$
משפט

רשת חברתית היא בסיס מצוין לריגול תעשייתי. כך נזהרים

רואי חשבון המתמחים בניהול סיכונים בחברות מסחריות ממליצים איך וממה צריך להיזהר ביחס לפרטים שגולשים חושפים דרך שגרה ברשת. מתאריך הלידה ועד סיפורים על הבוס - הכל הוא כלי במשחק הריגול התעשייתי

הדר קנה 09:2313.01.09

דרך טובה לפגוש חברים ישנים, למצוא אהבה או מקום עבודה חדש, או סתם להפיג את השעמום - כך מתייחסים רוב הגולשים לזמן הרב שהם מבלים ברשתות החברתיות באינטרנט, דוגמת פייסבוק, מייספייס או לינקד־אין. אבל רואי חשבון המתמחים בביקורת חקירתית וניהול סיכונים רואים בגלישה הזו משהו אחר לגמרי - ומאיים למדי.

 

"כשאני מסתכל ברשת חברתית על פרופיל של אדם אני מקבל עליו המון אינפורמציה שאפשר לנצלה למטרות שונות, כשרות יותר ופחות", מסביר רו"ח עופר אלקלעי, שותף מנהל במשרד אלקלעי מונרוב - בקרה וניהול סיכונים. "השמות שלו ושל קרובי משפחתו, איפה למד בתיכון ובאוניברסיטה, איפה שירת בצבא, באילו מקומות הוא עובד, הקשרים העסקיים והחברתיים שלו, ועוד. לכן, כשאנחנו נכנסים לארגון ובודקים את זליגת המידע ממנו, בדרך כלל הדבר הראשון שאנחנו עושים זה להסתכל במחשב".

 

"אני מעורר את המודעות של הארגונים למידע שיש ברשתות הללו", אומר אלקלעי, "ותמיד ממליץ למנהלי הארגון לנקות את המחשבים ולחסום את הרשתות החברתיות בעבודה. זה מיד מסמן לעובד שיש בעיה עם הרשתות החברתיות הללו. מעבר לכך אני ממליץ למנהלים לעדכן את העובדים במה מותר ומה אסור להם לכתוב ברשת, גם מחוץ לשעות העבודה".

 

מקור מידע אמין

 

רשתות חברתיות הן מקור מידע אמין, מעצם העובדה שהאדם שפותח בהן כרטיס מספק את המידע על עצמו. משום כך גדול הפיתוי של גורמים שונים לנצל את המידע הזה. רואי חשבון העוסקים בביקורת חקירתית ובניהול סיכונים מספרים כי כמעט אין גבול לדרכים שבהן ניתן לעשות שימוש לרעה בנתונים הללו, וטוענים כי שימוש שכזה אף נמצא במגמת עלייה בשנים האחרונות.

 

אלקלעי מסביר כי מידע עסקי רב מצוי ברשתות החברתיות, וגורמים המעוניינים בו צריכים רק להיות ערניים אליו ולאסוף אותו.

 

רשת כמו לינקד־אין, לדוגמה, מיועדת ספציפית לתחום העסקי: "אדם כותב ברשת איפה הוא עובד, מי עובד איתו, על אילו פרויקטים הוא עובד, הרבה פעמים הוא גם כותב מי הלקוחות של החברה שבה הוא עובד, או שפתאום הוא מעדכן שהוא עושה רילוקיישן למדינה אחרת. האדם נותן מידע שמבחינתו האישית הוא לא קריטי, אבל יכול להיות מאוד חשוב למתחרים של החברה שלו. פתאום החברה המתחרה יודעת איזה פרויקטים החברה שלך מפתחת, יודעת את הפריסה הגיאוגרפית של החברה וסוגי הפרויקטים שעליהם היא עובדת".

 

מימין: רוה"ח מונרוב ואלקלעי. מונרוב: המבקר הפנימי בודק מדי פעם את הפייסבוק של העובדים כדי לראות שלא יוצא מידע מימין: רוה"ח מונרוב ואלקלעי. מונרוב: המבקר הפנימי בודק מדי פעם את הפייסבוק של העובדים כדי לראות שלא יוצא מידע צילום: ירון ברנר

 

גיא מונרוב, שותפו של אלקלעי למשרד, מוסיף: "המידע הזה עוזר בעיקר במקרים של ריגול תעשייתי. אני רואה את הקשרים של החברה ועם מי היא עושה עסקים, מתי נוסף להם לקוח חדש וכדומה. אני יכול לקבל תמונה מלאה לגבי הפרויקטים החדשים של החברה ואולי להתחיל לחשוב אם אני רוצה לגנוב לו את הלקוח החדש".

 

מהצבא ועד לבנק

 

תחום הביקורת החקירתית וניהול הסיכונים הוא תחום נלווה לעולם החשבונאות, שצמח על רקע המעילות הרבות שנעשו בחברות גדולות. הוא מתפרס על פני תחומים רבים, ובהם סיכוני שוק, סיכונים בתחום האשראי ואבטחת מידע. סקר סיכונים שעורכים רואי חשבון בחברה ששוכרת את שירותיהם מיועד לגלות את כל פרצות המידע בארגון ולמנוע אותם בעתיד. במסגרת זו מרבים רואי החשבון להיתקל בזליגות מידע דרך הרשתות החברתיות.

 

לדברי מונרוב, כ־80%-90% מהחברות זקוקות כיום לסיווג מידע כזה או אחר. "זה רלבנטי לארגונים ביטחוניים כמו הצבא ומשרד הביטחון, ותקף גם לחברות מסחריות שחשופות לרמת תחרותיות גבוהה - מבנקים, דרך חברות פרסום, ועד חברות מזון ומשק הדלק. אם בנק, לדוגמה, החליט לתת שירות חדש ללקוחות העסקיים שלו, ובנק מתחרה רואה את זה בפייסבוק של אחד העובדים בבנק - יש לו מידע שיעזור לו בתחרות. אותו דבר לגבי כל חברה שיש לה מתחרים ועובדיה מפרסמים מידע מפורט על התפקיד שלהם בפייסבוק או ברשתות אחרות.

 

"אחרי שאני בודק עם החברה מהו מידע מסווג מבחינתה, אני מציף את הסיכון ואומר למנהלים שמידע יכול להגיע למתחרים דרך הרשתות החברתיות באינטרנט. בשלב הבא החברה צריכה להטמיע את הסיכון בקרב עובדיה באמצעות פרסום הנחיות. השלב האחרון הוא ביקורת - רואה החשבון שמשמש כמבקר הפנימי של החברה או מישהו מטעמו בודק מדי פעם את הפייסבוק של עובדי החברה כדי לוודא שהם לא הוציאו מידע חיוני החוצה".

 

מה שם חיית המחמד שלך?

 

בעוד ניצול מידע החשוף ברשתות החברתיות לצרכים עסקיים אינו כרוך בעבירה על החוק, יש כאלה שחוצים את הקווים ועושים במידע הזה שימוש לא חוקי, המגיע לכדי תרגילי עוקץ וגניבת זהות.

 

רו"ח ענבר מאירוביץ ממשרד ברלב ושות' מסבירה כיצד נעשה שימוש במידע הנאסף ברשת כדי להשיג סיסמאות גישה לאתרי אינטרנט שונים. בהונאה נפוצה זו, היא מספרת, מתקשר הנוכל למקום שדורש סיסמת גישה, מזדהה בשם האיש שאליו הוא מבקש להתחזות וטוען כי שכח את סיסמת ההתקשרות שלו.

 

במקרים כאלה שואל הפקיד בצד השני את המטלפן כמה שאלות אישיות כדי לוודא את זהותו - בדרך כלל פרטים דוגמת תאריך לידה, כתובת מגורים, שם בית הספר הראשון, שם חיית המחמד וכדומה. את התשובות לרוב השאלות האלה אפשר למצוא בקלות בכרטיסים האישיים שממלאים החברים ברשתות החברתיות.

 

כדי להימנע מתרגילים כאלה ממליצה מאירוביץ "לא לפרט את כל מהלך החיים ברשת החברתית אלא לתת מידע מינימלי. עצה פרקטית היא לשתול מידע שגוי בפרופיל, שיאפשר לסנן את האנשים שהשיגו עליך מידע ברשת ולהבדילם מאנשים שמכירים אותך באמת".

 

חברת סופוס האמריקאית, המפתחת תוכנות אבטחה, ערכה באחרונה מחקר שמטרתו היתה להוכיח עד כמה חברים בפייסבוק הם מטרה נוחה לגניבת זהות. החברה בנתה פרופיל משתמש פיקטיבי ופנתה באקראי ל־200 משתמשים בפייסבוק. על פי תוצאות המחקר, 82 גולשים נענו בחיוב להצעת החברות מהאדם הפיקטיבי, וחשפו בפניו את כל פרטיהם הרשומים ברשת. עוד מצא המחקר כי ל־72% מהם היתה רשומה בפרופיל כתובת האימייל, ל־84% רשום תאריך הלידה, ל־78% רשומה כתובת המגורים המעודכנת ו־23% אף נתנו את מספר הטלפון שלהם.

 

הווי הפלוגה

 

רו"ח מאירוביץ מספרת גם על מקרה אמיתי שבו אדם השיג משחק שהיה בשלבי פיתוח באמצעות שימוש ברשת חברתית: "נער בן 18 רצה להוריד תוכנת ביתא של משחק שעוד לא יצא לשוק, והיתה קיימת רק בשרתים של חברת המחשבים שעבדה עליה. הנער השיג את שמו של אחד העובדים בחברה והחליט לרכוש את אמונו. הוא קרא את הפרופיל שלו בפייסבוק, וכך גילה היכן שירת בצבא ופרטים שונים על האנשים ששירתו עמו. הוא לא הסתפק בכך ונכנס לבלוגים של הפלוגה וממש למד את הז'רגון וההווי שלה".

 

"בסוף עבודת התחקיר הזו", מספרת מאירוביץ, "הוא יצר קשר עם אותו עובד וסיפר לו ששירת באותה פלוגה שנה אחריו, תוך שהוא זורק שמות של אנשים ומשתמש בסלנג של הפלוגה. כך יצר עמו קשר קרוב. לאחר זמן מה סיפר לאותו אדם שהוא מעוניין בתוכנה, וקיבל אותה ממנו. הנער לא הסתפק בכך שהשיג את התוכנה אלא התחיל להפיץ אותה ברשת וגרם נזק אדיר לחברה".

 

גם אלקלעי מספר כי השירות הצבאי הוא נקודת תורפה כאשר מדובר בגולשים ישראלים. "אנשים מפרסמים ברשת תמונות מימי שירותם הצבאי ומתייגים את יתר האנשים שמופיעים איתם בתמונה. האויב יכול לעשות שימוש במידע הזה, בעיקר לאור העובדה שהרבה פעמים ברקע התמונה מופיע מידע סודי. אנשים גם מספרים בפייסבוק מידע מסווג על קורסים שהם עברו, היכן שירתו, באיזה תפקיד ודברים דומים".

בטל שלח
    לכל התגובות
    x