לפלרטט, לצרוח ולבכות: כל האמצעים כשרים בעולם הריגול התעשייתי

הלקוחה הנודניקית שמתעקשת לשאול הרבה שאלות ולקבל מידע שלא אמורים למסור לה אינה בהכרח תמימה: ייתכן שמדובר במרגלת, או בשליחה של חברה שמחפשת פרצות שיאפשרו ריגול תעשייתי בחברה שלכם ■ תתפלאו בכמה מהמקרים זה מצליח

עדי הגין
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
עדי הגין

 שעת אחר הצהריים מאוחרת, חברת תקשורת גדולה. חצי מהעובדים הלכו הביתה, ואלה שנשארו כבר מחשבים לאחור את סוף היום. טכנאית גלאי עשן מגיעה אל המאבטח בכניסה ומראה לו את שמה ואת תג החברה שבה היא עובדת. הוא לא ממהר להתרשם מהתואר או מחלופת המכתבים בין המנכ"לית לקב"ט שלו, ומבקש להתקשר ולוודא כי אכן יש לה אישור. הקב"ט מאשר והיא בפנים, לבדה, ללא כל ליווי של גורם מטעם החברה, עם אישור כניסה לכל האזורים במבנה - גם אלה שמיועדים למורשי כניסה בלבד.

היא מסתובבת בבניין. בהתחלה היא בודקת את גלאי העשן ככיסוי, אבל כשאיש לא מתעניין או שואל למעשיה, היא מוותרת על הכיסוי וממשיכה לסייר באין מפריע, תוך שהיא מצלמת במצלמה נסתרת מסמכים סודיים שנותרו חשופים בפח הגריסה, במדפסת או אפילו על לוח השעם שמעל לראשו של אחד העובדים. היא אינה מסתפקת בכך, וכעבור שעה וחצי מוציאה מצלמת וידאו ומטיילת עמה עוד כשעה, עד שהיא יוצאת מהחברה עם המידע הסודי שאספה.

התרחיש הזה לא נלקח מסרט הוליוודי עתיר תקציב. למזלה של אותה חברה, הוא גם לא נלקח מיומנו של חוקר פרטי שנשלח לרגל אחריה מטעם המתחרים. חברת דטה סק, מקבוצת SQlink, שהוקמה ב-2000 נותנת ללקוחותיה את השירות של "הדמיית אויב" ומייעצת בתחומי אבטחת מידע, גם בשיטות שמזכירות את סרטי "משימה בלתי אפשרית". החברה פועלת בשלוש מחלקות עיקריות: טכנולוגיות אבטחת מידע, ליווי לקראת עמידה בתקנים, ברגולציות או בחוקים, ומתודולוגיות אבטחת מידע.

טליה זמיר, סמנכ"לית מתודולוגית בדטה סק, היתה אותה טכנאית גלאי עשן. "נכנסתי לחברה במטרה למצוא מידע. מילאתי את תיק הגב בכלי עבודה כדי שזה ייראה אמיתי. זייפנו תג עובד, המצאנו חברה פיקטיבית והכנו לוגו עם להבות. סיפור הכיסוי תמיד מתואם עם ההנהלה, ואף פעם לא נוציא משהו החוצה. כל מה שאנחנו מוציאים חוזר לחברה, כי גם אנחנו כפופים לתקני אבטחת מידע. רק איש הקשר יודע מי אנחנו, והוא מלווה אותנו מחדר הפיקוח כשאנחנו משוטטים ברחבי החברה. זייפנו שני מכתבים: אחד היה פנייה מטעם המנכ"לית של החברה, שהמצאנו לקב"ט: 'בהמשך לפנייתכם, הגענו לבדוק את גלאי העשן. אנא אפשרו כניסה ללא ליווי לכל האזורים'; השני היה מכתב תשובה מטעם הקב"ט, שבו הוא עונה לה ומאשר לה כניסה עבורי.

"באותו מקרה השומר עשה את עבודתו ועצר אותי. הוא פנה לקב"ט לקבל אישור. אבל אף עובד אחר לא עשה את עבודתו ודיווח עלי. בסופו של דבר הוצאתי משם סרטון וידאו של שעתיים ו-20 דקות, שהראה פנקסי צ'קים חתומים, רשימת מפוטרים עתידית, מסמכים של תוכניות חומש שיווקיות ואסטרטגיות, תחזיות על לקוחות, תביעות ותלונות ומסמכים שנוגעים לעובדים, תיקים אישיים, תלושי משכורת ועוד. אם מישהו היה רוצה לאסוף מידע רגיש, היתה שם שורה של מסמכים שנותנים מידע נרחב על החברה: מצבה הכספי, תחלופת אנשים בהנהלה, תלונות על אנשים ורשימת מחירים מול ספקים ומכרזים".

המידע האישי שלכם פרוץ

סביר להניח שאם תבחנו את מקום העבודה שלכם, תגלו שגם אצלכם קיים לא מעט מידע גלוי, סודי פחות או יותר, שמתחרים או אפילו לקוחות פוטנציאלים ישמחו לקבל - החל בתלושי משכורת, דרך רשימת יעדים וכלה בתוכנית אסטרטגית שיווקית שנשכחה על אחד השולחנות. אבל אבטחת מידע לא מסתיימת רק בריגול תעשייתי: גם המידע האישי שלכם יכול להיות חשוף ופרוץ, ואם אתם מעניקים מידע לחברה לא מוגנת, הפרטים האישיים שלכם עלולים להתפזר לכל עבר. לשם כך עורכות חברות בכל התחומים בדק בית ובוחנות את מצב אבטחת המידע שלהן, ולא רק בתחום הפריצה למחשביהן.

השיטה הנפוצה ביותר לרגל בחברה מתחרה היתה בעבר שימוש בעובד כסוכן סמוי. כך למשל, ג'נרל מוטורס תבעה את חוזה לופז, שהיה עובד בכיר ביצרנית המכוניות, בטענה כי ב-1992 העביר סודות מסחריים לפולקסוואגן. אבל גם כיום נפוץ השימוש בסמויים: ב-2007 איבדה קבוצת מקלרן בליגת פורמולה 1 את כל הנקודות שצברה במהלך מרוצי העונה, לאחר שהתקבלה טענת יריבתה הגדולה, קבוצת פרארי, על שימוש שעשתה במידע סודי שהועבר אליה על ידי עובד פרארי לשעבר. לאחר שנמצאה אשמה שילמה הקבוצה קנס של 100 מיליון דולר.

גם האזנות סתר היו דרך נפוצה ופשוטה להשגת מידע. ב-1994 התפוצצה פרשת האזנות הסתר שנודעה גם בשם "פרשת נמרודי", לאחר שחוקרים פרטיים נעצרו בטענה שביצעו האזנות סתר לכמה גורמים במערכות העיתונים "ידיעות אחרונות" ו"מעריב". נגד המבצעים ושולחיהם - עופר נמרודי ומשה ורדי - הוגשו כתבי אישום, ונמרודי אף נידון לשמונה חודשי מאסר בעסקת טיעון.

עם התפתחות הטכנולוגיה עבר מוקד הריגול התעשייתי לעבירות מחשב. ב-2005 נחשפה פרשת הסוס הטרויאני, לאחר שחומרים מספרו החדש של אמנון ז'קונט דלפו ממחשבו האישי. בדיקה העלתה כי מיכאל ורות האפרתי - חתנה לשעבר של ורדה רזיאל-ז'קונט ואשתו - שתלו במחשב תוכנת רוגלה - שזכתה לכינוי "הסוס הטרויאני". לאחר חקירה נחשדו 11 חוקרים פרטיים בקניית התוכנה ובשתילתה במחשבי חברות מרכזיות כמו HOT, פרטנר, שטראוס, סטימצקי ומי עדן. התוכנה הופצה באמצעות הצעות עסקיות שנשלחו במייל ועל גבי תקליטור. מיכאל ורות האפרתי נעצרו בבריטניה ונגזרו עליהם עונשי מאסר ותשלום פיצויים.

במחקר שערכה חברת מגלן חקר טכנולוגיות והגנת מידע ב-2011, נמצא כי 92% ממקרי הריגול העסקי והתעשייתי בישראל מתחילים בפריצה לתיבת הדואר האלקטרוני או ליומנים של הארגון המתחרה. 7% ממקרי הריגול מקורם בדליפת מידע מהארגון, בפרט גניבת מידע ונתונים באמצעות מדיה נתיקה, ו-1% מקורם בציתות למכשירי טלפון ולתאים קוליים. ואולם גם השיטות המסורתיות יותר, כמו פריצה למשרדים והתחזות, לא חלפו מן העולם, ועל כן לא מעט חוקרים פרטיים בישראל ובעולם מעניקים שירותי ייעוץ בתחום הגנת המידע הפיסי.

מחלקת הנדסת האנוש של דטה סק, שבודקת את אבטחת המידע באופן מוחשי, פועלת בארבעה ערוצים עיקריים: הנדסת אנוש מול מוקדים טלפוניים; הנדסת אנוש בתוך ארגונים שנבדקת על ידי התחזות לגורם שמשוטט בשטח הארגון תחת סיפור כיסוי; פעילות פרונטלית תוך התחזות ללקוח שמגיע למרכז שירות או לבית חולים; ולקוח סמוי מול מרכזי תמיכה, שמנסה להוציא פרטי הזדהות של לקוחות ממוקד התמיכה של הארגון.

לדברי מנכ"לית החברה, מירב ורד, "בתחום השני אנחנו נכנסים לארגון תחת סיפור כיסוי ומנסים להוציא מידע. אנחנו מגיעים לחברה עם תיק שמכיל מצלמת וידאו, שמצלמת גם תמונות סטילס. יש לנו מצלמה שנראית כמו אוזניית בלו טות' ויש לנו עט מצלמה שאפשר להצמיד לחולצה מבלי לעורר חשד.

"המטרה שלנו היא לערוך פעילות מטעם הארגון ובידיעתו כדי לשקף את הפעילות של נציגי השירות, נציגי התמיכה או העובדים. המעגל הראשון הוא המאבטח, המעגל השני הם העובדים שמחויבים לדווח לקב"ט על גורם חשוד, והמעגל השלישי הוא האופן שבו העובדים מיישמים סוגיות אבטחת מידע".

ורד התחזתה בעבר למנקה עם חלוק תכלת ודלי עם סמרטוט, שמתחתיו החזיקה בסט של עפרונות צבעוניים. "המנכ"ל לא ידע מתי אגיע בדיוק. הגעתי למנהלת הלשכה שלו, שהיתה אשת הקשר שלנו, והצלחתי להסתובב בחברה הבורסאית. צילמתי מסמכים מהעמדות במכונות הצילום. העפרונות שימשו לזיהוי המסמכים כדי שאחזיר אותם למקומם, והוצאתי מידע חסוי רב".

זמיר היתה גם טכנאית שרתים. "הגעתי לחדר השרתים מלווה במנהל, פלירטטתי אתו, ביקשתי ממנו קפה והוא השאיר אותי לבד ולא שאל אותי מה אני עושה. ברוב המקרים אנחנו נכנסים בלי בעיה למעגל הראשון וגם למעגל השני. אנחנו בודקים היכן נמצאת החוליה החלשה כדי לשפר הנחיות, לבצע בקרה ברמת העובד. אם משהו קורה - סימן שההנחיות לא תקינות".

אנשי החברה נתקלים בבעיות אבטחה שונות, כמו ארונות נעולים עם מפתח מאסטר לכל המנעולים, ארגז לגריסה שהדפים בו נמצאים בחוץ, מדפסות שחומר מודפס הושאר בהן, מחשבים ניידים לא מעוגנים שאפשר פשוט לקחת, תאי דואר שלא רוקנו ולוחות שעם עם רשימות של מידע מסווג - כמו רשימת לקוחות שמאיימים לנטוש שתלויה מעל לראשי העובדים.

לדברי זמיר, לפעמים מספיק מסמך אחד כדי לגרום נזקים רבים. "אנשים נלחצים מדליפת מידע, ולכן פריצה לאתר החברה גורמת לעתים לנזק תדמיתי יותר מאשר לנזק ממשי. ארגונים מתנים התקשרות ביניהם ברמה מסוימת של אבטחת מידע".

"אנחנו גם מתחזים ללקוחות סמויים בפני גורמי מפתח בארגון, כמו מנהלי כספים ושיווק", מוסיפה ורד. "כך למשל, אדובב את מנהל הכספים כלקוחה פוטנציאלית. צריך להיזהר עם חשיפת מידע אסטרטגי ופרויקטים. באחת החברות שבהן עבדתי בעבר נערך מבצע גדול, שאמור היה להתחיל בסוף השבוע. מנהלת השיווק כתבה לנו שבמוסף סוף השבוע תהיה כפולת עמודים על המבצע. זו היתה התארגנות שעלתה לארגון הרבה מאוד כסף.

"כשהערתי למנהלת שאולי לא כדאי להפיץ מידע כזה רגיש בתפוצה כל כך רחבה, היא צחקה עלי: 'את והדנידין שלך'. בסוף השבוע חיפשתי את הכפולה המדוברת, אך במקומה מצאתי דווקא כפולה על מתחרים שהציעו מחירים זולים יותר ובעצם הרסו לנו את המבצע הגדול, וכל ההשקעה ירדה לטמיון".

לגלות את הדיאגנוזה

כדי לבדוק את התחום השלישי נכנסים עובדי הארגון למתחם באופן בלתי מבוקר, משוטטים ומנסים להוציא חומרים. "אנחנו שואלים שאלות ומנסים לקבל מידע על אנשים או לומדים דברים משיחות. זה קורה, לדוגמה, כשעולים עם שני רופאים במעלית והם מדברים על חולים, כולל שמם המלא והדיאגנוזה שלהם", מסבירה ורד.

כך היה, על פי ההערכות, במקרה של עפרה חזה שמתה ב-2000 מסיבוך של מחלת האיידס. במשך ימים ארוכים התרוצצה חרושת שמועות לגבי נסיבות מותה המסתורי, עד ש"גורמים רפואיים" הדליפו את דבר מחלתה.

"יש אנשים שמסתירים מקרוביהם מצב רפואי, מחלה קשה, הריון, פסיכיאטריה - במיוחד במגזר החרדי, שם זה יכול לפסול חיתון", אומרת זמיר. "מנגד, אנשים מנסים להוציא מידע לשם סחיטה או להוציא רכילות על סלבריטאים. כיום צוותים רפואיים מקבלים הנחיות לא לדבר על זה - כדי שלא ייווצר מצב שבו אנשים מוכרים יימנעו מקבלת טיפול רפואי".

שמירת המידע האישי של הלקוחות חשובה לא פחות משמירת המידע הארגוני. לכן עובדי החברה מתחזים גם ללקוחות, ובוחנים את המצב בארגונים שמחזיקים במאגרי מידע על לקוחות. "אנחנו מתחזים לאמא, לסבתא או לשכן ומנסים לעשות מניפולציות", מסבירה ורד. "לפלרטט, לצרוח, לבכות - כל האמצעים כשרים. בדרך כלל גישה חיובית מצליחה יותר מגישה שלילית, ולכן זו האופציה הראשונה. המתחזים שלנו יכולים להגיע לבכי, לחפירות בלתי פוסקות ואז גם לצעקות - 'אני אנטוש אתכם', 'תביא את הפרטים שלך'.

"המטרה היא לוודא שאנשים פועלים על פי ההנחיות, ושאין פרצה שיכולה לגרום לי לעשות פעילות על חשבון מישהו אחר או להשיג עליו מידע. אנחנו עורכים סימולציות של מצבי אמת. אם הנציגים במוקד נשברים - הם יישברו גם במצב אמת. המטרה היא הגברת המודעות של נציגי השירות. ברוב הארגונים בישראל נוקטים צעדים קפדניים לזיהוי ויש הנחיות קפדניות מאוד עבור נציגי השירות או התמיכה.

"ב-2006 נפרץ המידע של מרשם האוכלוסין, ולכן ארגונים רבים מבקשים מהלקוחות יותר ממספר תעודת זהות כדי לוודא שאכן מדובר בהם. במוקד של קופות החולים, למשל, שואלים שאלות על הרופא האחרון. עם זאת, היו לא מעט מקרים שבהם הבעל שינה את הכתובת למשלוח החשבון, כדי שהאשה לא תעלים ממנו מידע. יש תביעות גירושים עצומות שמתבססות על כך שנציגי שירות שינו כתובת במאגר הנתונים".

כך, למשל, ב-2008 הגישה אשה חרדית תביעה על סך 2.5 מיליון שקל נגד חברת פלאפון לאחר שבעלה הצליח להשיג את פירוט השיחות שלה, אף שהיא ביקשה שוב ושוב מנציגי השירות לא למסור אותן, מפני שזה יעלה לה בנישואיה ובנידויה מהקהילה. היא סיפקה לחברה קוד סודי שרק היא מכירה, והורתה שרק לאחר שהיא תמסור אותו - נציג השירות יהיה רשאי למסור לה פרטים על חשבונה. ואולם הבעל נכנס למרכז השירות בפתח תקוה, ואמר לנציג כי אשתו בחדר לידה וכי היא חייבת את פירוט השיחות שלה עכשיו. הנציג מסר לו אותו מבלי לדרוש את הקוד, והבעל גילה שיחות למספר של גבר נשוי. בעקבות כך גורשה האשה.

לדברי זמיר, נציגי השירות בחברות התקשורת יודעים שהם נבדקים. "אנחנו שולחים להם הקלטות של השיחות. להנהלת הארגון לא אכפת אם הנציג פועל לפי ההנחיות כי הוא מבין שזה חשוב, או כי הוא פוחד להיתפס. יש לנו שמות של אנשים שפעלו לא נכון, ואם זה קורה שוב עם אותו אדם - מסיקים מסקנות".

"מסטטיסטיקות שערכנו בחברה, עולה כי ב-25%-30% מהחברות שבדקנו הצלחנו להגיע למידע חסוי על לקוחות", מציינת ורד, "החל במידע פחות מסווג וכלה במקרים שבהם שינינו כתובת, עשינו שינויי אשראי וקיבלנו נתונים סודיים.

"לכל אזרח בישראל יש לפחות עשרה ארגונים שמחזיקים במידע רגיש שלו: קופות חולים, חברות אשראי, כבלים ותקשורת. יש להן שם, מספר זהות, פרטי חשבון בנק ומספר טלפון - וזה עוד לפני משרדים ממשלתיים. זה אומר שאם אני חוקר פרטי שרוצה להוציא פרטים אישיים על אדם, יש לי לפחות עשר אפשרויות. ואם הסטטיסטיקה שלנו אומרת שכרבע מתוך החברות יהיו פרוצות, אצליח להגיע למידע. אז גם לאזרח יש אינטרס שתהיה אבטחת מידע ראויה. זה אינטרס שלנו כצרכנים, וזה אינטרס של החברה שלא רוצה לאבד לקוחות".

תגיות:

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker