ריגול תעשייתי: הזבל שלך, הרווח של המתחרים
העובד הנאמן עובד אצל המתחרים, בעציץ מותקן מיקרופון, משאית הזבל עוברת בתחנה נוספת לפני המזבלה, על המחשב מגן האנטי-ירוס * המיתון והתחרות המתגברת בעקבותיו, מוביל יותר ויותר חברות להשתמש בריגול תעשייתי ז מהן השיטות הנפוצות, איך מתגוננים מפניהן
ללשכת מנכ"ל חברה תעשייתית גדולה במרכז הארץ מגיע שליח תמים למראה עם עציץ בידיו. מזכירת המנכ"ל מכוונת אותו ללשכה, ומבקשת ממנו להניח את העציץ, "שי צנוע מחברת טלמרקטינג חדשה", בפינת החדר. השליח מציב את העציץ במיקום בולט ועוזב. שעה אחר-כך יגיע המנכ"ל ויתיישב בכורסתו. הוא עלול לא לגלות לעולם, שמרגע הצבת העציץ, כל שיחותיו ופגישותיו בלשכה מועברות בשידור חי למצותתים אלמוניים שנשכרו על-ידי המתחרה.
זו לא סצינה שלקוחה מספרי הריגול של ג'ון לה-קארה, אלא אחת מהדוגמאות היומיומיות מעולם הריגול התעשייתי בארץ ובעולם.
בתחילת יוני לדוגמא, דיווחו כותרות ענק בעיתונים על גניבת תקליטור מחשב ממפעל אלתא באשדוד, שהכיל מידע על פרויקט מסויים. סיפור העלילה רק תפס תאוצה כשנודע שאחת מעובדות הניקיון במפעל, בעלת דרכון אוקראיני, נעלמה בתזמון חשוד לגניבה.
ההאטה בכלכלה והמיתון העמוק שבו שרוי המשק, גורמים לבעלי עסקים רבים לקדש כל אמצעי בדרך אל המטרה הנכספת, שאולי תסייע להם להוציא את העגלה מהבוץ. צחי חורש, מנהל ווי.טי.אס-מערכות, חברת ייעוץ וציוד למניעת ריגול תעשייתי, מכיר היטב את הצד האפל של עולם העסקים. "ככל שהמיתון מעמיק", הוא נאנח בסיפוק, "תופעת הריגול התעשייתי רק מתפשטת. מניסיוננו, תחום אבטחת המידע פרוץ לחלוטין בארץ".
האבטחה אולי נקובה ככברה, אבל ישראל היא מעצמה בתחום הריגול התעשייתי. באחרונה הוזכרה ישראל ברשימת המדינות שמפעילות סוכני ריגול תעשייתי בארה"ב. לצד ישראל, הוזכרו בדו"ח, שהגישו לקונגרס הסי.איי.אי והאף.בי.איי, גם מדינות ידידותיות לא פחות, כמו צרפת ויפאן, כמו גם יריבות מושבעות של ארה”ב כדוגמת רוסיה. מהדוח עולה, שמדובר בעיקר בריגול תעשייתי של מוצרי ביטחון, נשק ותעופה.
חדר התצוגה של ווי.טי.אס מזכיר את המעבדה של מיסטר קיו - מפתח אמצעי הריגול המשוכללים מסדרת סרטי ג'יימס בונד. החדר דחוס בעשרות דוגמאות של מצלמות וידאו ממוזערות בגודל של כפתור, חלקן מוסוות בתוך מסגרת משקפיים, בעציצים או במאפרות. בחדר מצויים גם מיקרופונים בגודל של סיכה ומצלמות משוכללות שמסוגלות להנציח אותיות דפוס ממרחק של חצי קילומטר. אלו מדגימות ללקוחות מדוע כדאי להם להקפיד על אמצעי הגנה נאותים בעולם כה תחרותי.
"כל האמצעים היום כשרים בעולם העסקי חסר המעצורים", אומר חורש, "במיוחד כשמדובר במלחמת הישרדות. באים אלינו אנשי עסקים מכל הסוגים, גדולים כקטנים ומבקשים שנעזור להם, כי הם חשים שהיריב יודע עליהם יותר מדי. היום, בזכות הטכנולוגיה, אפשר להשיג כמעט כל מידע ועבודת המרגלים התעשייתים הופכת לפשוטה, ככל שהבורות גבוהה אצל המתחרה".
מה בקשר לצד החוקי של העניין? ריגול תעשייתי מוגדר, בדרך-כלל, כפעולה פלילית, שמתבצעת באמצעות חדירה לא חוקית למתחמו הפרטי של היריב. לא תמיד המזמינים מודעים לצדדים הפליליים של הפעולה, ברוב המקרים הם מעדיפים שלא לשמוע מהחוקר הפרטי ששכרו על שיטות הפעולה שלו.
שיטה מתוחכמת יותר היא שירשור העבודה למשרד אחר. הלקוח פונה למשרד, שמעביר בקבלנות את העובדה למשרד שני, מבלי שהאחרון ידע על זהות המזמין. ככל שהשרשור ארוך יותר, כך יתקשו רשויות החוק לעלות על המזמין, שלמענו מבוצעות העבירות הפליליות.
מחפרפרת עד חיטוט בזבל
השיטות לריגול תעשייתי הן רבות ומגוונות, גם למתחילים וגם למתוחכמים. חלקן ותיקות מאוד חלקן התאפשרו בגלל הקדמה הטכנולוגית. הנה הבולטות שבהן.
1. החפרפרת
בדרך-כלל מדובר בעובד שמותאם לדרישות של המתחרה, ממזכירה ועד חשב. אלה לא מסרבים לקבל שתי משכורות ממקום העבודה וממעסיקם המסתורי, כדי להעביר סודות מסחריים ליריב.
אחד המקרים המפורסמים הוא חוזה לופז, לשעבר אחד מבכירי יצרנית המכוניות ג'נרל-מוטורס. בכתב אישום שהוגש נגדו במאי אשתקד, נטען כי לופז העביר ב-1992 סודות מסחריים למתחרה פולקסוואגן, במיוחד כאלה שנוגעים לדגמים בפיתוח. בשלב מאוחר יותר לופז עצמו עבר לשורות החברה שלמענה ריגל.
לופז הואשם בגניבת מסמכים יקרי ערך והעברתם למתחרה. ב-96' נאלצה פולקסוואגן לפטרו, כחלק מהפשרה שהשיגה מול ג'נרל-מוטורס, שכללה גם תשלום פיצויים בסך של כ-100 מיליון דולר. לופז עצמו מעדיף להישאר בימים אלה במולדתו ספרד, ועורך דינו הודיע, כי בעקבות תאונת דרכים הוא סובל כבר שלוש שנים מאבדן זיכרון. אם יוסגר ויורשע, הוא צפוי לעונש מקסימלי של עד 15 שנה בכלא.
איך מתגוננים: מבדקים קפדניים לפני קבלה לעבודה, ואפילו פוליגרף מדי מספר חודשים לכל העובדים, כולל המנהלים, לבדיקת מהימנותם ונאמנותם לחברה. יקר אבל משתלם.
2. ביקור אצל המתחרים
בדרך פעולה זו של "ביקור" במשרד או במפעל המתחרה, ניתן לקבל יותר משמץ של מושג על תוכניותיו, דרך פעולתו או היערכותו המסחרית.
בישראל הובלטה פרשיית ריגול תעשייתי ב-95', כשחברת זוגלובק הגישה קובלנה פלילית נגד חברת טבעול וחוקר פרטי ששכרה לכאורה בטענה, כי בשנת 90' נתפסו שני חוקרים שעבדו אצל קבלן החקירות, כשהם לובשים חלוקים לבנים של זוגלובק. כן נתפסו ברכבם אריזות של מוצר חדש שפיתחה החברה.
איך מתגוננים: העסקת קב"ט מקצועי מאוד, התקנת מערכת בקרת כניסה, חלוקת תגים לעובדים והתקנת מצלמות במעגל סגור.
3. תערוכות וירידים
נחשבים למוקדי ריגול תעשייתי מהמעלה הראשונה. כל שהמתחרה צריך לעשות הוא להצטייד במצלמה, ולצלם את סדרת המוצרים החדשה של היריב. יצרן מוצרי פלסטיק, למשל, שרוצה לחסוך את הוצאות המחקר והפיתוח, יכול לתעד באמצעות מצלמה דיגיטלית את מוצרי היריב בזמן התערוכה, ולשגר את הצילומים באותו יום מחדרו שבמלון. הצילומים עוברים מייד למעבדות החברה בארץ, כך שעד שהמתחרים יוצאים איתם לשוק, החברה המקומית מכינה תשובה ציונית הולמת.
איך מתגוננים: כמעט בלתי אפשרי. יצרניות מכוניות, שמשקיעות סכומי עתק במחקר ובפיתוח (מיליארד דולר ויותר בדגם חדש), נמנעות מלהציג אבטיפוס עד ימים ספורים לפני התערוכה. את מבחני הדרכים הן מבצעות במסלולים נסתרים ומאובטחים ממצלמות המתחרים. הדגמים עצמם מחופשים, ולעתים אף נראים כמו אחד הדגמים הישנים. וגם זה לא תמיד עוזר.
4. זבל
אחת מהשיטות עתיקות היומין, שמוכיחה את עצמה כל פעם מחדש. אנשי עסקים ממעטים לגרוס מסמכים או להשמידם, ושוכחים שהזבל שלהם עשוי להיות ירוק יותר למתחרה. הפעולה עצמה פשוטה לביצוע. בשעות הערב אוספים את שקיות הזבל של המתחרה ובוררים מהן את המידע הדרוש. שיטה יעילה מאוד למתחרה שמעוניין להציץ לטיוטות המכרז של יריבו.
איך מתגוננים: גריסת מסמכים וערבוב פיסות הנייר, כך שלא יהיה ניתן להצמידן מחדש.
5. האזנות
השיטה שהעלתה לכותרות את רפי פרידן וחבר מרעיו, עדיין פופולרית במיוחד. "מדהים בכל פעם להיווכח מחדש", אומר חורש, "עד כמה חברות היי-טק, משרדי רו"ח, עורכי-דין או משרדי פרסום אינם מודעים לאפשרות שניתן לשתול מכשירי האזנה במשרדם". הטכנולוגיה באה לשירות המאזינים: העברת הצליל מתבצעת באמצעים אלחוטיים, ואפשר לשתול מיקרופון ממוזער כמעט בכל חפץ או פריט ריהוט כך שלא יעורר חשד בסביבת העבודה של המתחרה - החל מעציצים וכלה בלבנת בניין. התקנת מכשיר האזנה במכונית קלה שבעתיים, מאחר שמקור האנרגיה כבר קיים, ולכן אין צורך להחליף בטריות במשדר.
איך מתגוננים: הצפנת שיחות הטלפון ובדיקות תקופתיות של הקווים. לדברי חורש, הטכנולוגיה הסלולרית הדיגיטלית, מבטיחה בצורה טובה יותר שיחה בטלפון סלולרי מאשר במכשיר קווי.
לדבריו, גילוי האזנה מבעוד מועד עשוי לשמש את הקורבן. חורש מספר על צמד קבלנים שביקש להיפרד, כשכל אחד מהם היה אמור להציע מחיר לרכישת חלקו של השני (מנגנון במב"י). אחד הקבלנים חשד כי מידע פנימי הנוגע לגובה ההצעה שלו דולף החוצה. בדיקה שערך גילתה, כי הותקנו מכשירי ציטוט במכשיר הפקס שלו, שבאמצעותו הוא התכתב עם עורך דינו ורואה החשבון שלו. הקבלן העביר בפקס, בתיאום עם יועציו, מידע שגוי במכוון על תכניותיו, ובסופו של דבר זכה בעסקה.
מחשבים מסוכנים
בעידן ההיי-טק והמחשבים, הריגול התעשייתי הופך להיות פשוט בהרבה. מה יותר קל לבעל סוכנות נדל"ן המחפש לקוחות, מלפרוץ לרשת מחשבי המתחרה, ולמשוך ממנה את כל המידע הדרוש. השותפים בחברת אבנת, אריה חסון, אורי נאמן, לשעבר ראש הרשות לבמ"ט (ביטחון מחשבים ותקשורת במשרדי הביטחון והממשלה) ואבי ברנר, שהקים את יחידת אבטחת המידע של בנק הפועלים, מעסיקים האקרים צעירים שמדגימים ללקוחות עד כמה הם חשופים.
"חלום הבלהות של כל חברה הוא חבלה", אומר חסון, "מדובר בפחד מסתם ונדאליסטים שנהנים לפרוץ למערכות ולשבש אותן. אנחנו מנסים לאתר את הפירצות ולטפל בהן בהתאם לעדיפויות של בעל החברה או העסק".
להלן מספר שיטות ריגול הניתנות לביצוע באמצעות מחשבים.
6. כוננים, חומר מסווג בבית
מרטין אינדיק, השגריר האמריקני בישראל לשעבר, הסתבך כשלקח חומר מסווג הביתה. אבל אינדיק לא לבד. "עובדים ומנהלים שלוקחים את העבודה הביתה לא מבינים שהם חשופים לגמרי. המחשב הביתי שמחובר לאינטרנט חשוף לחלוטין לפריצות", אומר חסון.
איך מתגוננים: גם בעסקים קטנים כמו משרדי פרסום או עורכי דין דין בהם פועלת רשת מחשבים, מומלץ לוותר על כונני דיסקטים. "בדרך זו", מדגיש חסון, "איש לא יוכל לטעון דיסקט ממקור לא ידוע, וגם לא להוריד מידע". מומלץ להתקין כונן רק בתחנת הקצה, בשרת של הרשת. זאת, כדי שרק איש מקצוע מוסמך בעסק יוכל לשלוט על טעינת והורדת חומרים. בדרך זו, גם חפרפרת שהושתלה לא תוכל להוריד מידע על דיסקט ולהעבירו הלאה.
רצוי גם לא לקחת חומר מסווג מהעבודה הביתה. אם כבר עובדים בבית על דיסקטים של העסק או של החברה, רצוי לנתק את המחשב מרשת האינטרנט עד לסיום העבודה. יכולת הפריצה של ההאקרים היום, קשה מאוד לריסון, וביכולתם לפרוץ לדיסק קשיח בתל-אביב מדירה בכל מקום בעולם, בלי להשאיר עקבות. עוד מומלץ להצפין את המידע בדיסק, כך שגם במקרה של גניבה או פריצה למחשב, יתקשה הפורץ לפענח את ההצפנה. כדאי להשקיע סכום לא גבוה (מ-50 דולר) בתוכנה שמצפינה אוטומטית את המידע המוקלד.
7. סוס טרויאני
מאחורי כל תוכנה תמימה עלולה להסתתר תת תוכנה, שתיפתח עבור המרגל את כל סיסמאות הכניסה של בעל המחשב.
איך מתגוננים: לא לטעון תוכנה בלי בדיקה.
8. חדירה למחשב
חברות רבות סובלות מחדירה פיזית למחשביהן. לדברי חורש, מרבית חברות ההיי-טק למשל, פרוצות לחלוטין מבחינת אפשרויות החדירה. "אנשי הג'וקים לא מודעים לסיכונים שבדליפת חומר", אומר חורש, "רק בחברות הגדולות, בעלות המנטליות האמריקנית, יש מודעות. כבר ביקרתי חברות שהתקינו אזעקה, אבל מעולם לא טרחו להפעיל אותה, שלא לדבר על פקידת הקבלה או על השומר בכניסה שגם כניסת חייזר לא תגרום להם למצמץ".
בחברות אחרות, אצל בעלי עסקים, שאינם מבינים במחשבים המצב חמור יותר. כששאלנו בעל עסק, שמעסיק כ-10 עובדים, כיצד הוא מאבטח את מערכת המחשבים שלו, הוא סיפר בסיפוק רב, כי "יש לי תוכנת אנטי-וירוס".
"מקרי הפריצה עליהם שומעים הם רק קצה הקרחון", אומר חסון, "לארגונים או לעסקים יש אינטרס ברור לא לפרסם את דבר הפריצה. פרסום הונאות מחשבים בבנקים למשל, עלולים לגרום לנזק בלתי רגיל לבנק. אני זוכר מקרה שבו פקיד בנק אמריקני פתח קובץ ונהג להעביר אליו רק את הסנטים אחרי הנקודה ממאות אלפי חשבונות תמימים. בדרך זו הוא צבר 150 אלף דולר בלי שאף אחד הרגיש. זה מקרה קלאסי שאנחנו מלמדים אותו. איך הוא נתפס? הוא לא התאפק וסיפר על זה למישהו שעלה איתו במעלית".
איך מתגוננים: להקפיד למדר את הכניסה למחשבים בעסק רק לפי סיסמה. בעסק קטן רצוי שרק הבעלים ידעו את הסיסמה. גם הסיסמה עצמה הופכת לקרבן לפריצה, במידה שזה שקבע אותה אינו חושב על סיסמה מקורית וקשה לפיצוח, במקום לבחור בשמו, בתאריך הלידה שלו ובשאר ההרכבים הבנאליים והקלים לפריצה. "מחקרים מצביעים", אומר חסון, "ש-60 עד 70 אחוזים מהסיסמאות מבוססות על מרכיב אישי, שקל מאוד לפיצוח כמו שמות ילדים או בן/בת זוג".
הדרך הבטוחה וגם הזולה יחסית (100-70 דולר ליחידה) היא להתקין מערכת לזיהוי ביומטרי, על-פי טביעת אצבע, קשתית העין, או כל חלק שבא במגע עם בהמקלדת, ממש כמו בתור המהיר בביקורת הדרכונים בנתב"ג. האמצעי מחובר למקלדת, כך שאין צורך להתקים סיסמה שניתנת לפריצה או לזיוף.
9. אינטרנט
גם במשרדים קטנים קשורים כל המחשבים לרשת האינטרנט. האקר מקצועי יוכל בקלות יחסית לעלות על כתובתו האינטרנטית של בעל העסק, ובזמן ההתקשרות לשלוף את המידע הדרוש לו, או לטעון קבצים מטעים.
איך מתגוננים: לחבר לאינטרנט רק תחנות קצה ממודרות, שאינן קשורות לתחנות האחרות. במלים אחרות, לא לאפשר לכל מחשב בעסק מגע עם רשת האינטרנט. בנוסף, כדאי לטעון תוכנות דוגמת פייר-וול של צ'ק-פוינט במימשק הביניים בין הרשת הפנימית לחיצונית (האינטרנט), שמבצעת פיקוח ומניעה של חדירת האקרים בלתי רצויים.
הצד החוקי - בין מודיעין לריגול
מודיעין עסקי הוא הבן החוקי של הריגול התעשייתי
מרבית אנשי ובעלי העסקים מלקטים במרץ מודיעין עסקי על המתחרים, גם אם אינם מודעים במיוחד להגדרה המקצועית. מדובר בקשת רחבה של פעולות, מביקור בחנות המתחרה והתרשמות מהסחורה המוצעת ללקוחות, דרך מידע מתערוכות וירידים בהם מציגים המתחרים את הדגמים החדשים של תוצרתם, ועד לגלישה באתר האינטרנט של היריב, כדי ללמוד על לקוחותיו (רבים מבעלי האתרים מתגאים, גם אם ברשימה חלקית בלבד, בלקוחותיהם הנבחרים).
מודיעין עסקי מקיף כל מה שקשור באיסוף מידע גלוי שזמין לציבור הרחב, אומר חזי לביא, בעליה של חברת איסוף המידע אדקיט. לביא אומר ש-85% מהמידע הוא גלוי, והשאר מושג באמצעות ריגול תעשייתי.
פעולת ליקוט המידע העסקי נחשבת לחוקית, עד שנעשה בה שימוש שעלול לכאורה להפר זכויות יוצרים כמו במקרה של העתקת דגמים. כדוגמא מביא לביא את הבנקים המקומיים שנערכו לכניסת הבנקים הזרים לארץ. לדברי לביא הבנקים המקומיים ביקשו מחברתו להשיג מידע עסקי על דרך פעולתם. השגנו מידע עסקי גלוי על סיטי-בנק, כדי ללמוד על שיטות הפעולה שלו. ביררנו אם למשל הוא רוכש בנקים במדינת היעד או מקים סניפים חדשים. דוגמה נוספת לאיסוף מודיעין עסקי שמביא לביא היא קו אשראי שבנק מסוים עמד לפתוח, לטובת העברת מיליון דולר ליצרנית צעצועים בארה”ב לצורך יבוא מוצרים לארץ. הנתונים העסקיים של החברה הצביעו לכאורה על יציבות, אלא שגילינו שבדיוק באותו שבוע פורסמה בעיתון מקומי בפלורידה כתבה על החברה, שנאלצה להחזיר מוצר מהמדפים בשל פגם. כמובן שהבנק חזר בו מהעסקה.