Bescherming van intellectuele eigendom tegen diefstal van intellectuele eigendom

Het stelen van intellectuele eigendom (IP) voor winst of macht is nauwelijks een nieuw fenomeen. Deze criminele praktijk is zo oud als het concept van intellectuele eigendom zelf. In de jaren 1700 vestigde het Britse recht voor het eerst het idee dat creaties van de geest (zeg, uitvindingen of geschriften) waardevolle goederen zijn die wettelijke bescherming verdienen.[1] Sindsdien hebben regeringen weliswaar wetgeving ingevoerd en voortdurend bijgewerkt om verschillende soorten intellectuele eigendom (zoals octrooien of auteursrechten) te beschermen, maar digitale technologie heeft het ook gemakkelijker gemaakt om zich intellectuele eigendom toe te eigenen.

In het digitale tijdperk is IP een belangrijk doelwit voor cybercriminelen - doorgaans lucratiever dan de relatief onbeduidende diefstal van individuele creditcardnummers of persoonlijke informatie. Ondernemende cyberdieven en criminele bendes kunnen bedrijfs-IP zoals gepatenteerde innovaties of handelsgeheimen verkopen aan concurrenten van het bedrijf. In veel gevallen hebben onderzoekers IP-criminaliteit getraceerd naar door de staat gesponsorde groepen die banden hebben met naties die hun eigen industrieën een voorsprong willen geven of op zoek zijn naar informatie om te helpen bij cyberoorlogsvoering.[2]

Organisaties kunnen stappen ondernemen om deze cyberdieven te blokkeren. Zij beschikken onder meer over e-mailbeveiligings- en gegevensverliespreventietools, zoals van Mimecast, die de illegale verplaatsing van het intellectuele eigendom van uw organisatie automatisch opsporen en tegenhouden.

Diefstal van intellectuele eigendom kost honderden miljarden per jaar

De Commission on the theft of American Intellectual Property (IP Commission) schatte dat diefstal van intellectuele eigendom de economie van de Verenigde Staten jaarlijks ongeveer 600 miljard dollar kost.[3] Een meerjarige cyberoperatie onder leiding van een Chinese staatsactor heeft volgens een rapport uit 2022 naar schatting biljoenen aan intellectuele eigendom gestolen (waaronder gevoelige documenten, blauwdrukken, schema's, formules en productiegerelateerde gegevens) van 30 multinationals die actief zijn in de energie-, productie- en farmaceutische sector.[4] In een recent wereldwijd onderzoek rangschikten leiders op C-niveau de impact van diefstal van intellectueel eigendom als tweede, na de verstoring van de bedrijfsvoering door cyberaanvallen.[5]

Maar terwijl organisaties zich steeds meer bewust zijn van de risico's en kosten van diefstal van klanten of persoonsgegevens, zien ze vaak over het hoofd welke ravage diefstal van intellectuele eigendom kan aanrichten. Er is minder cyberregelgeving en minder verplichte rapportage rond diefstal van intellectuele eigendom, waardoor veel organisaties mogelijk niet dezelfde moeite doen om hun meest waardevolle bezit te beschermen, waardoor intellectuele eigendom kwetsbaarder is dan bijvoorbeeld persoonlijke en financiële informatie.[6]

Soorten intellectuele eigendom

IE verwijst naar een brede waaier van activa die waarde creëren voor een organisatie, van logo's en klantenlijsten tot productblauwdrukken en go-to-market-strategieën. Deze zogenaamde immateriële activa (in tegenstelling tot materiële activa zoals goederen, uitrusting of liquide middelen) maken steeds meer het grootste deel uit van de totale waarde van vele organisaties. De immateriële activa vertegenwoordigen 90% van de totale activa van de S&P Index.[7]

Er zijn vier basiscategorieën van IP:[8]

• Auteursrechtelijk beschermd materiaal: Boeken, kunst en software kunnen auteursrechtelijk beschermd zijn door personen of organisaties. Auteursrechten beschermen het gebruik ervan door anderen zonder uitdrukkelijke toestemming.
• Gepatenteerd materiaal: Uitvinders krijgen octrooien om hun innovaties te beschermen, zodat anderen 20 jaar lang geen profijt kunnen trekken van hun unieke ideeën.
• Handelsmerken: Organisaties kunnen handelsmerkbescherming krijgen voor woorden, zinnen, symbolen, ontwerpen, of een combinatie daarvan, waarmee zij hun merken van producten en diensten identificeren en onderscheiden.
• Handelsgeheimen: Deze brede categorie verwijst naar vertrouwelijke informatie die organisaties een concurrentievoordeel geeft. Dit kan een productiesysteem zijn, een strategie, of zelfs een klantenlijst.

Methoden van diefstal van intellectuele eigendom

Ooit moesten zogenaamde IP-dieven een fysiek artefact (bijvoorbeeld een blauwdruk of een klantenlijst) zien te bemachtigen om hun snode plannen te verwezenlijken. Door de digitalisering is IP-piraterij een grotendeels virtuele onderneming geworden, die veel goedkoper en sneller kan worden uitgevoerd. Alle digitale IP loopt gevaar. En aangezien organisaties vaak op grote schaal samenwerken met derden, is de kwetsbaarheid nog groter. Auteursrechtelijk beschermd materiaal en handelsgeheimen[9] zijn de soorten intellectuele eigendom die het meest waarschijnlijk het doelwit van cybercriminaliteit zullen worden.

Digitale piraterij van auteursrechtelijk beschermde films, muziek en meer nam een paar decennia geleden een hoge vlucht bij gebrek aan echte regelgeving. Maar zelfs in een gereguleerde omgeving heeft de digitale vooruitgang op het gebied van streaming en het delen van bestanden de piraterij nog aangewakkerd.

Buiten de media-industrie is de diefstal van handelsgeheimen het meest zorgwekkend. Het gevaar neemt exponentieel toe zodra één persoon toegang heeft tot, laten we zeggen, een onbeschermd handelsgeheim. In veel gevallen vragen organisaties die hun waardevolle IP met buitenstaanders moeten delen, aan derden om geheimhoudingsovereenkomsten te ondertekenen als manier om de gevoelige gegevens te beschermen. De overeenkomsten bieden echter weinig bescherming tegen de dreiging dat insiders intellectuele eigendom stelen door gebruik te maken van hun specifieke kennis van systemen en toegang tot waardevolle intellectuele eigendom.

Volgens het rapport State of Email Security 2022 van Mimecast zegt 93% van de respondenten dat hun organisaties in de afgelopen 12 maanden te maken hebben gehad met interne bedreigingen of gegevenslekken die zijn veroorzaakt door gecompromitteerde, onzorgvuldige of nalatige werknemers, en bijna de helft (46%) zegt dat de bedreigingen of lekken zijn toegenomen. Het verband tussen diefstal van intellectuele eigendom en de dreiging van insiders kwam in het nieuws toen een ingenieur van Alphabet werd veroordeeld tot 18 maanden gevangenisstraf wegens de vermeende diefstal van bedrijfsgeheimen van zijn voormalige werkgever.[10]

Dit soort crimineel misbruik van voorrechten is een primaire methode van diefstal van intellectuele eigendom. IP kan echter ook worden gestolen met behulp van andere cyberaanvalsmethoden, zoals het plaatsen van malware die ontworpen is om gegevens uit computergeheugens te lezen en te exfiltreren. Het kan ook worden teruggevoerd op menselijke fouten.

Kroonjuwelen beschermen tegen IP-diefstal

Sommige grote organisaties beschikken over technologie, personeel en processen die specifiek gericht zijn op de bescherming van intellectuele eigendom, met "zero trust"-beveiligingsarchitecturen[kl1] . Maar de gemiddelde organisatie beschikt wellicht niet over de nodige middelen om deze waardevolle activa te beschermen. IP kwetsbaar maken voor diefstal is een aanzienlijk risico, maar wel een risico dat elke organisatie kan beperken. Organisaties kunnen de volgende stappen ondernemen om hun IE te identificeren, te classificeren en te beschermen:

• Inventariseer uw IP. Het klinkt eenvoudig, maar veel organisaties hebben niet de tijd genomen om te bepalen welke intellectuele eigendom hun concurrentievoordeel versterkt en het doelwit kan zijn van diefstal van intellectuele eigendom. Het identificeren van deze kroonjuwelen is een kritieke eerste stap.
• Lokaliseer uw IP. Zodra u deze activa hebt geïdentificeerd, is het tijd om uit te zoeken waar ze zich precies bevinden. Hint: ze kunnen zich op meer dan één plaats bevinden: in lokale datacenters, in cloudapplicaties, op de persoonlijke apparaten van werknemers en in systemen van derden, om maar een voorbeeld te noemen. E-mailsystemen zijn meestal een schatkamer van bedrijfsinformatie. Pas na het in kaart brengen van de intellectuele eigendom kan een organisatie de beste beleidsmaatregelen, procedures en technologieën invoeren om diefstal van intellectuele eigendom te voorkomen.
• Controleer IP toegang. Veel interne en externe personen kunnen toegang hebben tot uw IP. Door na te gaan wie toegang heeft tot gevoelige IP en die toegang te beperken op een "need-to-have"-basis, kan het risico op diefstal van IP aanzienlijk worden verminderd. Vergeet niet om werknemers en partners die niet langer voor de organisatie werken mee te rekenen, aangezien deze voormalige insiders als wapen kunnen worden gebruikt in een IP-gerichte cyberaanval. U kunt ook IP-beheersoftware overwegen om de IP-toegang te controleren.
• Opleiden en trainen van werknemers. Vervolgens is het belangrijk ervoor te zorgen dat alle werknemers en externe partners of contractanten begrijpen welke IE moet worden beschermd en wat hun rol daarbij is.
• Verdedig je tegen de dreiging van insiders. Of ze nu met kwade opzet of onwetend zijn, werknemers kunnen een primaire vector zijn voor diefstal van intellectuele eigendom. Het beveiligen van digitale communicatiekanalen - met name e-mails - moet een topprioriteit zijn. Organisaties kunnen investeren in een oplossing voor het beheer van insiderbedreigingen. Toonaangevende e-mailbeveiligingssoftware kan de dreiging van IP-diefstal in het e-mailnetwerk voortdurend bewaken, detecteren en verhelpen, ook als de e-mail afkomstig is van binnen de organisatie. De juiste tools kunnen e-mails verwijderen die een insiderbedreiging vormen of risicodragende gegevens zoals IP-adressen bevatten, en controleren op malware.
• Een robuuste cyberbeveiliging tot stand brengen en handhaven. Organisaties die hun organisatie willen beschermen tegen cyberaanvallen, waaronder die gericht op diefstal van intellectuele eigendom, zullen de nieuwste tools en processen op het gebied van cyberbeveiliging en informatie over bedreigingen implementeren. Organisaties moeten voortdurend controleren of hun beveiligingsprotocollen hiaten vertonen om ervoor te zorgen dat aanvallers wegblijven.

Voor organisaties die ontdekken dat zij reeds het slachtoffer zijn geworden van IP-diefstal, is snelheid van essentieel belang. Zoals de IP-commissie heeft gewaarschuwd, kan de schade van gestolen IP snel oplopen.

De kern van de zaak

Hoewel grote inbreuken op consumentengegevens vaak de voorpagina's halen, kan het stillere misdrijf van diefstal van intellectuele eigendom nog schadelijker gevolgen hebben voor organisaties. Om verlies van intellectuele eigendom te voorkomen, moeten organisaties actie ondernemen om waardevolle intellectuele eigendom te identificeren en te beschermen, de bescherming tegen cybercriminaliteit versterken, de dreiging van insiders aanpakken en werknemers opleiden en trainen. Lees verder op hoe de oplossingen van Mimecast voor het beheer van insiderbedreigingen kunnen helpen.

[1] "Wat is diefstal van intellectuele eigendom & Waarom het belangrijk is," Thales Group

[2] "Kijken naar IP-diefstal als een cybercrimineel aanbod," OODA Loop

[3] "Rep. Buck Introduceert Bill to Stop China's IP Theft," Ken Buck

[4] "Chinese hackers namen voor triljoenen aan intellectuele eigendom van ongeveer 30 multinationals," CBS News

[5] "Zicht krijgen op complexiteit: Hoe cyber de toekomst vormgeeft," Deloitte

[6] "Cybercriminelen op jacht naar IP-rijkdom," Aon

[7] "The Soaring Value of Intangible Assets in the S&P 500," Visual Capitalist

[8] "Intellectuele Diefstal: Alles wat u moet weten," UpCounsel

[9] "Trade Secret: Everything You Need to Know," UpCounsel

[10] "Ster Technologist Who Crossed Google Sentenced to 18 Months in Prison," New York Times