ריגול עסקי מיוחס על פי רוב לענף הלא לגיטימי של המודיעין העסקי/תחרותי. אם נסכים לקבל הנחת יסוד זו, נוכל להשוות את המודיעין הצבאי למודיעין העסקי: בסביבה עסקית ותחרותית ניתן לאסוף מידע, לנתחו ולהפיק ממנו משמעויות אופרטיביות לפעולה!
איסוף מידע לגיטימי כולל בדרך כלל את המרכיבים הבסיסיים המוכרים לכל: מעקב אחרי פרסומים פומביים (OSINT- Open source intelligence ) הודעות לבורסות, הופעות בכנסים, ניתוחי קהלי היעד ועוד.
איסוף מידע לא לגיטימי כולל את כל הפעולות המוגדרות והמוכרות בשם "ריגול עסקי". בתוכו ניתן למנות את מערך האזנות הסתר (( electronic surveillance (E.S), גניבת מסמכים ואמצעים, מתן שוחד ואתנן וכמובן שימוש משמעותי במרחב הסייבר (Cybercrime).
למה סייבר?
מעצם טבעו, המרחב הקיברנטי מתאים לאיסוף מידע וניהול פעולות לריגול תעשייתי. המרחב הווירטואלי מאפשר כידוע פעילות אנונימית וחמקמקה, חשיפה לכמות גדולה ומשמעותית של מידע ללא תלות בגבולות הזמן המרחק וגבולות קרקעיים/פיזיים. הוא שקט, זול וקשה מאוד לייחוס.
היתרון היחסי בריגול עסקי באמצעות סייבר מאפשר חשיפה, איסוף ושינוע מהיר מאוד של המידע אל מחוץ לארגון.
מערכות המשפט, החקיקה והאכיפה בארץ ובעולם לא מצליחות לצעוד ב-100% אחר הקדמה הטכנולוגית והתהליכים המהירים בסייבר. פעילות גלובלית עוינת במרחק מקלדת ומיומנות המפעיל מביכה ארגונים, מערכות הגנה, תשתיות ומדינות.
הגדרת ריגול עסקי
זהו למעשה הוצאה שלא ברשות של מידע עסקי חסוי, שמטרתו השגת יתרון טכנולוגי ו/או רווח כלכלי. מידע כזה עשוי לכלול נתונים אסטרטגיים, תכנוניים, חדשנות טכנולוגית, תהליכי פיתוח ומחקר, תהליכי ייצור שיווק ומכירה וכמובן תכניות פרסום. הגדרה זו משייכת אם כך את הריגול העסקי כענף ממשפחה רחבה יותר המוכרת לנו כ"פשיעה כלכלית" (מעילות, הונאות, גניבות ועוד). בהתייחס לאיום זה, ריגול באמצעות הסייבר חייב להבליט את תכונתו המאפיינת והמאפשרת, הגלובליזציה.
מדו"חות "המשרד הלאומי למניעת ריגול בארה"ב" (ONCIX) מתחדד האיום הכולל גניבת מידע מסחרי הן לגופי הממשל והן לסקטור הפרטי. יתרה מזאת, מעיון בדו"חות "הערכת האיומים" האמריקאי לשנת 2013 ניתן להתרשם מעליתו החדשה של גרף איומי הסייבר. איומי הסייבר בדו"חות אלה עולים לראש רשימת האיומים על ארה"ב ובכך עוקפים את איומי הטרור המסורתי, הפצת נשק להשמדה המונית ועוד.
סוגיית הערכת הנזק
מרבית החברות העסקיות והארגונים אינם ערוכים, ולכן גם אינם מסוגלים כיום לזהות, לחסום או לנטרל ריגול תעשייתי בסייבר. במקרים המעטים בהם חברות וארגונים אכן מצליחים להבחין בניהול פעולות ריגול שמתבצעות כנגדם, וגם אם אותרה תוכנת הריגול הם מתקשים בסופו של יום להעריך את כמות המידע שדלף, טיבו והיקפו. ארגון ה -FBI העריך, כי מול כל אירוע בו חברה אמריקאית זיהתה שרשתות המחשב שלה נפרצו, התרחשו כמאה אירועים דומים, בהם חברות שרשתות המחשב שלהן נפרצו לא הבחינו בכך.
מנהלי אבטחה בכירים וראשי מחלקות IT מדווחים, כי הנטייה הטבעית כשמתגלה כלי תוכנה לא מוכר או תוכנה זדונית במחשבי החברה היא לפעול באופן מיידי להסירה, תוך ווידוא ששאר המערכות ממשיכות לתפקד. מעטים המקרים בהם מתנהלת חקירה פורנזית מקיפה ומקצועית. חקירה זו היא חקירה יקרה באופן יחסי ולא תמיד מובילה למסקנות פוזיטיביות.
בהקשר הערכת הנזק, יש להתייחס לנזקי הקניין הרוחני. כידוע, ערכו של הקניין הרוחני אינו משתקף בהכרח בערכה של ההשקעה שבוצעה כדי ליצור אותו.
מקובל בעולם לחלק את עלות הפשיעה הקיברנטית לשלוש קבוצות עיקריות: עלות ההיערכות, כמו: מאמצי אבטחה, התאמה לתקני אבטחה נדרשים והוצאות ביטוח; עלות נזק ישיר, כמו: פגיעה בתפקוד, תיקון הפגיעה, עלויות זמן עבודה, סגירת פרצות ושחזור מידע, הפסדים ישירים לעסק, פיצוי לקוחות, קנסות וסוגיות משפטיות; אומדן נזק עקיף, כמו אובדן אמון הלקוחות, אובדן עסקאות והכנסות עתידיות, פגיעה במותג וכדומה.
להלן מספר דוגמאות ודיווחים של מדינות השייכות למדינות המערביות: המשרד הפדרלי הגרמני להגנה על החוקה מעריך שלחברות גרמניות נגרם הפסד שנתי הנאמד בין 28 ל־ 71 מיליארד דולר, וכי בין שלושים לשבעים אלף מקומות עבודה אובדים עקב ריגול כלכלי זר. דרום קוריאה דיווחה שהעלויות שנגרמו לה כתוצאה מריגול כלכלי שבוצע על ידי גורמים זרים בשנת 2008 היו 82 מיליארד דולר, לעומת 26 מיליארד דולר בשנת 2004.
לפי דיווח זה, שישים אחוזים מהקורבנות היו עסקים קטנים ובינוניים, ומקורן של מחצית מהתקיפות הוא בסין. משרד הכלכלה, המסחר והתעשייה של יפן ערך ב־ 2007 סקר בקרב 625חברות יצרניות, ומצא כי יותר מ־ 35 אחוזים מהחברות שנטלו בו חלק דיווחו על הפסד טכנולוגי כלשהו, וכי יותר משישים אחוזים מהמקרים המדווחים היו קשורים לסין. גורמים בריטיים רשמיים העריכו, כי ההתקפות על מערכות מחשב, כולל ריגול תעשייתי וגניבה של מידע מסחרי של חברות, עולות למגזר הפרטי הבריטי 34 מיליארד דולר לשנה. יותר מארבעים אחוזים מסכום זה נגרמים מגניבה של קניין רוחני, כמו מִפרטים, נוסחאות וסודות של חברות.
הרשות לאבטחת מידע והגנה על המידע- מה קורה בישראל?
מדינת ישראל הינה מדינה עתירת טכנולוגיה מתקדמת. חלק ניכר מהייצוא של ישראל נשען על חברות שיש להן תלות רבה בקניין רוחני. לפיכך, ניתן להניח שישראל מהווה יעד לגניבת קניין זה. בשנת 2003 הוקמה בישראל "הרשות לאבטחת מידע" ( רא"ם). גוף חשוב זה נועד לרכז את פעילות אבטחת התשתיות הקריטיות של מדינת ישראל מפני תקיפות המבוצעות בתווך הקיברנטי ומאיימות לפגוע בתשתיות אלה. רשות זו אינה פועלת ואינה מסייעת למגזר העסקי הפרטי, וכיום אין אף גוף מאורגן המספק פעולות להגנת מגזר זה מפני ריגול מסחרי בסייבר. כתוצאה מכך, ישראל נמצאת כיום בפיגור בכל הנוגע להגנת המגזר העסקי ביחס למדינות רבות בעולם.
עבודת מחקר ראשונית להערכת נזקי הריגול בישראל, שנעשתה עבור מטה הסייבר הלאומי על ידי חברת Meidata אומדת את הנזק השנתי למשק הישראלי בין מיליארד דולר לשלושה מיליארד דולר.
לסיכום - תובנות והמלצות
1. מרחב הסייבר משמש כר נוח לריגול עסקי ותעשייתי.
2. אין בישראל ארגון מרכזי המסייע למגזר הפרטי בתחום זה בתווך הסייבר.
3. קיימת מודעות מאוד נמוכה בקרב המגזר העסקי לאבטחת המידע ולהתמודדות עם איומי הריגול בסייבר.
4. עסקים קטנים ובינוניים משקיעים בתשתיות פיתוח ייצור ושיווק, אך תחום אבטחת המידע והסייבר זוכה להתייחסות מועטה אם בכלל.
5. קיים קושי מובנה בקיום הערכת נזק לעסק שנפל קורבן לריגול עסקי.
6. ניטור מערכות ארגוניות אינו מהווה מטרה אלא אמצעי כחלק ממערך אבטחת המידע השלם.
7. ראוי שכל עסק, כחלק מרכזי מניהול הסיכונים שלו, ינהל סיכונים בסייבר.
8. עסקים וארגונים ינהלו באמצעות מומחים תהליך של קביעת מדיניות ביטחונית בהתחשב בניתוח האיומים הפנימיים, האיומים החיצוניים, איום הייחוס ונכסי הארגון.
9. יש לבחון, כל הזמן, בחינה קבועה ונוקבת את מידת האפקטיביות של תפיסת הביטחון השלמה בארגון/עסק.
10. ביטחון פיזי, אבטחת מידע ואבטחת הסייבר הם חלק מהשלם השייך ל"תרבות הארגונית".
* ירון עידן, קרימינולוג ומשפטן, בוגר תואר שני במשפטים, מנהל משרד חקירות המתמחה בתחום הסייבר וכן משמש כיועץ בכיר בתחום אבטחת המידע ושילוב מערכות הגנה. ירון עידן הוא יוצא מערך המודיעין ובעל דרגת אל"ם (במיל').
