משחקי ריגול

חברות חשופות היום יותר מתמיד לריגול תעשייתי, ובישראל - הנגישות למידע רגיש קלה במיוחד. איך בדיוק מתבצע הריגול, ואיך אפשר להתגונן מפניו

לירן דנש | 2/7/2007 9:45

לפני כמה שבועות היה הציבור הישראלי עד להתכתשות מתוקשרת בין חברת הכבלים הוט לבין חברת בזק בינלאומי, אותה האשימה הוט בריגול תעשייתי, אולם סכסוך זה בין החברות הוא רק קצה הקרחון בתופעה הצוברת תאוצה בעשורים האחרונים - הריגול התעשייתי. האמצעים הטכנולוגיים המאפשרים מעקב אחר המתרחש בחברות שונות הפכו מתוחכמים ביותר, והתוצאה - נזקים של עשרות ומאות מיליוני דולרים לחברות ברחבי העולם וגם בישראל.

קשה מאוד להגדיר מהו ריגול תעשייתי, ואף בחוק אין הגדרה ברורה למונח. במסגרת הגדרה זו נכללות בין היתר עבירות של העתקת מידע חסוי, שימוש במידע ללא רשות, הפרת חובת סודיות, האזנה, הקלטה, פגיעה במדיה של חברות וגזילת סודות מסחריים.

עו"ד אביב אילון ממשרד אילון ואגרט המתמחים בדיני טכנולוגיה, מסביר כי "ריגול תעשייתי משלב חדירה לפרטיות ופגיעה בסודות מסחריים תוך גניבת מידע. המשמעויות המשפטיות והסנקציות הנובעות מכך תלויות בפעולה עצמה המבוצעת על-ידי המרגל, ולרוב העונשים על עבירות אלה הם בין 5-3 שנים, תלוי בסוג העבירה ובחומרתה".

אילון מדגיש כי על פי חוק, ניתן לבצע איסוף מידע לגטימי וללקט "כל מה שהוא נחלת הכלל". עם זאת, פריצה מקוונת או פיזית לחברה, תוך הסגת גבול או פגיעה בפרטיות או בזכויות הקניין - אינה חוקית בעליל.

לדברי אילון, החוק בישראל מספק די והותר כלים לטיפול בריגול תעשייתי הן בעולם הפיזי והן בעולם הקיברנטי, ובמסגרת זו קיימים חוק העוולות המסחריות וחוק המחשבים משנות ה-90', חקיקה העוסקת באיסור בהאזנות סתר וחוק הגנת הפרטיות וכבוד האדם וחירותו הוותיקים יותר. אולם לדבריו, "ההתפתחות הטכנולוגית הדוהרת קדימה מצריכה מהרשויות להתעדכן בחידושים אלה על בסיס קבוע". בהקשר זה, מציין אילון כי היום חוק האזנות הסתר אינו נוגע רק לקווי בזק, אלא גם לתקשורת סלולרית, למיילים, לספק המחשבים ולמכשירי הפקס. לתשומת לב המרגלים.

אילון טוען כי על מערכת המשפט להעניש ביד קשה את כל מי שעובר על חוקים אלה, כיוון שלא תמיד העבירות נוגעות לריגול תעשייתי בלבד. "לעתים 'המרגלים' לא עוצרים בכך, ומחדירים וירוסים למחשבי המתחרים שלהם - מוחקים מידע ומזיקים לחשבונות הבנק. במקרה שמדובר בבנקים, למשל, גם הלקוחות בסופו של דבר עלולים להיפגע מהתחרות העסקית הזו שעוברת לפסים מכוערים".

מיטניק - ההאקר שהפך לאגדה

ריגול תעשייתי יכול להתבצע על-ידי חברה מתחרה, אך גם השגת מידע שנעשית על-ידי אדם פרטי נחשבת על פי החוק לריגול תעשייתי.

סיפור מפורסם בהקשר הזה הוא המקרה של ההאקר קווין מיטניק, שעד היום לא ברור מה ממנו אמת ומה אגדה. מיטניק, ששמו התפרסם ברחבי עולם, היה מבוקש על-ידי האף.בי.איי האמריקני במשך שלוש שנים בסוף שנות ה-90', לאחר שפרץ לרשתות של חברות מחשב גדולות וגנב בין היתר את קוד המקור של מספר מערכות הפעלה לשרתים ולטלפונים ניידים. על פי הפרסומים בכלי התקשורת בעולם ובעיתונות הישראלית - טכניקת הפריצה שבה התמחה מיטניק היתה "הנדסה חברתית" - שילוב של טכניקות הונאה, התחזות ושכנוע. מיטניק למעשה ביקש מאנשים לספק לו מידע רגיש כגון שמות משתמשים וסיסמאות או לבצע עבורו פעולות כגון הרצת תוכנה מסוימת.

בשלב מסוים הצליח מיטניק לפרוץ למחשבי מפקדת ההגנה האווירית של ארצות הברית, השולטים על מערך הטילים

הגרעיניים. על פי הפרסומים, פרץ מיטניק למערכות הטלפונים של האף.בי.איי, וכך הצליח להתחמק ממעצר פעמים רבות. מיטניק מכחיש עד היום פריצות אלה.

בשנת 1998 נעצר מיטניק בגין פריצה לשרתי חברת "דיגיטל", וגניבת חלקים ממערכת ההפעלה שפיתחה. הוא נשלח לכלא לתקופה של שנה, מתוכה בילה שמונה חודשים בבידוד עקב טענת התביעה שהוא מסוגל לשגר טילים גרעיניים אם רק תינתן לו גישה לטלפון בכלא.

בסופו של דבר חתם מיטניק על עסקת טיעון, שבמהלכה הודה בחלק מהעבירות והסכים לעונש בן חמש שנות מאסר. הוא שוחרר בינואר 2000, וכתנאי לשחרורו נאסר עליו באופן חריג להשתמש או להחזיק בבעלותו מחשבים, טלפונים סלולרים וציוד תקשורת או לייעץ בעניני מחשבים ללא אישור קצין המבחן שלו, למשך שלוש שנים נוספות. נראה כי כישרון ה"פריצה" של מיטניק השתלם בסופו של דבר, שכן נכון ל-2006, מיטניק עובד בחברת ייעוץ שפתח בתחום אבטחת המידע.

"עובדי ניקיון מרחרחים אחר מידע"

העובדה שמיטניק עבר מריגול ופריצה לתחום אבטחת המידע אינו חריג. "גם החוקרים הפרטיים שותפים לרוב לריגול תעשייתי בשני אופנים: חקירה כאשר מתעורר חשד של ריגול תעשייתי או איסוף לגיטימי וחוקי של מידע על חברות", מסביר משה בניסטי, חוקר בחברת בר חקירות. "במסגרת האיסוף הלגיטימי אנו אוספים כל מידע שניתן להשיג על החברה המתחרה: מסמכים, משכנתאות, שמות של בעלי החברה, מנהלים ואנשי דירקטוריון".

בניסטי מספר כי קל יחסית לרגל אחר החברות הישראליות, כיוון שעובדי החברות ובעליהן אינם גורסים מסמכים או מקפידים על סודיות של ההחלטות המתקבלות בחברה, כמו עמיתיהם בשאר העולם. "פעמים רבות ניתן לשמוע פטפוטים בבתי קפה על החלטות שונות או למצוא מסמכים בזבל".

תופעה מרחיקת לכת יותר של ריגול תעשייתי היא "שתילת" עובדים בחברה מתחרה, מעין סוס טרויאני שחושף מידע סודי או אפילו שתילת עובדי ניקיון "המרחרחים במסדרונות החברה ומחפשים מידע שנזרק בחוסר תשומת לב".

אחת הדוגמאות המפורסמות בהקשר זה שאירעו בישראל היא פרשת הסוס הטרויאני שהתגלתה ב-2005, שבמסגרתה נחשפו תוכנות ריגול שפיתח זוג ישראלים, אשר נשתלות במחשב החברה ומאפשרות למחשב חיצוני קריאת קבצים והעתקתם.

פרשה נוספת שגררה הדים בישראל וגם בארה"ב היא חשיפתו של אהוד טננבאום, הידוע בכינוי ה"אנלייזר". בתחילת דרכו כהאקר נהג טננבאום לשבש פעילות של אתרים ניאו-נאציים ומוסלמיים קיצוניים, כמו של החיזבאללה והחמאס. אחר כך עבר לפריצות לאתרי ממשל בארץ ובעולם, שהשיא שלהן היה פריצה לאתר הפנטגון האמריקני בשנת 1998. לאחר שנחשף, הוגש נגד טננבאום כתב אישום בגין שיבוש והפרעה למחשב, חדירה לחומר מחשב שלא כדין וקבלת דבר במרמה. בית משפט השלום גזר עליו שישה חודשי עבודות שירות, שנתיים מאסר על תנאי וקנס בסך 75 אלף שקל.

לפני כשנתיים בדק ה-אף.בי.איי חשד, שלפיו בוצעה פריצה מתוחכמת למחשבי חברת סליקה אמריקנית בשם "קארד-סיסטמס סולושנס". פריצה זו אפשרה ככל הנראה לפורץ המתוחכם גישה ליותר מ-40 מיליון חשבונות של לקוחות. על פי החשד, אחד העובדים בחברת הסליקה הוא שפרץ את מיליוני החשבונות באמצעות וירוס מתוחכם שהחדיר למערכת האבטחה, שהצליח לדלות את פרטי הכרטיסים של מחזיקי כרטיסי האשראי.

לאור פרשות אלה, בשנים האחרונות ניתן לראות מודעות הולכת וגוברת מצד החברות אשר משקיעות באבטחת מידע ובחידוד הנהלים לעובדים.

איך להימנע מריגול תעשייתי?

עידן עמיר, מנהל פיתוח עסקי באגסק, חברה לאבטחת מידע הנותנת שירותי ייעוץ ומפתחת מוצרי אבטחה, נותן כמה טיפים מניסיונו לבעלי חברות המעוניינים למנוע ריגול תעשייתי בחברתם.

לדברי עמיר, 70% מאיומי האבטחה הם פנים ארגוניים ובמילים אחרות - עובדים בתוך הארגון המבצעים הונאות שונות. את האיומים הנוספים מספקים האקרים העושים זאת למטרות הונאה או נזקים או לשם ביצוע המעשה הזדוני.

עמיר ממליץ לבעלי החברות בראש ובראשונה לבצע סקר סיכון תקופתי הבודק את רמת אבטחת המידע על-ידי בדיקת הנושאים כגון הרשאות בארגון, מדיניות של טיפול בנושאים כספיים, מדיניות הרשאות וניהול סיסמאות. בנוסף, עמיר ממליץ להקשיח את המערכות ואת תשתית התקשורת בארגון כדי לנסות להקשות כמה שיותר על מי שמעוניין לבצע אליו פריצה ממוחשבת.

עמיר טוען כי יש לערוך צעדי מניעה גם בטרם גיוס העובדים לחברה, ולבצע בדיקות פוליגרף למועמדים. "כדאי גם לערוך להם תחקיר אישי מעמיק ולבקש תעודת יושר מהמשטרה. רק על פי התוצאות המתקבלות לתת את ההרשאות למידע הרגיש לעובדים".

"כדאי מאוד להעלות את המודעות בקרב העובדים לסכנות בזליגת המידע", מוסיף עמיר. "אמנם יש בשנים האחרונות מגמת שיפור בתחום זה, אך עדיין בארגונים רבים יש "חורים" המאפשרים גישה קלה למידע". עמיר ממליץ לחדד נהלי עבודה יומיומיים, ובמסגרת זו להקפיד על גריסה של מידע, על נעילת עמדות המחשב ועל התקנת אנטי-וירוס למחשבי החברה.

"רק אם החברות יהיו כל הזמן עם היד על הדופק באשר לנהלי האבטחה הללו ניתן יהיה למנוע חדירות אליהן ופגיעה בהן", מסכם עמיר.