da su baš njihove tvrtke u vrhu svjetske ekonomije? – pita se Cvrtila.

Teško se identificiraju

Kako bi neka osoba u poslovnim krugovima, ili bilo kojoj drugoj situaciji, mogla primijetiti da razgovara s potencijalnim špijunom te koje su to izjave, pitanja ili obrasci ponašanja zbog kojih se može posumnjati da je osoba špijun, teško je reći.

– Prosječni čovjek niti ne razmišlja o špijunima, niti ima ikava znanja kako taj sustav funkcionira, tako da teško može identificirati stranog agenta koji uglavnom imaju odlično posložene legende. Zbog toga je i protuobavještajcima teško identificirati strane agente. Često se strani agenti legendiraju već od djetinjstva. Tu treba razlikovati agente od vrbovanja informatora koji rade za strane agente iz raznih motiva: domoljublje prema državi koja angažira, novac, razočaranost sa svojom državom ili tvrtkom, misleće pravo koje im pripada i slično... Kada su poslovni subjekti u pitanju onda se najčešće radi o industrijskoj (poslovnoj) špijunaži koja može biti inicirana od konkurentskih tvrtki ili stranih država. Najčešći način je zapravo ubacivanje svog čovjeka u funkciju zaposlenja u određenu tvrtku. Ako tvrtka nema posložene mehanizme zaštite svojih podataka, na primjer, ISO 27001 ili drugi adekvatan način zaštite podatka, postaje zapravo laka meta – objašnjava Cvrtila, uz napomenu da ako osoba i posumnja da se radi o stranom agentu, to svakako može anonimno prijaviti SOA-i.

Zbog svega navedenoga važno je zapamtiti da se zaštita od poslovne špijunaže odnosi i na podizanje svijesti te izgradnju kulture sigurnosti unutar organizacije. Generalni je savjet da preispitate sigurnosne prakse unutar svojih organizacija, podsjetite zaposlenike na čuvanje poslovnih tajni, a prema potrebi konzultirate stručnjake. Naposljetku, pazite što o svojoj tvrtki i poslovanju govorite i komu, uživo ili online, jer nikada ne znate tko sluša. Jedna poznata pjesma kaže da su špijuni ‘među nama‘ – i to je, nažalost, točno.

21. studeni 2024 14:30