נניח לרגע שאתם מנהלים חברת רהיטים ופונה אליכם עובד בחברה מתחרה עם הצעה מפתה: מידע יקר-ערך של המתחרים בתמורה לתשלום או משרה עתידית אצלכם. אם תיענו להצעה, גם אתם תיחשבו מפרי חוק ולא רק אותו עובד. החוק קובע מפורשות כי אדם שמקבל מידע עסקי ומודע לנסיבות אסורות שהביאו להדלפתו אחראי בעצמו להפרת החוק.
לאחרונה פורסם כי גוגל מפטרת שני עובדים בממוצע מדי חודש עקב דליפת מידע. במקרה של גוגל, מדובר בחברה בעלת מערכות מחשב מתקדמות המסייעות באיתור הדלפות כאלה. ארגונים אחרים אינם כה מתוחכמים, ולפיכך הם עלולים להעסיק מדליפים מבלי להיות מודעים כלל לסכנה.
הטיעון המשכנע ביותר נגד גניבת מידע הוא אי-חוקיותו. החתמת העובדים על הצהרת סודיות, יישום מדיניות הרשאות נכונה וחיוב העובדים להיכנס למערכת תמיד עם שם וסיסמה הם חלק מאמצעי המנע בהם ניתן לנקוט.
נניח שאתם חושדים בדליפה מהארגון שמקורה הוא אחד העובדים, אך אין לכם הוכחות. כיצד ראוי לפעול? אחת השיטות שצוברות תאומה בקמפיינים היא להציב "מלכודות דבש" עבור גורמים שיש להם אינטרס להזיק לארגון - ולכל מי שמחפש פירצה מבפנים.
הצבת מלכודת דבש
הנה תרחיש כלל לא בדיוני: ארגון שחושד כי אחד הסמנכ"לים הבכירים שלו נערך להקמת עסק מתחרה ופונה ללקוחות של הארגון. החברה פונה לחוקר פרטי שמקים עבורה לקוח פיקטיבי במערכת. הסמנכ"ל החשוד הוא היחיד הנחשף לעדכון אודות הלקוח הפיקטיבי החדש, כאשר המטרה היא לאתר קשר בין הסמנכ"ל להדלפה. כאשר הסמנכ"ל מעביר את המידע הלאה, וגורם שלישי מנסה לעשות שימוש במידע המסווג - מוכח דבר העתקה.
מקרה דומה נידון בשנה שעברה בבית משפט ישראלי, בתביעה של IVC נגד D&A, המתחרה בה בתחום המאגרים העסקיים. כדי לבסס את חשדה, יצרה IVC רשומות פיקטיביות ותיעדה כיצד אלה עשו את דרכן למאגר של דפי זהב. כדי לנסות ולהוכיח את התרמית, יצרה IVC שתי רשומות פיקטיביות. לאחר מכן אנשי IVC ביקשו מגורם שלישי, דוד רובין, לפנות ל-D&A ולהציג עצמו כמייצג קבוצת משקיעים זרים המעוניינים בהשקעה בחברות העוסקות בתחום מסוים.
רובין פנה למשרדי D&A ונענה על-ידי אחד מבעליה, יוסי גרין. לאחר השיחה גרין נכנס עם המינוי שלו לאתר IVC ושאב ממנו מידע בהיקפים גדולים על אודות החברות הרלבנטיות. גרין שלח דוח שכלל גם את החברות הפיקטיביות, עם הפרטים המפוברקים.
לפיכך, פנתה IVC לבית המשפט, בשלב ראשון, לצורך קבלת צו תפיסה למסמכי החברה ולמחשבים - ובית המשפט נעתר לבקשתה. בהמשך מתכוונת החברה לטעון כי בוצע כאן גזל של סוד מסחרי.
"הטמנת מלכודות שתכליתן לאתר עובדים או גורמים חיצוניים לארגון שחותרים להשיג מידע עסקי סודי או רגיש, היא שיטה מקובלת שנועדה לזהות גורמים חשודים", אומר עו"ד ד"ר נמרוד קוזלובסקי, "זו דרך חוקית ונבונה עבור ארגון החושד בריגול עסקי. ישנן שיטות רבות ליצירת 'מלכודות' כאלה: החל ממערכות מחשב פיקטיביות, המדמות מערכת פעילה המנסות לאתר מי מנסה לחדור לארגון (מכונות 'מלכודות דבש'), ומלכודות אחרות בדמות קבצים, מסמכים או ערכים במאגרי מידע ארגוניים שמבקשות להתחקות אחר גישה אליהם, שימוש בהם או העברתם".
אבטחה פרו-אקטיבית
כאשר מתעורר חשד בעובד מסוים, אחת השיטות היא לשלוח לו מייל עם פרטי גישה מסווגים לאזור מסוים בארגון, לכאורה בטעות. אם העובד עושה שימוש במידע שקיבל, כל פעולה שיבצע תהיה תחת מעקב.
"סוג כזה של פעילות היא אבטחה פרו-אקטיבית המבוססת על חקירות פורנזיות עקב הדלפה של מכרז, עובדים לא מרוצים ועוד", אומר עו"ד קוזלובסקי.
שיטה נוספת לאיתור שותפים סמויים למידע העסקי שלכם היא ה-read recipt, התכונה הקיימת במערכות אימייל מסוימות המאפשרת לשולח המודעה לקבל עדכון ברגע שהנמען פתח את המייל וקרא אותו. אם ההודעה מועברת אוטומטית לגורם נוסף, גם הוא עשוי לשלוח אישור קבלה אוטומטי.
שיטות נוספות הן להעמיד לרשות העובד החשוד קבצים מסומנים הכוללים טביעת מים והמאפשרים להתחקות אחר השימוש בהם מרחוק.
ואולם, יש לנקוט משנה זהירות בהכנתה של "מלכודת" בארגון ובליקוט המידע ממנה. על הארגון להיזהר ממצב בו "המלכודת" היא שיוצרת את המעשה האסור - ולא רק מתעדת את הניסיון לעבור אותו. שכן, טענה הגנה טובה בהליך האזרחי או המשמעתי תהיה לאדם שהוכשל על-ידי קובץ מטעה או שקרי לנקוט מעשה בתמימות.
לדוגמה, אם מסמך המלכודת מפתה את "החשוד" להשתמש בו או להעביר אותו באופן חוקי (אם הוא כולל, למשל, מידע אישי אודותיו) - יהיה קשה להוכיח פעולה אסורה.
כמו כן, חשוב לשים לב לאופן בו מתועד האירוע האסור ונשמרות הראיות. קיומה של "מלכודת" וחשד למעשה אסור אינם מקנים כשלעצמם זכות, ללא צו שיפוטי, לחדור לחומרי מחשב או חומרים מוגנים של החשוד במעשה, ואינם מקנים זכות לביצוען של האזנות סתר או מעקבים אסורים.
הזכות לפרטיות, המוגנת בין היתר בחוק הגנת הפרטיות ובחוק איסור האזנת סתר, מגנה על החשוד מפני התחקות בלתי חוקית או פלישה לפרטיות, ותוצאות פעולות בלתי חוקיות אלה תהיה פסולות, בתנאי החוק, מלשמש כראיה בהליך נגדו.
לכן, אם מאותר חשד למעשה ריגול עסקי או אף נתפס חשוד במלכודת, יש להיזהר בצעדי החקירה והתיעוד, פן יהיה בהם פגיעה אסורה בפרטיות שהינה בלתי חוקית ופוסלת את הראיות. ייעוץ משפטי יסייע בשלב זה לנהל את החקירה על-פי הוראות הדין ולהבטיח את אפשרות מיצוי הדין עם המרגל העסקי.
במקרה אחר, חברה בינלאומית בעלת הנהלה המורכבת משני "מחנות" מסוכסכים, הזמינה חקירת אבטחת מידע. כל מחנה חשד כי המחנה השני יצר קשרים עם גורמים חיצוניים לטובת אינטרסים המנוגדים לאלה של החברה.
בארגון הותקנה מערכת ניטור מורכבת המאפשרת לקבוע מערכת כללים ענפה ומייצרת התראה, למשל, כאשר עובד מנסה לשלוח לגורם חיצוני כמות קבצים הגדולה ממספר הקבצים הממוצע שהוא שולח ביום ומחוץ לתבנית שעות הפעילות שלו. במקרים חריגים אף נחסמה השליחה בזמן אמת.
ניטור מונע
לצד כל אלה, חייבים לזכור כי הקפדה על מספר כללי אבטחה בתוך הארגון יכולה לצמצם משמעותית את הסיכון למידע הארגוני. כך, ביצוע ביקורות קבועות, העמדת ממונים על אבטחת מידע, קביעת מדיניות שינוי סיסמאות, מדיניות הדפסה, חסימת העתקה לאמצעי אחסון חיצוניים, הגבלה טכנית של גישה לספריות, מדיניות גלישה באינטרנט וחסימת שירותים, ריענונים והדרכות, מחיקה תדירה של מידע הממוקם במקום שלא יועד לו מלכתחילה - כל אלה יכולים לסייע בצמצום הסיכון לדליפת המידע, גם במקרה שבו אדם מתוך הארגון פועל להדליף מידע.
התקנת מערכות ניטור בארגון היא מהלך נוסף שיכול לתרום משמעותית לצמצום סכנת ההדלפות. אם העובד ידע כי כל פעולה שלו מתועדת ונשמר לוג-אין שיטתי של כל פעולה, הוא עשוי להבין שכדאי לו להימנע מפעולה אסורה.
מערכות ניטור מתקדמות מאפשרות למפעיל להגדיר תבניות של פעילות נורמלית, כמו גם דפוסי פעילות חריגים ספציפיים. הגדרת הכללים האמורים צריך שתיעשה בהתאם למאפייני הארגון, דרכי העברת התכנים בתוך הארגון ומחוצה לו, מאפייני מידור פנימי בארגון, סוגי התכנים העוברים בצינורות הארגון ועוד.
בנוסף להגדרת סט הכללים הללו, ניתן גם לקבוע לגבי כל זיהוי פעילות איזה אקט יינקט - אקט "דיווחי" או אקט של ממש לניתוק או חסימת פעילות.
ארגונים קטנים ובינוניים חושבים שמערכות ניטור מיועדות לבנקים וגופים גופים בלבד. למעשה, יש כיום מערכות זמינות במחיר נמוך, ממערכות חינמיות ועד עלות של אלפי שקלים בשנה, במטרה לאפשר לארגונים לאתר תבניות בפעילות המידע שלהם ולגלות אנומליה.
נוסף על היתרון של המערכת במניעה טכנית של זליגה, עצם קיומה, כאשר אינו מוסתר מעיני המועסקים בארגון, יוצר אפקט הרתעתי משמעותי בארגון, שכן סט הכללים לניטור הפעילות החריגה איננו חשוף, והעובד עשוי להבין שכדאי לו להימנע מפעולה אסורה.
במקרים בהם יש חשדות קונקרטיים לדליפה, עומדים לרשות החברה אמצעי חקירה טכניים "ידניים", החל מכלים פשוטים של שליחת דברי דואל עם "בקשה לאישור קריאה", דרך שימוש בצירוף קבצים המאפשרים מעקב אחרי שליחה משנית של אותו דבר הדואר, וכלה בחתימות דיגיטליות ו/או בדפוס, המאפשרות זיהוי מסמך לאחר הדפסתו או שליחתו.
מדהים לגלות כיצד במקרים מסוימים, אפילו יותר מחצי שנה לאחר זריעת המידע המסומן, נמצא עותק שלו במוקד מרוחק המאפשר חקירה וזיהוי.
בנוסף, ניתן להעמיד מערכות נגישות מרחוק ובהם מידע ייעודי שעשוי לעניין את החשוד, ולהצליב את הכתובת ממנה התחבר החשוד אל האתר, אם פרטים אחרים ידועים מראש.
הכותב הוא מומחה לניהול חקירות פורנזיות ואבטחת מידע בחברת אלטל
הערת מערכת - התנצלות: "בניגוד לנאמר בגירסה הראשונית של מאמר זה, לחברת דן אנד ברדסטריט אין ולא היה מעולם כל קשר לאמור במאמר. אתר גלובס מביע צער אם כתוצאה מפרסום שגוי זה נגרם לחברה נזק ומתנצלים על כך".