ידע הוא כוח – במיוחד כשהוא נמצא בידיים של המתחרים שלך
מדי יום, מנהלים ועובדים בחברות בכל העולם מנסים להשיג מידע על חברות מתחרות, על המוצרים והשירותים שלהם, על מצבם הכספי, על מצב המכירות ותכנית השיווק.
בכתבה זו נספר לכם על "העולם התחתון" של תחום המודיעין העסקי, הוא הריגול התעשייתי, ונדריך אתכם כיצד למנוע זליגה של מידע קריטי למתחרים שלכם.
מהו ריגול תעשייתי?
מודיעין עסקי הוא מושג המתאר את מכלול הפעולות החוקיות לאיסוף מידע על ארגון מתחרה. אולם יש ארגונים ששואפים ליותר מזה. ריגול תעשייתי הוא מושג המתאר מכלול פעולות לאיסוף "מידע פנים" על ארגון מתחרה. ריגול תעשייתי מבוצע ביומיום על ידי גופי מודיעין, אולם בהקשר אזרחי פעולת ריגול תעשייתי נחשבת לעבירה פלילית בישראל ובמרבית המדינות בעולם. על פי רוב, מדובר בניסיון לגנוב קניין רוחני.
הניסיון שלנו מלמד שהיקף הריגול התעשייתי בישראל גדול יותר ממה שרוב האנשים מאמינים.
איזה סוג של "מידע פנים" ריגול תעשייתי מנסה להשיג?
סודות מסחריים
ההגדרה של המושג "סוד מסחרי" משתנה ממדינה למדינה, אולם באופן כללי הכוונה למידע מהותי ורגיש הנוגע למערכות הפנימיות של הארגון, כגון התפתחות טכנולוגית, מוצר חדש הנמצא בפיתוח.
מידע בנוגע ללקוחות והתקשרויות נוספות
פרטי הקשר של הלקוחות, כולל מידע אודות היסטוריית הרכישה שלהם ומצבם הפיננסי. זה כולל מידע בנוגע להתקשרויות עתידיות, כגון לקוח שאתם מחזרים אחריו, או חברה שאתם שוקלים לרכוש.
מידע פיננסי
מידע על מצב תזרים המזומנים, מצב ההלוואות, סטטוס המכירות, מידע הקשור בהתמודדות במכרזים וכו'.
מידע שיווקי
ידע מוקדם אודות מהלכי שיווק מתוכננים.
תעשיות הנמצאות בסיכון גבוה לריגול תעשייתי
האם ידוע לכם עד כמה החברה שלכם "מושכת מרגלים"?
אמנם הניסיון לגנוב קניין רוחני יכול לקרות בכל תעשיה, בתעשיות שבהן יש השקעה נרחבת במחקר ופיתוח יש סיכון מוגבר לריגול תעשייתי. תעשיות אלו כוללות הייטק, רכב, אנרגיה, מוצרים כימיים ופארמה. אולם מצאנו שמודיעין עסקי וריגול תעשייתי קיים גם בתעשיות הפיננסים והקמעונאות, ככל הנראה עקב התחרות החריפה.
מדוע לא שומעים הרבה בתקשורת על ריגול תעשייתי?
קשה לזהות ריגול תעשייתי, וקשה עוד יותר להוכיח שריגול שכזה אכן התרחש.
למרות שמדי פעם מתפרסם בחדשות מקרה סנסציוני על ריגול תעשייתי בין חברות וארגונים, מדובר מניסיוננו בתחום רק בקצה הקרחון. ארגונים רבים מאוד סובלים מריגול תעשייתי אולם הם אינם מפרסמים את דבר המעשה. מדוע? יש לכך מספר סיבות:
קשה להוכיח
ריגול תעשייתי מבוצע לעתים קרובות בידי אנשים מתוך הארגון, שיש להם גישה למידע רגיש. במקרים כאלה, כאשר לא הייתה שום חדירה מבחוץ, קשה מאוד להוכיח בבית משפט שנעשה דבר עוולה.
מערכות החוק זזות לאט
אם גיליתם שמתחרה שלכם מחו"ל, כלומר שהמטה שלו יושב במדינה אחרת, ביצע ריגול תעשייתי כנגדכם, ייתכן שתגלו שזהו תהליך איטי, מסובך ויקר להפעיל את מערכות החוק כנגדו. גם כשהארגון המרגל הוא מקומי, מדובר בתהליכים משפטיים ארוכים ומייגעים וכלל לא בטוח שתגיעו לתוצאה אליה קיוויתם בסוף התהליך.
תדמית שלילית
אם יוודע בציבור שמערך האבטחה שלכם נפרץ, ושדלף מידע רגיש מתוך המערכות הפנימיות של החברה שלכם, זה עלול להביא לפגיעה תדמיתית ואף כלכלית בארגונכם. משקיעים, לקוחות וספקים יראו אתכם באור אחר, פחות מחמיא. דוגמה עדכנית לכך היא "פרשת שירביט". ב-1 בדצמבר 2020 פורסם כי קבוצת האקרים חדרה למערכות חברת הביטוח ומידע רגיש של לקוחות, כולל עובדי מדינה, דלף החוצה וחלקו הגיע לציבור הרחב. התוצאה הייתה קשה עבור שירביט.
המאשים הופך לנאשם
עם שוך סערת הגניבה, עלולה להתחיל סערת המחדל: ייתכן שתעמדו בפני האשמה על כי לא הקפדתם על נהלי אבטחת מידע מתוקנים, בבחינת "פירצה קוראת לגנב". לדוגמה, בשנת 2021, רשות שוק ההון הודיעה על הטלת עיצום כספי של מיליוני שקלים על שירביט בעקבות חשד שלא התקיימו מנגנוני בקרה ופיקוח נאותים בתחום ניהול סיכוני סייבר"
שיטות ודרכי פעולה לביצוע ריגול תעשייתי
התקפות סייבר
במסגרת מתקפת סייבר, האקרים משיגים גישה למערכות פנימיות של הארגון המותקף, באמצעות תוכנות ריגול היודעות לזהות ולנצל פרצות באבטחת המידע. מכון מחקר בולט חקר ומצא גידול עצום בכמות התקפות הסייבר המבוצעות כנגד חברות וארגונים ברחבי העולם (מעשרות מקרים מתועדים ב-2007 עד מאות מקרים מתועדים ב-2018). מבט מהיר באתר כיום מגלה תיעוד של עשרות התקפות סייבר רק בחודש מרץ 2022.
הערה מקצועית: למרבית החברות כיום יש אבטחת מידע סבירה, אולם אם הארגון שלכם נמצא בקבוצת סיכון למתקפת סייבר, עליכם להיערך לכך בצורה הרבה יותר מקצועית, לכתוב נהלים ולנקוט אמצעים לניהול מצבי חירום שונים כדי להגיב אפקטיבית בזמן אמת למתקפה שכזו, אם תבוא.
חפרפרת
כשמדובר בהשגת מודיעין עסקי בין חברות וארגונים, אמצעי הריגול הנפוץ יותר ממתקפת סייבר הוא האיום הפנימי, כלומר שימוש בעובדי החברה שלכם כנגדכם. במקרה זה, המתחרה "ישתול" עובד חדש בחברתכם, או "יגייס" עובד קיים שבזמן שהם עושים את עבודתם היומיומית הרגילה, הם גם אוספים מידע פנים למסור למעסיק האמיתי שלהם.
המתחרה עשוי לשכנע את העובד בכסף, נכסים או לסחוט אותו באיומים. ריגול תעשייתי בידי עובדים זהו דבר שיותר קשה לזהות מאשר מתקפת סייבר, לכן האקט הזה נפוץ יותר בעולם של חברות וארגונים.
אובדן התמימות
מרגלים מקצועיים נוהגים לעשות שימוש בתמימות האנשים מן השורה. כך לדוגמה, מרגל ישלח מייל מנוסח היטב לעובד בחברה, הכולל לינק. בלחיצה על הלינק תוכנת ריגול "מתיישבת" על אותו מחשב ומתחילה להעתיק מסמכים, תמונות וסיסמאות כניסה, וכל זה ללא ידיעת וללא כוונת אותו עובד.
כך תמנעו ריגול תעשייתי מלהתרחש בחברה שלכם
בצעו הערכת סיכונים
הטילו על קבוצת אנשים מיומנת בנושא לשבת ולערוך ניתוח סיכונים לגניבת מידע פנים. מהו המידע הארגוני בעל הערך החשוב ביותר לחברה? זהו את נקודות התורפה ואת נכסי הקניין הרוחני שעשויים לקרוץ ביותר עבור ארגון מתחרה או קבוצת האקרים חמדנית.
כתבו נהלים
עשו רשימה של הסודות המסחריים ודרכי ההגנה עליהם. כתבו נהלים להגנה על נכסים רגישים והקצו משאבים כדי לוודא שאותם נהלים מיושמים. הבהירו לעובדים חוקי "ייהרג ובל יעבור" כמו לדוגמה: איסור שיתוף סיסמאות, איסור עבודה על גבי מחשבים אישיים וכו'. ודאו שהנהלים מבוצעים קודם כל בקרב ההנהלה הבכירה, וזה יבטיח שיתוף פעולה רציני יותר בקרב שאר העובדים.
בשלב מתקדם יותר, אנו ממליצים לכם להכין תכנית מענה לחירום, הכוללת נהלים ליישום במקרה שזיהיתם אקט של ריגול תעשייתי. התכנית תעזור לכם להגיב מהר ובאפקטיביות כדי לצמצם את הנזק הנגרם.
הגבילו גישה
למי צריך להיות גישה למידע X? ומתי? ארגונים שמגינים על עצמם מפני ריגול תעשייתי מיישמים בדרך כלל מדיניות של "אם אתה לא חייב גישה למידע הזה, הוא לא יהיה זמין לך" הגבלת גישה היא אחד העקרונות החזקים והאפקטיבים ביותר במניעת ריגול תעשייתי והקטנת הסיכונים לגניבת קניין רוחני.
אבטחו את המתחם הוירטואלי והפיזי
תוכנות אנטי וירוס ואנטי ריגול הם הצעד הראשון בלבד בתכנית אבטחה ראויה לשמה. למשל, האם המידע הקריטי נמצא ברשת הארגונית במקום חשוף? תכנית אבטחה שמה דגש להפריד את המידע הרגיש ממידעים פחות רגישים. האם יש מחלקה שעובדת על מידע רגיש, שכל עובד חברה יכול להיכנס אליה? זהו גורמי סיכון ונקטו באמצעים הנדרשים.
חינוך
זה אחד האמצעים החשובים ביותר. האם העובדים שלכם מבינים את האיומים העומדים בפני החברה? האם הם מרגישים עצמם שותפים לנשיאה בנטל האחריות בהגנה על הקניין הרוחני של החברה?
בדיקת רקע
בצעו בדיקות רקע על מועמדים לגיוס לחברתכם, במיוחד בתפקידים המקנים גישה למידע רגיש.
שימו לב גם לעובדים קיימים, האם חל שינוי כלכלי מהותי באורח חייהם? אחת לכמה זמן, ארגון ששומר על רמת אבטחה גבוהה מבצע לעובדים שלו בדיקות רקע.
לסיים בטוב
ודאו שלעובדים שעוזבים אין גישה למערכות הפנימיות או למידע רגיש מסוג אחר. בנוסף, כאשר עובדים יודעים שהם עומדים לעזוב, זהו זמן רגיש מאוד, במיוחד אם התחושה הרגשית שלהם לא טובה בנוגע לעזיבה. יש לשים לב לכך בצורה הדוקה.
שימו לב:
זוהי עצה לא רק להגנה מפני ריגול תעשייתי, אלא גם לניהול טוב יותר: שימו לב מה העובדים שלכם עושים. עצם הידיעה של העובדים ש"רואים אותם" עשויה להרתיע עובד סורר מלהפוך לחפרפרת.
לסיכום, אנו מקווים שהפקתם ערך ממדריך זה וממליצים לכם להקים מערך מקצועי המיומן בתוך הארגון או בעזרת חברה שמתמחה בשירותי מודיעין עסקי, בהדיפת איומים והקטנת סיכונים הכרוכים בגניבת הקניין הרוחני שלכם.