Hoe bedrijfsspionage vroegtijdig te onderkennen

11 april 2019

De bedrijfsspionage bij ASML door Chinese oud-medewerkers toont de relevantie van het onderwerp (bedrijfs)spionage binnen de Nederlandse context. Maar hoe zou een organisatie dit vroegtijdig kunnen onderkennen?

Aanwezigheid vertrouwelijke gegevens

Risicoanalyses en risicobeoordelingen inventariseren welke informatie aanwezig is binnen een organisatie in de vorm van (hoogwaardige of dual-use) kennis of specifieke middelen, waar inlichtingendiensten – of nieuw startende concurrenten, zoals in het geval van ASML – interesse in kunnen hebben en die de organisatie als vertrouwelijke gegevens wil behandelen. Dit kunnen nieuwe technologieën zijn, maar bijvoorbeeld ook klantgegevens, marketingstrategieën, blauwdrukken voor nieuwe producten of interne informatie over kritische bedrijfsprocessen.

Waarom Chinese interesse?

De AIVD waarschuwt al enkele jaren voor Chinese interesse in hoogwaardige technologieën ter ondersteuning van de zich snel ontwikkelende Chinese economie. China spioneert globaal op drie manieren: (1) cyber-spionage, door middel van digitale middelen, (2) ‘traditionele’ spionage, door middel van rekrutering binnen een organisatie door een professionele inlichtingen officier, en (3) mozaïek-benadering, het op grootschalige wijze verzamelen van kleine stukjes informatie door middel van het debriefen van legitieme reizigers.

De voorzorgsmaatregelen betreffen niet alleen technische, maar vooral ook mensgerichte, organisatorische maatregelen

Voorzorgsmaatregelen

Organisaties kunnen voorzorgsmaatregelen nemen tegen (bedrijfs-) spionage. De voorzorgsmaatregelen betreffen niet alleen technische, maar vooral ook mensgerichte, organisatorische maatregelen, zoals ook beschreven in het Hoffmann White Paper ‘Spionage bij of via onderzoeksinstellingen’:

  • De meest basale maatregel tegen spionage is het voorkomen dat ongeautoriseerden toegang krijgen tot vertrouwelijke gegevens, het need-to-know-principe. Dit betreft niet alleen het ontzeggen van fysieke toegang, maar ook digitale toegang én bewustwording van medewerkers dat zij niet onbewust vertrouwelijke informatie delen.
  • Organisaties dienen individuen die wel toegang tot vertrouwelijke gegevens hebben te verifiëren. Door middel van screeningen is inzicht te verkrijgen in de achtergrond van individuen, op basis waarvan organisaties kunnen bepalen of die individuen een bedreiging vormen.
  • Spionage-specifieke controles op het meenemen van informatie of middelen, of achterlaten van gegevensdragers die gegevens kunnen verzamelen, kunnen spionage vroegtijdig onderkennen.

Gevolgen spionage te beperken

Spionage door inlichtingendiensten of concurrenten is niet te voorkomen, maar de schadelijke gevolgen van spionage zijn wél te beperken. Dit start met het inventariseren van aanwezige vertrouwelijke gegevens, gevolgd door het nemen van juiste, mensgerichte voorzorgsmaatregelen.