Jak zaplanować biznesową podróż zagraniczną i na co uważać
Globalizacja świata, w tym także w obszarze gospodarczym, wymusza konieczność utrzymywania stałych kontaktów personalnych z partnerami zagranicznymi, udziału w targach, wystawach, a niejednokrotnie tworzenia zagranicznych przedstawicielstw lub biur danych firm. Proces ten dotyczy nie tylko dużych korporacji, firm ogólnoświatowych; coraz częściej staje się udziałem również małych i średnich przedsiębiorstw, które w zdobywaniu nowych, nieraz egzotycznych rynków upatrują swoją szansę na rozwój. W tym względzie panuje przekonanie, że kontakty personalne znaczą praktycznie tyle samo, co jakość oferowanych produktów.
Wszystkie powyższe działania stają się przyczyną konieczności odbywania częstych biznesowych podróży do różnych regionów świata, nie zawsze uważanych za przyjazne i bezpieczne. Niestety podróże zagraniczne zdecydowanie zwiększają ryzyko, że dana firma padnie ofiarą kradzieży posiadanej technologii (know-how), poufnych danych stanowiących jej wartość niematerialną. Z obserwacji czynionych przez międzynarodowe instytucje, jak również służby zajmujące się bezpieczeństwem własnego potencjału ekonomicznego wynika, że mało kto jest za granicą tak dokładnie i intensywnie obserwowany, jak reprezentanci świata biznesu. Nie tylko konkurencja – która często próbuje wykorzystać okres pewnego rozluźnienia biznesmena, możliwość łatwego nawiązania z nim kontaktu (wiele nadarzających się naturalnych sposobności), niepewność biznesmena w nowym, nieznanym środowisku (możliwość zaproponowania pomocy) oraz fakt, że przewożone poufne dane firmowe nie są w większości właściwie chronione – lecz także obce służby specjalne, dla których szpiegostwo gospodarcze należy do istotnego obszaru działalności zleconej przez własne władze, uznają podróżujących biznesmenów (przedsiębiorców, menadżerów, inżynierów) za interesujący cel swoich działań. W realizowanych przedsięwzięciach wobec tych osób, obok personalnego „sondowania” w ramach „inżynierii społecznej” chodzi też często o uzyskanie dostępu do poufnych danych o know-how, które biznesmeni zabierają ze sobą w podróż w postaci danych elektronicznych lub w innej formie.
Liczba państw, które zaliczane są do tzw. obszaru wysokiego ryzyka w dziedzinie szpiegostwa gospodarczego stale wzrasta. Należy podkreślić, iż nawet niektóre państwa zachodnie są obecnie postrzegane jako nie całkowicie bezpieczne.
Generalny wniosek, jaki można sformułować, brzmi: „Napastnik” jest coraz bardziej profesjonalny i groźny. Jeżeli chcemy chronić własne interesy, posiadane know-how, to również musimy dążyć do profesjonalizacji własnych działań w obszarze zabezpieczenia biznesowych podróży zagranicznych. Dlatego też kwestia należytego zabezpieczenia zagranicznej aktywności przedstawicieli danej firmy winna stanowić istotny punkt w realizowanej polityce bezpieczeństwa. Osiągnięcie odpowiedniego stopnia bezpieczeństwa w tym obszarze wymaga wprawdzie pewnych nakładów finansowych, ale niekoniecznie oznacza, że koszty muszą być znaczące.
Rozważając kwestię, czy podjąć takie działania, w pierwszym rzędzie należy się zastanowić i uzmysłowić sobie, jakie możemy ponieść straty, gdy dopuścimy w trakcie podróży do sytuacji, w wyniku której nasze know-how, tajemnice naszej firmy zostaną przejęte przez konkurencję lub służby działające na rzecz własnych przedsiębiorstw? Wówczas rachunek zysków i strat wskaże nam, na jakim poziomie powinniśmy wdrożyć mechanizmy zabezpieczające.
Kompleksowe działania w zakresie bezpieczeństwa biznesowych podróży zagranicznych nie powinny rozpoczynać się w chwili dotarcia do danego kraju – celu podróży – lecz winny uwzględniać również szereg działań przygotowawczych, które są niezbędne, a jednocześnie mogą być przeprowadzone w spokoju, bez presji czasowej. Poprzez staranne przygotowanie, uwzględniające stosowne zalecenia, już na samym początku możemy wyeliminować lub zminimalizować wiele zagrożeń, a przez to uzyskać przewagę nad potencjalnym przeciwnikiem. Musimy pamiętać, że sytuacja prawna w niektórych krajach stanowiących cel naszej podróży może się znacząco różnić od tej, do jakiej jesteśmy przyzwyczajeni we własnym kraju. Nieznajomość tych uwarunkowań może doprowadzić do powstania poważnych sytuacji kryzysowych zagrażających naszemu bezpieczeństwu.
Ponadto winniśmy zawsze mieć na względzie, że służby specjalne państwa, do którego się udajemy, działają na własnym terenie i dysponują niejednokrotnie rozległymi uprawnieniami oraz wsparciem swoich urzędów. Uprawnienia te często wykraczają poza nasze rozumowanie zasad prawa, a pozwalają tym organom na:
-totalny nadzór internetu, sieci telekomunikacyjnych oraz poczty;
-skryte, ukierunkowane na konkretną osobę, przeszukiwanie pokoi hotelowych lub bagażu;
-manipulowanie w urządzeniach mobilnych i nośnikach danych;
-kreowanie sytuacji kompromitujących, które można następnie wykorzystać do szantażu;
-zastosowanie szerokiego wachlarza represji państwowych.
Sfingowany wypadek drogowy, sytuacja wskazująca na dokonanie kradzieży w sklepie (podrzucenie produktu), kontakt z opozycją mogą stanowić podstawę do działań szantażujących i wymuszenia w konsekwencji podjęcia współpracy przeciw macierzystej firmie.
Poniżej przedstawiam propozycje przedsięwzięć oraz zaleceń, jakie winny być brane pod uwagę w trakcie organizacji podróży zagranicznych.
Przygotowania przed podróżą
W ramach czynności przygotowawczych do podróży biznesowej należy uwzględnić następujące zalecenia:
1. Uzyskać informacje na temat kraju, do którego się udajemy, obowiązujących w nim przepisów prawa – w tym przepisów wizowych – oraz zwyczajów, zasad podróżowania – w myśl zasady: „nowe kraje, nowe zwyczaje”. Informacje takie można uzyskać w MSZ, w konsulacie kraju, do którego się udajemy lub na tematycznych portalach internetowych.
2. Uzyskać informacje na temat zagrożeń i stanu bezpieczeństwa w kraju docelowym – wskazane jest opracowanie tzw. mapy zagrożeń, która winna być z czasem rozbudowywana m.in. o własne spostrzeżenia, spostrzeżenia innych pracowników naszej firmy, jak też informacje uzyskane od zaprzyjaźnionych przedstawicieli innych firm.
3. Zapoznać się z przepisami dotyczącymi wwożenia i wywożenia różnych przedmiotów lub pieniędzy, obowiązującymi w kraju docelowym. Należy pamiętać, że niejednokrotnie rzeczy zakupione jako pamiątki, mogą być objęte zakazem wywozu, co w konsekwencji może doprowadzić przy wyjeździe do sytuacji zagrażającej naszemu bezpieczeństwu. Szczególnie ważne jest ustalenie dopuszczalnego limitu wwożonej gotówki oraz kwestii deklaracji celnych w tym obszarze, by nie spotkać się z problemem w trakcie wyjazdu z danego kraju.
4. Zapoznać się z ewentualnymi ograniczeniami w zakresie wykorzystywania sieci internet, telefonów komórkowych, oprogramowania kryptograficznego. Należy mieć na uwadze, że w niektórych państwach występuje szczególnie rygorystyczne podejście do kwestii szyfrowania informacji i transmisji i może być podstawą represji i sankcji.
5. Przeprowadzić rozpoznanie partnera biznesowego, do którego się udajemy, pod kątem jego wiarygodności, poprawności zaproponowanych relacji oraz wagi ustalonych rozmów – w analizie tego zagadnienia należy bezwzględnie uwzględnić, jakich informacji żąda od nas partner i czy te żądania są zasadne w obecnym stadium kontaktów?
6. Przygotować wykaz adresów i telefonów polskich przedstawicielstw dyplomatycznych (ambasada, konsulat) w kraju docelowym – dane te będą szczególnie potrzebne i pomocne w chwili zaistnienia wypadku lub sytuacji zagrażającej naszemu bezpieczeństwu.
7. Sprawdzić ważność posiadanej wizy (jeżeli jest wymagana), a szczególnie datę jej wygaśnięcia. W przypadku podróży obejmującej kraje tranzytowe niezbędne jest sprawdzenie tych samych danych w odniesieniu do tych krajów.
8. W przypadku ubiegania się o wizę do kraju stanowiącego cel naszej podróży należy mieć na uwadze, by we wniosku wizowym nie umieszczać żadnych danych mogących wprowadzać w błąd służby tego kraju – pamiętajmy, że nasze dane podlegają sprawdzeniu, w zależności od kraju przez różne służby, w tym także specjalne.
9. Rozważyć korzyści oraz ryzyko skorzystania z usług oferowanych przez zagraniczne firmy zajmujące się kwestiami bezpieczeństwa osobowego (tzw. ochrona VIP) oraz organizacją pobytów biznesmenów w danym kraju. Tego typu firmy działające w danym kraju – nawet, jeżeli same są podmiotami zarejestrowanymi w innym kraju – zazwyczaj są monitorowane przez miejscowe służby specjalne. Przeważnie do konkretnych działań zatrudniają miejscowy personel, który tym bardziej może współpracować z ww. służbami.
10. Przygotować mobilny sprzęt IT, który będzie wykorzystywany w trakcie podróży:
- laptop – najlepszym rozwiązaniem jest posiadanie przenośnego komputera z minimalną konfiguracją; zainstalowane wyłącznie aplikacji, które będą niezbędne, w tym koniecznie skuteczne oprogramowanie antywirusowe. Sprzęt powinien być zabezpieczony hasłem, nie tylko systemowym, lecz również w BIOS. W przypadku przechowywania na wewnętrznym dysku danych, np. prezentacji, dokumentacji lub innych, winny być one stosownie zabezpieczone – zalecanym rozwiązaniem jest zainstalowanie ukrytych, szyfrowanych partycji, przy czym należy uwzględnić uwarunkowania danego kraju w tym zakresie;
- telefon komórkowy – dokonać przywrócenia ustawień fabrycznych, karta pamięci, jak i pamięć wewnętrzna telefonu nie powinna zawierać żadnych plików, a tym bardziej poufnych informacji firmowych w postaci niezabezpieczonej. W pamięci telefonu, jak i na karcie SIM powinny znajdować się wyłącznie niezbędne numery kontaktowe, np.: numer do ambasady, konsulatu, do biura własnej firmy, do osoby, która reprezentuje gospodarza w kraju docelowym. Niewskazane jest, by w książce kontaktów w telefonie znajdowały się dane naszych partnerów, osób prywatnych, personelu firmy macierzystej lub tym podobne;
- przenośne nośniki pamięci – USB, karty SD, inne – zapewnić zabezpieczenie składowanych na nich danych poprzez stosowne oprogramowanie – uwzględnić ewentualne zakazy w kraju docelowym.
Zalecanym rozwiązaniem w tym zakresie jest wydzielenie w ramach firmy jednego – lub stosowną, niezbędną ilość – zestawu mobilnego, który jest wykorzystywany wyłącznie w trakcie podróży zagranicznych. Sprzęt ten nie powinien być wykorzystywany w bieżącej pracy w ramach firmy, a tym bardziej do przetwarzania danych o szczególnym znaczeniu.
11. Zapewnić bezpieczny kanał łączności z macierzystą firmą pozwalający na transmisję danych, np. poprzez połączenia tunelowe VPN.
12. Zabezpieczyć poufne dane firmowe, które mają być zabrane w podróż. W przypadku danych w postaci plików wykorzystać rozwiązania kryptograficzne, o ile zezwalają na to przepisy kraju docelowego. Inną metodą może być ukrycie poufnych danych w plikach ogólnych (np. zdjęcia, inne dokumenty, pliki muzyczne) poprzez zastosowanie steganografii.
W przypadku obowiązywania w danym kraju zakazu używania oprogramowania szyfrującego konieczne jest zastosowanie innych rozwiązań, które pozwolą na zapewnienie bezpieczeństwa danych. Jednym z nich może być użycie zabezpieczonego zbioru danych składowanego na zewnętrznym serwerze (poza granicami danego kraju) i dokonywanie tzw. szyfrowania i rozszyfrowania „w locie”.
Informacje w postaci tradycyjnych dokumentów należy zabezpieczyć mechanicznie. Wskazane jest zastosowanie takiego nośnika (papieru), który uniemożliwia wykonanie kopii dokumentu.
W trakcie podróży
Podczas pobytu w kraju docelowym należy mieć na uwadze następujące zalecenia, które mogą uchronić przed ujawnieniem tajemnic firmy lub znalezieniem się w sytuacji zagrażającej bezpieczeństwu osobowemu:
1. Należy unikać sytuacji kompromitujących, które mogą stać się podstawą szantażu, jak np. nielegalna wymiana walut lub kontakty seksualne.
2. Nie podejmować rozmów z osobami nieznanymi o celu swojej podróży oraz pracodawcy, jak i firmie – zachować duży sceptycyzm przy wszelkich próbach nawiązywania z nami niezobowiązującego kontaktu np. na lotnisku, w restauracji, w barze hotelowym. Najczęściej w tych miejscach czekają na nas „ciekawscy ludzie”.
3. Wykazywać dużą ostrożność i powściągliwość w trakcie kontaktów i spotkań prywatnych, a szczególnie powstrzymywać się od poruszania w rozmowach tematów politycznych.
4. Zachować powściągliwość w kontaktach z obsługą hotelu, przewodnikiem, tłumaczem – osoby obsługujące obcokrajowców zazwyczaj współpracują z miejscowymi służbami specjalnymi.
5. Wykazywać nieufność przy próbach intensywnych i nietypowych wypytywań na temat własnej osoby oraz spraw firmowych, szczególnie czynionych przez osoby obce, jak też przez personel firmy, którą odwiedzamy.
6. Nigdy nie pozostawiać bez nadzoru poufnych dokumentów firmowych, nośników danych zawierających informacje firmowe, komputera oraz telefonu komórkowego. Pokój hotelowy, jak też sejf hotelowy, nie można uznawać za miejsce bezpieczne. Należy też pamiętać, że pokoje hotelowe znajdują się zazwyczaj pod kontrolą miejscowych służb (podgląd wideo, podsłuch, podsłuch telefonu).
7. Dokumenty, które nie będą już potrzebne, należy dokładnie i skutecznie zniszczyć.
8. Nie wykorzystywać w bieżącej pracy, a tym bardziej po powrocie do kraju, w ramach działalności służbowej, podarowanych nośników danych (USB, SD) lub innych urządzeń mobilnych (telefony komórkowe). Urządzenia takie mogą zawierać szkodliwe, spreparowane oprogramowanie, które po samoistnej aktywacji na naszym sprzęcie może pozwolić na zdalny dostęp do poufnych danych firmowych lub stanowić urządzenie podsłuchowe. Nie należy również wykorzystywać nośników pamięci zakupionych na miejscu, szczególnie w sklepie hotelowym. W ramach wykorzystywania mobilnego sprzętu zawsze należy kierować się zasadą, że pracuje się wyłącznie na własnych, wcześniej przygotowanych i sprawdzonych urządzeniach.
9. Do komunikacji z macierzystą firmą należy wykorzystywać wyłącznie wcześniej przygotowane, zabezpieczone kanały transmisji danych.
10. Należy unikać korzystania z lokalnych sieci WLAN.
11. W przypadku konieczności korzystania z sieci internet w trakcie podróży, logowanie realizować z wykorzystaniem kodów jednorazowych.
12. Należy być szczególnie ostrożnym w korzystaniu w trakcie podróży z telefonów komórkowych, szczególnie do rozmów z własną firmą, w trakcie których poruszane są informacje o istotnym znaczeniu.
13. Nie wysyłać ani też nie odbierać żadnych ważnych maili poprzez urządzenia mobilne, które nie zostały zabezpieczone. Szczególnym błędem jest odczytywanie poczty firmowej w trakcie podróży służbowej poprzez niezabezpieczone łącza, a niedopuszczalny już jest przegląd poczty firmowej na obcym sprzęcie, np. w hotelowym punkcie internetowym lub w siedzibie firmy, którą odwiedzamy.
14. W przypadku utraty poufnych dokumentów, nośników z danymi firmowymi, sprzętu IT, jak też stwierdzenia prób wgrania na nasz sprzęt szkodliwego oprogramowania, należy natychmiast poinformować macierzystą firmę w celu podjęcia stosownych działań zapobiegawczych, minimalizujących ewentualne straty.
15. Ewentualna prośba o wykonanie kopii prezentacji z naszego laptopa na obcy dysk USB winna wzbudzić sygnał ostrzegawczy. W taki właśnie sposób konkurencja bez żadnych dodatkowych działań może otrzymać dostęp do zasobów naszego komputera, co w przypadku, gdy mamy tam poufne dane firmowe może oznaczać znaczące straty. Jest to najprostsza metoda – często stosowana w szpiegostwie gospodarczym – wprowadzenia trojana do komputera konkurencji, a jeżeli „szczęście dopisze”, także do jego sieci.
16. W sytuacjach noszących znamiona zagrożenia należy zwrócić się do własnej ambasady lub konsulatu.
Czynności po zakończeniu podróży
Po powrocie z podróży powinna nastąpić analiza jej przebiegu i odnotowanie spostrzeżeń w obszarze bezpieczeństwa. Wymaga to wprawdzie trochę czasu, jednak może być istotnym elementem dla zapewnienia bezpieczeństwa kolejnych wyjazdów własnych lub innych pracowników firmy. W ramach analizy zdarzeń powinno uwzględnić się m.in. następujące pytania:
1. Czy w trakcie wjazdy lub wyjazdu z kraju docelowego wystąpiły jakieś szczególne sytuacje, np. szczegółowa kontrola bagażu włącznie z wyjmowaniem wszystkich rzeczy, zabieraniem do innego pomieszczenia – do szczegółowej kontroli – naszych urządzeń mobilnych, prześwietlanie bagażu, intensywne wypytywanie przez pracowników imigracyjnych lub służb celnych?
2. Czy w ramach kontaktów z przedstawicielami partnera biznesowego lub kontaktów towarzyskich występowało ciągłe zainteresowanie obszarem prowadzonej działalności zawodowej, które wykraczało poza normalny zakres?
3. Czy w trakcie pobytu miały miejsce incydenty, które powodowałyby powstanie sytuacji pozwalającej na szantaż lub też, czy doszło do szantażu?
4. Czy wystąpiły próby podjęcia kontaktu z niejasnego celu?
5. Czy wystąpiła sytuacja wskazująca na próbę zwerbowania do działalności szpiegowskiej?
6. Czy w trakcie pobytu doszło do zdarzenia kradzieży dokumentów firmowych lub zaistniała sytuacja wskazująca na manipulację w sprzęcie mobilnym (telefon, laptop)?
7. Czy stwierdzono jakieś inne nieprawidłowości, trudne do wyjaśnienia sytuacje?
Ponadto w odniesieniu do sprzętu IT, który nam towarzyszył w trakcie podróży, bezwzględnie należy przeprowadzić stosowne sprawdzenia, w tym na obecność złośliwego oprogramowania lub zainstalowania mikrourządzeń pozwalających na zdalną transmisję.
Wyniki powyższych działań powinny być przedstawione innym pracownikom firmy, którzy również realizują podróże służbowe, w tym szczególnie osobom, które odwiedzają kraj będący niedawnym celem naszej podróży.
autorzy:
Mec. Robert Nogacki – Kancelaria Prawna Skarbiec
Dr Marek Ciecierski – Profesjonalny Wywiad Gospodarczy
Dołącz do dyskusji: Jak zaplanować biznesową podróż zagraniczną i na co uważać