מה ההבדל בין "מודיעין עסקי" ל"ריגול תעשייתי"?

בעידן בו "מידע עסקי" הוא אחד הגורמים החשובים להשגת יתרון תחרותי, צריך לשים לב איפה בדיוק עובר הקו שהופך אותו ל"ריגול תעשייתי"

בעידן בו "מידע עסקי" הוא אחד הגורמים המרכזיים להשגת יתרון תחרותי, הפכה דיסציפלינת "איסוף המודיעין התחרותי" לחלק לגיטימי מהפעילות העסקית של מרבית החברות המובילות בעולם.

"ריגול תעשייתי", לעומת זאת, יושב על המשבצת הלא-לגיטימית של איסוף המודיעין העסקי ונחשב לעבירה פלילית. גם אם יש כאלה, הנוטים לחשוב שכל דיסציפלינת "איסוף המודיעין התחרותי" פועלת ב"תחום אפור", הרי שהגדרות החוק ברורות ושיטות האיסוף החוקיות מבודלות באופן נחרץ מהשיטות הלא-חוקיות.

בין השיטות הלא-חוקיות נמצאים פריצות למשרדים, האזנות סתר לטלפונים ולמערכות מחשב, מעקבים וצילומים בסתר, גניבת מסמכים ותוכניות ייצור, גניבת דואר, מחשבים ואמצעי אחסנה, ומתן שוחד לעובדים.

בעבר, ריגול תעשייתי התמקד בהחדרת עובד סמוי שישמש כ"חפרפרת" או דרך גיוס עובד חברה לתפקיד - החל מפקיד זוטר ועד למנהל בכיר החברה - ותגמולו בהתאם (כל מי שהיה מוכן להעביר סודות מסחריים ליריב תמורת הכנסה נוספת, התאים). אחד החפרפרות המפורסמות הוא חוזה לופז, לשעבר בכיר ביצרנית המכוניות ג'נרל-מוטורס. בכתב אישום שהוגש נגדו נטען, כי בשנת 1992 העביר סודות מסחריים למתחרה פולקסוואגן, במיוחד כאלה שנוגעים לדגמים בפיתוח.

האזנות סתר היו ועודם שיטה פשוטה ופופולרית. אפשר לשתול מיקרופון ממוזער כמעט בכל חפץ או פריט ריהוט, כך שלא יעורר חשד בסביבת העבודה של המתחרה, למשל, בעציץ שבמשרד. פרשת נמרודי, הנודעת גם כ"פרשת האזנות הסתר", טלטלה את עולם התקשורת והפוליטיקה בישראל. הפרשה התפוצצה בשנת 1994, עם מעצרם של מספר חוקרים פרטיים, שביצעו האזנות סתר לגורמים שונים בשתי מערכות העיתונים המובילים דאז. נגד המבצעים ושולחיהם הוגשו כתבי אישום, וכל המעורבים בפרשה שילמו מחיר כבד וחלקם אף ריצו מאסר בפועל.

גם העובדים מסוכנים

כיום, עם ההתפתחויות הטכנולוגיות, מרבית פעילויות הריגול הלא-חוקיות מתמקדת בעברות מחשב. חלקן על-ידי גניבה "רגילה" של אמצעי אחסנה וגיבוי, ומרביתן על-ידי החדרת תוכנות "סוס טרויאני" למחשבי היריב. תוכנות אלו מאפשרות קריאת קבצים ושידורם ליעדים נבחרים, תוך שימוש בתשתית האינטרנט. בשנת 2005, למשל, התפוצצה בישראל פרשת ריגול תעשייתי חמורה, במהלכה נתגלו תוכנות סוס טרויאני במחשבי חברות מובילות ומרכזיות במשק הישראלי.

אין זה פלא, אם כן, כי שוק אבטחת המידע מגיע כיום לכ-3.5 מיליארד דולר, ועל-פי ההערכות הוא צפוי להכפיל את עצמו בתוך כעשור. בין החברות הפעילות בתחום אפשר למצוא, כמובן, את מפתחת מוצרי אבטחת הרשת "צ'ק פוינט" הישראלית.

שיטת ריגול נוספת, שמידת הפופולריות שלה הייתה ונשארה גבוהה, היא התחזות וביקור אצל חברות מתחרות. זה יכול להתחיל מ"ראיון עבודה" תמים עם "מועמד פוטנציאלי", דרך פגישה עם "ספק" ועד לחדירת "עובדים" לאזורים השמורים ביותר בחברה. בישראל הובלטה פרשיית ריגול כזאת בשנת 1995, כש"זוגלובק" הגישה קובלנה פלילית נגד "טבעול" בטענה, כי בשנת 1990 נתפסו שני חוקרים פרטיים כשהם לובשים חלוקים לבנים של "זוגלובק" וברכבם אריזות של מוצר חדש שפיתחה החברה.

ולמרות כל אלה, חשיבות רבה צריכה להינתן למידע הנצבר אצל עובדי הארגון, מתוקף עשייתם ומעורבותם במערכת, ועל היכולת העתידית שלהם לחשוף מידע סודי ואסטרטגי לחברה מתחרה. כך קרה, למשל, בשנת 2007, כשפרשת ריגול תעשייתי הסעירה את עולם המרוצים: קבוצת "פורמולה 1" של מקלארן, מהמפוארות, העשירות והמצליחות אי-פעם על המסלול, איבדה את כל הנקודות שצברה במהלך מרוצי העונה, לאחר שהתקבלה טענת קבוצת פרארי, יריבתה הגדולה, על שימוש שעשתה במידע סודי שהועבר אליה על-ידי עובד פרארי לשעבר. בנוסף לעונש ביטול הנקודות שקיבלה, מקלארן שילמה קנס אדיר של 100 מיליון דולר, לאחר שנמצאה אשמה בשימוש במידע האמור.

אם נלך עם הריגול התעשייתי קצת יותר רחוק, נראה שהוא עשוי אף לייצר משבר בין מדינות. כך בדיוק קרה באחרונה, כשארגון המסונף למינהל הסיני לשמירת סודות המדינה פרסם כי נחשפה פרשיית ריגול תעשייתי על-ידי ענקית הכרייה האוסטרלית "ריו טינטו", שעלתה לסין 102 מיליארד דולר.

מנהל "ריו טינטו" בסין, סטרן חו, אזרח אוסטרליה, נעצר לפני כשנה עם שלושה עובדים נוספים. החשדות המוצהרים נגדם מגיעים עד גניבת סודות מדינה ופעולות הפוגעות באינטרסים הכלכליים של סין.

אז איך מתגוננים?

ראשית, על-ידי ניהול מערך אבטחה מקצועי ופעילות מודיעין מסכל. על מערך האבטחה לקיים "סקר סיכונים" מקיף ומעמיק בחברה, שמטרתו למפות את מערך האיומים והסיכונים שאליהם חשופה החברה, להציע המלצות לסגירת הפערים, ובהמשך - ליישם ולהטמיע את ההמלצות בארגון.

תוצאות הסקר יאפשרו למערך האבטחה לגבש "תפישת אבטחה כוללת", שמתייחסת ומסדירה את נוהלי מערכות המידע, נוהלי השמירה, נוהלי מבקרים, נוהלי גיוס עובדים וכיו"ב. הטמעה של תפישת אבטחה כוללת ואפקטיבית מחייבת הפנמה אצל כל עובדי הארגון, כי המידע לא זורם רק במערכות המידע הממוחשבות.

כדי להימנע מחפרפרות, לדוגמה, יש לערוך לעובדים מבדקים קפדניים לפני קבלתם לעבודה, כאלה שיבדקו את מהימנותם ואת נאמנותם בהתאם למעמד הארגוני ולרגישות התפקיד אותו הם עתידים למלא. גם במהלך כהונתם מומלץ לוודא כי מידע לא זולג החוצה, בכוונת זדון או שלא בכוונת זדון.

הטמעה מוצלחת של מערך אבטחה ומודיעין מסכל משמעה הטמעה של תרבות ארגונית חדשה בארגון. כל עובדי הארגון, החל מהעובד הזוטר ביותר ועד המנהל הבכיר ביותר, צריכים להכיר עד כמה יקר ערך המידע שנאגר בחברה ועד כמה הגנה על מידע זה חיונית להצלחת העסק.

הכותב הוא מומחה למודיעין עסקי, המייסד והבעלים של קבוצת CGI