מקורתאריך: 23.1.2012מאת: ד"ר שי הרשקוביץהכתבה המקורית פורסמה במגזין סטטוס. מודיעין תחרותי, לצד עיסוקו באיסוף מידע על אודות שווקים בהם פועלים ארגונים (מודיעין חיובי), אמון גם על היבטי מניעה וסיכול דלף מידע לידי גורמי צד שלישי (מודיעין מסכל). אחד מתפקידיה של פונקנציית המודיעין התחרותי בארגונים היא לזהות ולהצביע על איומים לנכסי המידע והידע של הארגון ולפעול להגנה עליהם.
הבסיס לכל פעילות מניעתית שכזו היא בראש ובראשונה יצירת מודעות לסוגיות בטחון מידע בכל שכבות ורובדי הארגון: מהדרג הניהולי הבכיר ועד אחרון העובדים בפס ייצור. מודעות כזו מתחילה בהבנה עמוקה של מניעי החשיפה ברשתות חברתיות מצד עובדי הארגון.
הגנה על הפרטיות
בתחילת המילניום החל האינטרנט ללבוש פנים חדשות, שעד מהרה כונו Web 2.0. הדור השני של השירותים באינטרנט מתאפיין באתרים המספקים פלטפורמות לתוכן גולשים, קרי ליצירה ושיתוף של תכנים המועלים לרשת על ידי הגולשים עצמם.
התפתחות טכנולוגית זו משפיעה ומשנה גם את תפיסת הפרטיות. בעוד שבעבר מושאי ההגנה בהקשר של פרטיות היו רק פרטי מידע שנתפסו כרגישים וכאינטימיים ביותר, דוגמת נטיותיו והרגליו המיניים של אדם, מצבו הבריאותי וכדומה, הרי שהיום מתחזקת התביעה להגן על הפרטיות גם בנוגע למידע נוסף, כמו הרגלי צריכה, שם, כתובת, תאריך לידה, מצב משפחתי, משלח יד וכדומה. כל זאת, נוכח חידושים טכנולוגיים המאפשרים להצליב נתונים וליצור פרופיל אישי מפורט באמצעות קיבוץ נתונים שוליים שלכאורה אין אינטרס להגן עליהם.
אחד המאפיינים המרכזיים של הרשתות החברתיות הוא הקושי לשלוט בהן על מעגלי ורמת החשיפה. זאת כפועל יוצא מההגדרה הקשיחה של "חבר"; שהרי ברשתות חברתיות, דוגמת פייסבוק, אין אבחנה בין רמות קרבה שונות של "חברים". לזאת יש לצרף את מספר בני האדם שאליהם אפשר "להגיע" (לפחות פוטנציאלית), הגדול לעין שיעור מכל מערכת היכרויות בעולם הפיזי.
במלים אחרות, רשתות חברתיות מאופיינות ברוחב (פוטנציאלי) חברתי עצום ובמגוון סוגים של קשרים חברתיים. מרבית המשתמשים ברשתות החברתיות אינם מודעים בצורה מלאה להשלכות שיש לשימוש השוטף והתמים שלהם ברשת החברתית. הם אינם מודעים לכך שבפעילותם המקוונת הם מוותרים, לעתים שלא מדעת, על זכותם לפרטיות ועל פרטיות המידע של ארגונים בהם הם מועסקים.
למה משתתפים ברשתות חברתיות במקום העבודה?
הפעילות ברשתות חברתיות היא אינטראקציה חברתית בבסיסה, אך היא מונעת ממוטיבציות אישיות וממוטיבציות חברתיות. קוצר היריעה אינו מאפשר לנו לעמוד בהרחבה על מניעים אלה, ואנו נסתפק בהצגת מניעי ההשתתפות ברשתות חברתיות במקום העבודה בלבד.
מאחורי השימוש ברשתות חברתיות בסביבת העבודה עומדות שלוש מוטיבציות בסיסיות:
1. דאגה - סיפוק הרצון ליצור קשרים חברתיים.
2. התקדמות - האמונה שהשימוש ברשת החברתית עשוי להועיל לקידום הקריירה.
3. ניהול קמפיין - צבירת תמיכה, כולל מקרב בכירים במקום העבודה, בפרויקטים מקצועיים של המשתמשים.
ברשת חברתית השייכת למקום העבודה קיימת שאיפה להגדיל את המעגל החברתי - יותר מהמקובל ברשתות חברתיות רגילות; והמוטיבציות העיקריות אינן בהכרח לתחזק קשרים קיימים, אלא להגדיל את המעגל החברתי, מתוך אותן מוטיבציות שפורטו לעיל. אולם מתברר, כי מרבית המשתתפים משתפים תוכן אישי ולאו דווקא מקצועי גרידא. זאת, על רקע העובדה שברשתות חברתיות הקשורות למקום העבודה, הגולשים מוטרדים פחות מפרטיותם, מכפי שהיו מוטרדים ברשתות חברתיות רגילות.
מזווית נוספת, טכנולוגיית המידע בכלל ורשתות חברתיות בפרט הופכים לרכיב חשוב במכלול היכולות המשפיע על מציאת תעסוקה. השימוש במדיה חברתית הופך להיות תנאי חשוב (ובחלק מהתפקידים והחברות - הכרחי) עבור עובדים חדשים. רשתות חברתיות הופכות לחלק אינטגרלי יותר ויותר במקומות עבודה, במכלול ההיבטים של שרשרת הערך - לדוגמה, בתהליך גיוס והשמת כוח אדם, או בתהליך חיפוש עבודה.
מרבית החברות הגדולות בעולם עוקבות אחר הלכי הרוח של צרכנים ברשתות חברתיות ומבצעות פעילות שיווקית ופרסומית באתרים אלה. יותר ויותר חברות אף מעבירות חלק מתהליכי המו"פ אל הגולשים ומקימות רשתות חברתיות ייעודיות לגולשים המעוניינים לקחת חלק בפעילות המו"פ של החברה.
תהליכי גיוס והשמת כוח אדם מחד גיסא וניסיונות לחיפוש עבודה מאידך גיסא, הופכים גם הם מבוססי רשתות חברתיות. בתנאים כאלה, מוטיבציה מרכזית לפעילות בהן קשורה לשוק העבודה, שכן כישורים מסוג זה הופכים - וימשיכו להפוך - לדומיננטיים והכרחיים על מנת להשתלב בשוק העבודה.
מהו האיום הנשקף לארגונים?
סוגיית דלף המידע הארגוני באמצעות רשתות חברתיות אינה מפותחת יחסית. היא החלה לזכות בתשומת לב משמעותית רק משנת 2009 ואילך, בעקבות סדרת אירועים שהתרחשו בסמיכות יחסית באותה השנה.
סקרים שנערכו בשנתיים האחרונות על ידי גורמי אבטחה וביון ממחישים את הפוטנציאל המסוכן של אתרים אלה, בכל האמור לדלף מידע. כך לדוגמה, המכון לביטחון מחשבים (CSI) כלל את "השימוש לרעה של פרופיל ברשתות חברתיות" כסכנה חדשה בסקר סיכונים שערך ב-2009. חברת וריזון (Verizon) ערכה מחקר משותף עם השירות החשאי האמריקני ב-2010 וציינה שרשתות חברתיות מהוות פוטנציאל מסוכן לפרצות אבטחה.
סקר האיומים של חברת סימנטק גלובל סקיורטי לשנת 2009 ציין כי התקפות APT, המבוצעות דרך רשתות חברתיות, מהוות אמצעי לאיסוף מידע רגיש על ארגונים ועובדיהם. וגם דו"ח של חברת Sophos Security משנת 2010 טען כי רשתות חברתיות הפכו לאחד המקורות המשמעותיים ביותר דרכן דולף מידע, בין היתר למטרות של גניבת זהות.
עם זאת, חרף ההכרה הגוברת של ארגונים בסכנות הטמונות ברשתות חברתיות לכל הקשור להגנה על מידע רגיש, ולמרות שארגונים רבים חוסמים גישה לרשתות חברתיות ממקום העבודה, סקר שנערך ב-2010 על ידי החברה לאתיקה ארגונית (SCCE) והאגודה לבריאות ולרווחה (HCCA) האמריקניות הראה כי מחצית מכל המעסיקים בארה"ב חסרים מדיניות המסדירה את השימוש ברשתות חברתיות ממקום העבודה. זאת למרות העובדה שכרבע מהם העמידו לדין עובדים על שימוש כזה.
מחקר אחר, של חברת סקיוריטי ארט, הראה כי מרבית התאגידים הגדולים בארה"ב מעדיפים להשקיע את תקציבי אבטחת המידע שלהם ברכישת תוכנות והטמעתן בשכבת ההגנה ההיקפית, אך הם נכשלים ביצירת מנגנוני הגנה בתהליכים העסקיים ולרוב אינם מבצעים אנליזה חותכת של התהליכים שבהם המידע מעובד ושל ניתוח נקודות הכשל בהם. כלומר, ארגונים משקיעים משאבים רבים במיגון נגד התקפות חיצוניות, אך אינם מודעים לכך שפרצות מידע רבות נובעות מתוך הארגון עצמו, כלומר מעובדיו או מספקיו, במתכוון ושלא במתכוון, בידיעתם ושלא בידיעתם.
ריגול קיברנטי
שימוש בלתי אחראי ברשתות חברתיות עשוי לגרום נזקים לארגונים, מאחר שהוא חושף את הרשתות ואת מערכות המידע הארגוניות לפעילות של גורמים זדוניים ועלול להסגיר מידע רגיש. ככל שהולך ומתפתח השימוש ברשתות חברתיות, גדלה במקביל רמת מורכבות ההתקפות שמבצעים גורמים עוינים במטרה להשיג מידע ארגוני רגיש באמצעות עובדי הארגון.
איומים אלה מכונים "איומים עקביים מתקדמים" (APT שפירושו: Advanced Persistent Threats ), או בשמם הנפוץ יותר "ריגול קיברנטי" (Cyber Espionage). אלה מוגדרים כ"ריגול מתוקצב ומאורגן היטב, המונע מאינטרסים כלכליים, המפעיל טכניקות של הנדסה חברתית (Social Engineering); ועושה שימוש נצלני וחשאי בכדי לפרוץ לרשתות, בצורה הקשה לזיהוי באמצעים הטכנולוגיים הקיימים. כל זאת, במטרה לבסס כוח איסופי ארוך טווח בתוך מערכות המידע והתקשורת הארגוניות". התקפות אלו מבוססות על איסוף מידע באמצעות עובדי הארגון. התוקפים מאתרים ומסמנים עובדים העשויים להעניק להם גישה אל מידע רגיש או לספק מידע המאפשר לבצע פריצה לרשתות ולמערכות המידע הארגוניות.
התקפות דרך רשתות חברתיות מבוצעות בעיקר לצורך השגת אינפורמציה רגישה, אך גם לצורך ניצול משאבים ארגוניים לצרכים שונים (לדוגמה, ניצול רוחב פס של ארגונים); ובמידה פחותה גם למטרות חבלה בארגון. איסוף המידע מתחלק לשני סוגים עיקריים: מידע שיש בו ערך לכשעצמו ומידע המהווה בסיס לביצוע פעילויות התקפיות (מל"מ), דוגמת חדירות לרשתות ומערכות המידע הארגוניות.
דלף מידע ארגוני עשוי להתרחש דרך גורמים רבים: שיחות פנים אל פנים, אובדן מסמכים, פריצה לשרתי מחשוב ענן, אובדן מכשירי אחסון מידע ניידים ועוד. מבין כל אלה בולט ערוץ הרשתות החברתיות כאחד המאתגרים ביותר. מדובר בכלי המהווה נקודת תורפה מבחינת ביטחון מידע וזאת מכמה סיבות.
ראשית, מידע הנחשף בערוצים אלה נשמר לתקופות ארוכות (בשונה לדוגמה מחשיפה בשיחה פנים אל פנים). שנית, מידע זה נחשף בתפוצה רחבה יחסית. שלישית, הוא נחשף לעתים קרובות מבלי שהגורם החושף מודע לכך שחשף מידע רגיש. רביעית, הוא נחשף לעתים על ידי גורם שאינו בהכרח זה האוחז במידע (למשל, חבר ברשת חברתית של עובד חברה), כשגם הוא אינו פועל בהכרח בכוונת זדון. חמישית, לארגונים קשה לשלוט על אבטחת המידע בערוץ זה, לאור ריבוי הפלטפורמות המאפשרות גישה לרשתות החברתיות.
רשתות חברתיות מהוות נקודת תורפה ארגונית
דלף מידע ארגוני ברשתות חברתיות מתרחש בדרך כלל כתוצאה מחוסר מודעות, העדר תשומת לב ולא בכוונה תחילה; ובדרך כלל הוא נתפס בהקשרים אלה כמקרי ולא כתוצאה מפעולה יזומה של החושף. עם זאת, בתרחישים מסוימים עובדים עשויים להדליף מידע רגיש דרך רשת חברתית בכוונה תחילה, עם או בלי כוונת זדון. כך לדוגמה, עובד יכול לחשוף בכוונה מידע על מהלך ארגוני אסטרטגי עתידי מתוך התרגשות או סתם כדי להשוויץ. לחילופין, עובד מתוסכל יכול "לסגור חשבונות" עם מנהליו או עמיתיו ולהסגיר מידע אינטימי על אודותם.
רשתות חברתיות מהוות אפוא נקודת תורפה ארגונית. אחד המאפיינים הבולטים של סוגי ההתקפות המבוצעות דרכן הוא שההתקפות אינן חייבות להיות מתוחכמות מבחינה טכנולוגית בכדי להשיא תפוקה יעילה. איסוף בסיסי של מידע על ארגונים ברשתות חברתיות יכול להעלות מידע ערכי שיסייע באיתור הפרצה דרכה ניתן יהיה לחדור למערכות התקשורת והמידע של הארגון. כך לדוגמה, חיפוש פשוט ברשת החברתית המקצועית לינקאדין (LinkedIn) יכול לחשוף מיהו מנהל המערכות או הרשתות של הארגון ולסמן אותו כיעד לתקיפה. עמוד כזה יכול לכלול את שמו המלא, תפקידו בחברה, תחום ההתמחות שלו, כתובת הדוא"ל שלו, מספר הטלפון, היסטוריה תעסוקתית, תמונה, מעגלי חברים ועוד. מידע זה, בוודאי אם יוצלב עם מידע אחר, עלול לסייע לגורם זדוני לחדור לארגון היעד ו/או לנהל מעקב אחר עובד זה בשאיפה שבסופו של דבר יחשוף מידע רגיש.
תוכנות בסיסיות מסוגלות לבצע סריקות מסיביות ואוטומטיות של פרופילים מעין אלה ומגיעות למידע במהירות. איסוף מידע מכמה רשתות חברתיות יכול ליצור אצל הגורם האוסף תמונה ארגונית מלאה הכוללת: רשימות עובדים, דרכי ההתקשרות איתם, תפקידים, מבנה ארגוני, תחומי עיסוק ופעילויות, שינויים, מיפוי גורמי עבודה, מעקב אחר פרויקטים ואפילו מידע על אנשים העשויים להוות שער כניסה לארגון, דוגמת בכירים או מנהלי מערכות מידע. מכיוון אחר, מידע רגיש על אנשי מפתח בארגון עשוי להוות מנוף לסחיטתם.
מידע רב ערך זה עלול להצביע גם על חולשות במערך האבטחה הארגוני ועל כיוונים שניתן לנצל לצרכי פריצה. מעקב אחר פרופילי עובדים מאפשר גם לעקוב אחר שינויים מבניים ותחלופת כוח אדם בארגונים. כך לדוגמה, מעקב אחר פרופילי עובדים בתחום כוח האדם עשוי ללמד שחברה מסוימת מגייסת עובדים לשירות הלקוחות שלה; ומכאן ניתן להסיק שהיא מתכוונת להשיק שירות או מוצר חדש ונערכת מבעוד מועד להגדלת מוקד שירות הלקוחות שלה. פיטורי עובדים רבים עשויים להעיד על קושי כלכלי, סגירת מחלקות, צמצום תחומי התמחות וכדומה.
בקשות חברות הן אמצעי קל ופשוט ליצירת קשר עם עובד ולאיסוף מידע דרכו, שהרי כשגולש או קבוצה מאשרים אדם כלשהו כחבר, הוא הופך אותו שותף למידע נגיש ללא כל מאמץ. למשל, תוקף יכול להצטרף לקבוצה מסוימת ולעקוב אחר הפעילות המתנהלת בה, או אף להקים קבוצה מטעמו, לצבור פופולריות, לבקש מחברי הקבוצה חברות אישית ולשאוב מהם מידע.
גם עדכוני סטטוס מהווים נקודת תורפה, מאחר שהם בעלי אופי אישי ולכן מאופיינים בפוטנציאל חשיפה גבוה (בוודאי אם הגולש הגדיר אותם כציבוריים). הם עשויים לכלול מידע רגיש לכשעצמו, או מידע שניתן להצליבו עם מידע ממקורות אחרים ולהפכו לבעל ערך. סטטוסים אף יכולים לכלול מידע שיצביע על פרצה פוטנציאלית לרשתות ולמערכות מידע.
עדכוני מיקום, כולל עדכונים אוטומטיים הנשלחים ממכשירים סלולאריים, יכולים גם הם לספק מידע רב על פעילות הארגון, באמצעות מיקום עובדיו. ניתן ללמוד על שגרת הפעילות של הארגון, על פעילויות שלעתים יש אינטרס להסתירן, לדעת עם אילו גורמי עבודה הארגון בא במגע, מהו היקף העובדים המצויים בשטח ואף לספק מידע לביצוע פעולות איסוף מידע נגדם. אם ידוע, למשל, שעובד מסוים נוהג לשבת בבית קפה מדי בוקר, מכיוון שהוא מעדכן זאת ברשת החברתית, ניתן לשאוב מידע מרשת ה-WiFi הציבורית הבלתי מאובטחת, לבצע התחברות פיזית למחשבו, או לפרוץ לביתו מתוך ידיעה שהוא לא יהיה שם.
מה קורה בישראל?
ישראל עומדת בצמרת העולמית של שעות גלישה באתרי רשתות חברתיות ובעיקר בפייסבוק. על פי נתונים שפרסמה חברת קומסקור העולמית, ישראלי ממוצע מבלה כמעט 11 שעות בחודש בשתי הרשתות החברתיות הפופולריות ביותר - פייסבוק וטוויטר - יותר מכל מדינה אחרת בעולם ופי שניים מאשר בארה"ב. ישראל אף מובילה במספר המשתמשים ביחס לגודל האוכלוסיה. היא מגיעה למקום השני עם שיעור חדירה של 90% (במקום הראשון נמצאת הפיליפינים עם שיעור חדירה של 93%, ואילו ברוב מדינות אירופה שיעור החדירה נע בין %60 ל-70%). נתוני הרשת החברתית פייסבוק מעידים כי בישראל כ-3.5 מיליון משתמשים, ואחוז החדירה של הרשת לכלל האוכלוסיה עומד על 47.6% ועל 66.6% לאוכלוסיה המקוונת.
תפיסת הפרטיות והנכונות לחשוף מידע אישי ברשת תלויים, בין היתר, בקונטקסט תרבותי. כלומר, לנו כישראלים יש מאפייני התנהגות ייחודיים - ועניין זה תקף גם במודעות (או יותר נכון, בחוסר המודעות) שלנו לדלף מידע ברשת. מחקר מקיף שנערך במסגרת פרויקט אירופי (PACTIS) בהשתתפות חוקרים ישראלים, בקרב תלמידי בתי ספר תיכוניים והוריהם בשש מדינות (וישראל בתוכן), הראה שקיימים הבדלים מובהקים בין המדינות, בכל האמור לתפיסת הפרטיות. כך לדוגמה, במדינות כגון גרמניה, בלגיה ואוסטריה ניכרה מודעות גבוהה לפגיעה בפרטיות, לעומת מדינות שבהן המודעות נמוכה, דוגמת ישראל, פולין ופינלנד.
המחקר העלה שבני נוער מגרמניה ובלגיה נוטים פחות להשתמש באפליקציות שונות של פייסבוק כשמידע אישי עשוי להיחשף בהן. לעומתם, בני נוער מישראל, פולין ופינלנד נוטים יותר לעשות שימוש באפילקציות כאלו. עוד נמצא כי בישראל ובבלגיה שיעור גבוה של בני נוער (למעלה מ-66%) לא היסס לתת לאדם אחר סיסמה אישית ליישומים אינטרנטיים. בני נוער אלה הם החיילים של מחר ועובדי הארגונים של מחרתיים; והעדר הנחלת מודעות לשמירה על ביטחון מידע ברשתות חברתיות עלול להביא לנזקים כבדים לאורך כל הדרך.
יש לציין כי הדעה המוסכמת על אנשי מכוני המחקר והאקדמיה, עיתונאים, בלוגרים ומובילי דעת קהל היא כי מהפיכת הרשתות החברתיות עודנה רחוקה ממיצוי. כבר היום מחוברים לרשתות אלו למעלה ממיליארד איש ברחבי העולם, מתוכם 750 מיליון בפייסבוק. לתפוצה הגוברת של הסמארטפונים השפעה עצומה על משתמשי הרשתות החברתיות. בעלי הסמארטפונים מהווים 37% מגולשי האינטרנט; וזמינות האינטרנט הופכת אותם לפעילים יותר.
כפי שראינו, פוטנציאל הדלף במדיום זה הוא גדול, נוכח העדר הגבולות הברורים המבחינים בין מידע אישי לבין מידע ציבורי; נוכח המודעות החלקית של גולשים למידע הנחשף על אודותם ונוכח היכולת הטכנית המוגבלת של חלקם להגן על פרצות אלו. חשיפה זו מורכבת גם, לא רק בשל המבנה הטכנולוגי של אתרים אלה, אלא גם בשל מגוון פלטפורמות הגישה אליהם (בראש ובראשונה הטלפון הסלולארי); ובשל הטווח הרחב של מידעים המרכיב את "טביעת הרגל החברתית" המקוונת של הגולשים.
כאמור, מאפייני הרשתות החברתיות מקשים על יכולת הניטור והערכת הנזק של דלף המידע, כמו גם על אכיפת הנחיות והוראות הפרטיות. תנאים אלה יוצרים אתגר בטחוני לארגונים המעוניינים בהגנה על נכסי המידע שלהם, גם כשמדובר בדלף מידע שאין מקורו בכוונת זדון והמתרחש בערוצים שלכאורה אינם נחשבים לבעייתיים ולכן גם אינם מנוטרים דרך קבע.
הכותב הוא מייסד ומנכ"ל Intellecteam העוסקת במודיעין תחרותי ובמשחקי מלחמה
הכתבה המלאה התפרסמה במגזין סטטוס, ינואר 2012#_lt#div#_gt# #_lt#/div#_gt##_lt#p#_gt##_lt#a style="font-size#_sc# 14px;" href="http#_sc#//ifeel.co.il/page/19655" target="_blank"#_gt#מקור#_lt#/a#_gt##_lt#/p#_gt##_lt#p#_gt#תאריך#_sc# 23.1.2012#_lt#/p#_gt##_lt#p#_gt#מאת#_sc# ד"ר שי הרשקוביץ#_lt#/p#_gt##_lt#p#_gt#הכתבה המקורית פורסמה במגזין סטטוס.#_lt#/p#_gt##_lt#p#_gt# #_lt#/p#_gt##_lt#p#_gt# #_lt#/p#_gt##_lt#div style="text-align#_sc# right; color#_sc# rgb(0, 0, 0); font-size#_sc# 14px; direction#_sc# rtl;"#_gt#מודיעין תחרותי, לצד עיסוקו באיסוף מידע על אודות שווקים בהם פועלים ארגונים (מודיעין חיובי), אמון גם על היבטי מניעה וסיכול דלף מידע לידי גורמי צד שלישי (מודיעין מסכל). אחד מתפקידיה של פונקנציית המודיעין התחרותי בארגונים היא לזהות ולהצביע על איומים לנכסי המידע והידע של הארגון ולפעול להגנה עליהם.#_lt#br#_gt##_lt#br#_gt#הבסיס לכל פעילות מניעתית שכזו היא בראש ובראשונה יצירת מודעות לסוגיות בטחון מידע בכל שכבות ורובדי הארגון#_sc# מהדרג הניהולי הבכיר ועד אחרון העובדים בפס ייצור. מודעות כזו מתחילה בהבנה עמוקה של מניעי החשיפה ברשתות חברתיות מצד עובדי הארגון.#_lt#br#_gt# #_lt#br#_gt#הגנה על הפרטיות#_lt#br#_gt##_lt#br#_gt#בתחילת המילניום החל האינטרנט ללבוש פנים חדשות, שעד מהרה כונו Web 2.0. הדור השני של השירותים באינטרנט מתאפיין באתרים המספקים פלטפורמות לתוכן גולשים, קרי ליצירה ושיתוף של תכנים המועלים לרשת על ידי הגולשים עצמם.#_lt#br#_gt##_lt#br#_gt#התפתחות טכנולוגית זו משפיעה ומשנה גם את תפיסת הפרטיות. בעוד שבעבר מושאי ההגנה בהקשר של פרטיות היו רק פרטי מידע שנתפסו כרגישים וכאינטימיים ביותר, דוגמת נטיותיו והרגליו המיניים של אדם, מצבו הבריאותי וכדומה, הרי שהיום מתחזקת התביעה להגן על הפרטיות גם בנוגע למידע נוסף, כמו הרגלי צריכה, שם, כתובת, תאריך לידה, מצב משפחתי, משלח יד וכדומה. כל זאת, נוכח חידושים טכנולוגיים המאפשרים להצליב נתונים וליצור פרופיל אישי מפורט באמצעות קיבוץ נתונים שוליים שלכאורה אין אינטרס להגן עליהם.#_lt#br#_gt##_lt#br#_gt#אחד המאפיינים המרכזיים של הרשתות החברתיות הוא הקושי לשלוט בהן על מעגלי ורמת החשיפה. זאת כפועל יוצא מההגדרה הקשיחה של "חבר"; שהרי ברשתות חברתיות, דוגמת פייסבוק, אין אבחנה בין רמות קרבה שונות של "חברים". לזאת יש לצרף את מספר בני האדם שאליהם אפשר "להגיע" (לפחות פוטנציאלית), הגדול לעין שיעור מכל מערכת היכרויות בעולם הפיזי.#_lt#br#_gt#במלים אחרות, רשתות חברתיות מאופיינות ברוחב (פוטנציאלי) חברתי עצום ובמגוון סוגים של קשרים חברתיים. מרבית המשתמשים ברשתות החברתיות אינם מודעים בצורה מלאה להשלכות שיש לשימוש השוטף והתמים שלהם ברשת החברתית. הם אינם מודעים לכך שבפעילותם המקוונת הם מוותרים, לעתים שלא מדעת, על זכותם לפרטיות ועל פרטיות המידע של ארגונים בהם הם מועסקים.#_lt#br#_gt##_lt#br#_gt#למה משתתפים ברשתות חברתיות במקום העבודה?#_lt#br#_gt# #_lt#br#_gt#הפעילות ברשתות חברתיות היא אינטראקציה חברתית בבסיסה, אך היא מונעת ממוטיבציות אישיות וממוטיבציות חברתיות. קוצר היריעה אינו מאפשר לנו לעמוד בהרחבה על מניעים אלה, ואנו נסתפק בהצגת מניעי ההשתתפות ברשתות חברתיות במקום העבודה בלבד.#_lt#br#_gt##_lt#br#_gt#מאחורי השימוש ברשתות חברתיות בסביבת העבודה עומדות שלוש מוטיבציות בסיסיות#_sc##_lt#br#_gt# #_lt#br#_gt#1. דאגה - סיפוק הרצון ליצור קשרים חברתיים.#_lt#br#_gt#2. התקדמות - האמונה שהשימוש ברשת החברתית עשוי להועיל לקידום הקריירה.#_lt#br#_gt#3. ניהול קמפיין - צבירת תמיכה, כולל מקרב בכירים במקום העבודה, בפרויקטים מקצועיים של המשתמשים.#_lt#br#_gt##_lt#br#_gt#ברשת חברתית השייכת למקום העבודה קיימת שאיפה להגדיל את המעגל החברתי - יותר מהמקובל ברשתות חברתיות רגילות; והמוטיבציות העיקריות אינן בהכרח לתחזק קשרים קיימים, אלא להגדיל את המעגל החברתי, מתוך אותן מוטיבציות שפורטו לעיל. אולם מתברר, כי מרבית המשתתפים משתפים תוכן אישי ולאו דווקא מקצועי גרידא. זאת, על רקע העובדה שברשתות חברתיות הקשורות למקום העבודה, הגולשים מוטרדים פחות מפרטיותם, מכפי שהיו מוטרדים ברשתות חברתיות רגילות.#_lt#br#_gt##_lt#br#_gt#מזווית נוספת, טכנולוגיית המידע בכלל ורשתות חברתיות בפרט הופכים לרכיב חשוב במכלול היכולות המשפיע על מציאת תעסוקה. השימוש במדיה חברתית הופך להיות תנאי חשוב (ובחלק מהתפקידים והחברות - הכרחי) עבור עובדים חדשים. רשתות חברתיות הופכות לחלק אינטגרלי יותר ויותר במקומות עבודה, במכלול ההיבטים של שרשרת הערך - לדוגמה, בתהליך גיוס והשמת כוח אדם, או בתהליך חיפוש עבודה.#_lt#br#_gt##_lt#br#_gt#מרבית החברות הגדולות בעולם עוקבות אחר הלכי הרוח של צרכנים ברשתות חברתיות ומבצעות פעילות שיווקית ופרסומית באתרים אלה. יותר ויותר חברות אף מעבירות חלק מתהליכי המו"פ אל הגולשים ומקימות רשתות חברתיות ייעודיות לגולשים המעוניינים לקחת חלק בפעילות המו"פ של החברה.#_lt#br#_gt##_lt#br#_gt#תהליכי גיוס והשמת כוח אדם מחד גיסא וניסיונות לחיפוש עבודה מאידך גיסא, הופכים גם הם מבוססי רשתות חברתיות. בתנאים כאלה, מוטיבציה מרכזית לפעילות בהן קשורה לשוק העבודה, שכן כישורים מסוג זה הופכים - וימשיכו להפוך - לדומיננטיים והכרחיים על מנת להשתלב בשוק העבודה.#_lt#br#_gt##_lt#br#_gt#מהו האיום הנשקף לארגונים?#_lt#br#_gt# #_lt#br#_gt#סוגיית דלף המידע הארגוני באמצעות רשתות חברתיות אינה מפותחת יחסית. היא החלה לזכות בתשומת לב משמעותית רק משנת 2009 ואילך, בעקבות סדרת אירועים שהתרחשו בסמיכות יחסית באותה השנה.#_lt#br#_gt##_lt#br#_gt#סקרים שנערכו בשנתיים האחרונות על ידי גורמי אבטחה וביון ממחישים את הפוטנציאל המסוכן של אתרים אלה, בכל האמור לדלף מידע. כך לדוגמה, המכון לביטחון מחשבים (CSI) כלל את "השימוש לרעה של פרופיל ברשתות חברתיות" כסכנה חדשה בסקר סיכונים שערך ב-2009. חברת וריזון (Verizon) ערכה מחקר משותף עם השירות החשאי האמריקני ב-2010 וציינה שרשתות חברתיות מהוות פוטנציאל מסוכן לפרצות אבטחה.#_lt#br#_gt##_lt#br#_gt#סקר האיומים של חברת סימנטק גלובל סקיורטי לשנת 2009 ציין כי התקפות APT, המבוצעות דרך רשתות חברתיות, מהוות אמצעי לאיסוף מידע רגיש על ארגונים ועובדיהם. וגם דו"ח של חברת Sophos Security משנת 2010 טען כי רשתות חברתיות הפכו לאחד המקורות המשמעותיים ביותר דרכן דולף מידע, בין היתר למטרות של גניבת זהות.#_lt#br#_gt##_lt#br#_gt#עם זאת, חרף ההכרה הגוברת של ארגונים בסכנות הטמונות ברשתות חברתיות לכל הקשור להגנה על מידע רגיש, ולמרות שארגונים רבים חוסמים גישה לרשתות חברתיות ממקום העבודה, סקר שנערך ב-2010 על ידי החברה לאתיקה ארגונית (SCCE) והאגודה לבריאות ולרווחה (HCCA) האמריקניות הראה כי מחצית מכל המעסיקים בארה"ב חסרים מדיניות המסדירה את השימוש ברשתות חברתיות ממקום העבודה. זאת למרות העובדה שכרבע מהם העמידו לדין עובדים על שימוש כזה.#_lt#br#_gt##_lt#br#_gt#מחקר אחר, של חברת סקיוריטי ארט, הראה כי מרבית התאגידים הגדולים בארה"ב מעדיפים להשקיע את תקציבי אבטחת המידע שלהם ברכישת תוכנות והטמעתן בשכבת ההגנה ההיקפית, אך הם נכשלים ביצירת מנגנוני הגנה בתהליכים העסקיים ולרוב אינם מבצעים אנליזה חותכת של התהליכים שבהם המידע מעובד ושל ניתוח נקודות הכשל בהם. כלומר, ארגונים משקיעים משאבים רבים במיגון נגד התקפות חיצוניות, אך אינם מודעים לכך שפרצות מידע רבות נובעות מתוך הארגון עצמו, כלומר מעובדיו או מספקיו, במתכוון ושלא במתכוון, בידיעתם ושלא בידיעתם.#_lt#br#_gt# #_lt#br#_gt#ריגול קיברנטי#_lt#br#_gt# #_lt#br#_gt#שימוש בלתי אחראי ברשתות חברתיות עשוי לגרום נזקים לארגונים, מאחר שהוא חושף את הרשתות ואת מערכות המידע הארגוניות לפעילות של גורמים זדוניים ועלול להסגיר מידע רגיש. ככל שהולך ומתפתח השימוש ברשתות חברתיות, גדלה במקביל רמת מורכבות ההתקפות שמבצעים גורמים עוינים במטרה להשיג מידע ארגוני רגיש באמצעות עובדי הארגון.#_lt#br#_gt##_lt#br#_gt#איומים אלה מכונים "איומים עקביים מתקדמים" (APT שפירושו#_sc# Advanced Persistent Threats ), או בשמם הנפוץ יותר "ריגול קיברנטי" (Cyber Espionage). אלה מוגדרים כ"ריגול מתוקצב ומאורגן היטב, המונע מאינטרסים כלכליים, המפעיל טכניקות של הנדסה חברתית (Social Engineering); ועושה שימוש נצלני וחשאי בכדי לפרוץ לרשתות, בצורה הקשה לזיהוי באמצעים הטכנולוגיים הקיימים. כל זאת, במטרה לבסס כוח איסופי ארוך טווח בתוך מערכות המידע והתקשורת הארגוניות". התקפות אלו מבוססות על איסוף מידע באמצעות עובדי הארגון. התוקפים מאתרים ומסמנים עובדים העשויים להעניק להם גישה אל מידע רגיש או לספק מידע המאפשר לבצע פריצה לרשתות ולמערכות המידע הארגוניות.#_lt#br#_gt##_lt#br#_gt#התקפות דרך רשתות חברתיות מבוצעות בעיקר לצורך השגת אינפורמציה רגישה, אך גם לצורך ניצול משאבים ארגוניים לצרכים שונים (לדוגמה, ניצול רוחב פס של ארגונים); ובמידה פחותה גם למטרות חבלה בארגון. איסוף המידע מתחלק לשני סוגים עיקריים#_sc# מידע שיש בו ערך לכשעצמו ומידע המהווה בסיס לביצוע פעילויות התקפיות (מל"מ), דוגמת חדירות לרשתות ומערכות המידע הארגוניות.#_lt#br#_gt##_lt#br#_gt#דלף מידע ארגוני עשוי להתרחש דרך גורמים רבים#_sc# שיחות פנים אל פנים, אובדן מסמכים, פריצה לשרתי מחשוב ענן, אובדן מכשירי אחסון מידע ניידים ועוד. מבין כל אלה בולט ערוץ הרשתות החברתיות כאחד המאתגרים ביותר. מדובר בכלי המהווה נקודת תורפה מבחינת ביטחון מידע וזאת מכמה סיבות.#_lt#br#_gt##_lt#br#_gt#ראשית, מידע הנחשף בערוצים אלה נשמר לתקופות ארוכות (בשונה לדוגמה מחשיפה בשיחה פנים אל פנים). שנית, מידע זה נחשף בתפוצה רחבה יחסית. שלישית, הוא נחשף לעתים קרובות מבלי שהגורם החושף מודע לכך שחשף מידע רגיש. רביעית, הוא נחשף לעתים על ידי גורם שאינו בהכרח זה האוחז במידע (למשל, חבר ברשת חברתית של עובד חברה), כשגם הוא אינו פועל בהכרח בכוונת זדון. חמישית, לארגונים קשה לשלוט על אבטחת המידע בערוץ זה, לאור ריבוי הפלטפורמות המאפשרות גישה לרשתות החברתיות.#_lt#br#_gt# #_lt#br#_gt#רשתות חברתיות מהוות נקודת תורפה ארגונית#_lt#br#_gt# #_lt#br#_gt#דלף מידע ארגוני ברשתות חברתיות מתרחש בדרך כלל כתוצאה מחוסר מודעות, העדר תשומת לב ולא בכוונה תחילה; ובדרך כלל הוא נתפס בהקשרים אלה כמקרי ולא כתוצאה מפעולה יזומה של החושף. עם זאת, בתרחישים מסוימים עובדים עשויים להדליף מידע רגיש דרך רשת חברתית בכוונה תחילה, עם או בלי כוונת זדון. כך לדוגמה, עובד יכול לחשוף בכוונה מידע על מהלך ארגוני אסטרטגי עתידי מתוך התרגשות או סתם כדי להשוויץ. לחילופין, עובד מתוסכל יכול "לסגור חשבונות" עם מנהליו או עמיתיו ולהסגיר מידע אינטימי על אודותם.#_lt#br#_gt##_lt#br#_gt#רשתות חברתיות מהוות אפוא נקודת תורפה ארגונית. אחד המאפיינים הבולטים של סוגי ההתקפות המבוצעות דרכן הוא שההתקפות אינן חייבות להיות מתוחכמות מבחינה טכנולוגית בכדי להשיא תפוקה יעילה. איסוף בסיסי של מידע על ארגונים ברשתות חברתיות יכול להעלות מידע ערכי שיסייע באיתור הפרצה דרכה ניתן יהיה לחדור למערכות התקשורת והמידע של הארגון. כך לדוגמה, חיפוש פשוט ברשת החברתית המקצועית לינקאדין (LinkedIn) יכול לחשוף מיהו מנהל המערכות או הרשתות של הארגון ולסמן אותו כיעד לתקיפה. עמוד כזה יכול לכלול את שמו המלא, תפקידו בחברה, תחום ההתמחות שלו, כתובת הדוא"ל שלו, מספר הטלפון, היסטוריה תעסוקתית, תמונה, מעגלי חברים ועוד. מידע זה, בוודאי אם יוצלב עם מידע אחר, עלול לסייע לגורם זדוני לחדור לארגון היעד ו/או לנהל מעקב אחר עובד זה בשאיפה שבסופו של דבר יחשוף מידע רגיש.#_lt#br#_gt##_lt#br#_gt#תוכנות בסיסיות מסוגלות לבצע סריקות מסיביות ואוטומטיות של פרופילים מעין אלה ומגיעות למידע במהירות. איסוף מידע מכמה רשתות חברתיות יכול ליצור אצל הגורם האוסף תמונה ארגונית מלאה הכוללת#_sc# רשימות עובדים, דרכי ההתקשרות איתם, תפקידים, מבנה ארגוני, תחומי עיסוק ופעילויות, שינויים, מיפוי גורמי עבודה, מעקב אחר פרויקטים ואפילו מידע על אנשים העשויים להוות שער כניסה לארגון, דוגמת בכירים או מנהלי מערכות מידע. מכיוון אחר, מידע רגיש על אנשי מפתח בארגון עשוי להוות מנוף לסחיטתם.#_lt#br#_gt##_lt#br#_gt#מידע רב ערך זה עלול להצביע גם על חולשות במערך האבטחה הארגוני ועל כיוונים שניתן לנצל לצרכי פריצה. מעקב אחר פרופילי עובדים מאפשר גם לעקוב אחר שינויים מבניים ותחלופת כוח אדם בארגונים. כך לדוגמה, מעקב אחר פרופילי עובדים בתחום כוח האדם עשוי ללמד שחברה מסוימת מגייסת עובדים לשירות הלקוחות שלה; ומכאן ניתן להסיק שהיא מתכוונת להשיק שירות או מוצר חדש ונערכת מבעוד מועד להגדלת מוקד שירות הלקוחות שלה. פיטורי עובדים רבים עשויים להעיד על קושי כלכלי, סגירת מחלקות, צמצום תחומי התמחות וכדומה.#_lt#br#_gt##_lt#br#_gt#בקשות חברות הן אמצעי קל ופשוט ליצירת קשר עם עובד ולאיסוף מידע דרכו, שהרי כשגולש או קבוצה מאשרים אדם כלשהו כחבר, הוא הופך אותו שותף למידע נגיש ללא כל מאמץ. למשל, תוקף יכול להצטרף לקבוצה מסוימת ולעקוב אחר הפעילות המתנהלת בה, או אף להקים קבוצה מטעמו, לצבור פופולריות, לבקש מחברי הקבוצה חברות אישית ולשאוב מהם מידע.#_lt#br#_gt##_lt#br#_gt#גם עדכוני סטטוס מהווים נקודת תורפה, מאחר שהם בעלי אופי אישי ולכן מאופיינים בפוטנציאל חשיפה גבוה (בוודאי אם הגולש הגדיר אותם כציבוריים). הם עשויים לכלול מידע רגיש לכשעצמו, או מידע שניתן להצליבו עם מידע ממקורות אחרים ולהפכו לבעל ערך. סטטוסים אף יכולים לכלול מידע שיצביע על פרצה פוטנציאלית לרשתות ולמערכות מידע.#_lt#br#_gt##_lt#br#_gt#עדכוני מיקום, כולל עדכונים אוטומטיים הנשלחים ממכשירים סלולאריים, יכולים גם הם לספק מידע רב על פעילות הארגון, באמצעות מיקום עובדיו. ניתן ללמוד על שגרת הפעילות של הארגון, על פעילויות שלעתים יש אינטרס להסתירן, לדעת עם אילו גורמי עבודה הארגון בא במגע, מהו היקף העובדים המצויים בשטח ואף לספק מידע לביצוע פעולות איסוף מידע נגדם. אם ידוע, למשל, שעובד מסוים נוהג לשבת בבית קפה מדי בוקר, מכיוון שהוא מעדכן זאת ברשת החברתית, ניתן לשאוב מידע מרשת ה-WiFi הציבורית הבלתי מאובטחת, לבצע התחברות פיזית למחשבו, או לפרוץ לביתו מתוך ידיעה שהוא לא יהיה שם.#_lt#br#_gt# #_lt#br#_gt#מה קורה בישראל?#_lt#br#_gt# #_lt#br#_gt#ישראל עומדת בצמרת העולמית של שעות גלישה באתרי רשתות חברתיות ובעיקר בפייסבוק. על פי נתונים שפרסמה חברת קומסקור העולמית, ישראלי ממוצע מבלה כמעט 11 שעות בחודש בשתי הרשתות החברתיות הפופולריות ביותר - פייסבוק וטוויטר - יותר מכל מדינה אחרת בעולם ופי שניים מאשר בארה"ב. ישראל אף מובילה במספר המשתמשים ביחס לגודל האוכלוסיה. היא מגיעה למקום השני עם שיעור חדירה של 90% (במקום הראשון נמצאת הפיליפינים עם שיעור חדירה של 93%, ואילו ברוב מדינות אירופה שיעור החדירה נע בין %60 ל-70%). נתוני הרשת החברתית פייסבוק מעידים כי בישראל כ-3.5 מיליון משתמשים, ואחוז החדירה של הרשת לכלל האוכלוסיה עומד על 47.6% ועל 66.6% לאוכלוסיה המקוונת.#_lt#br#_gt##_lt#br#_gt#תפיסת הפרטיות והנכונות לחשוף מידע אישי ברשת תלויים, בין היתר, בקונטקסט תרבותי. כלומר, לנו כישראלים יש מאפייני התנהגות ייחודיים - ועניין זה תקף גם במודעות (או יותר נכון, בחוסר המודעות) שלנו לדלף מידע ברשת. מחקר מקיף שנערך במסגרת פרויקט אירופי (PACTIS) בהשתתפות חוקרים ישראלים, בקרב תלמידי בתי ספר תיכוניים והוריהם בשש מדינות (וישראל בתוכן), הראה שקיימים הבדלים מובהקים בין המדינות, בכל האמור לתפיסת הפרטיות. כך לדוגמה, במדינות כגון גרמניה, בלגיה ואוסטריה ניכרה מודעות גבוהה לפגיעה בפרטיות, לעומת מדינות שבהן המודעות נמוכה, דוגמת ישראל, פולין ופינלנד.#_lt#br#_gt##_lt#br#_gt#המחקר העלה שבני נוער מגרמניה ובלגיה נוטים פחות להשתמש באפליקציות שונות של פייסבוק כשמידע אישי עשוי להיחשף בהן. לעומתם, בני נוער מישראל, פולין ופינלנד נוטים יותר לעשות שימוש באפילקציות כאלו. עוד נמצא כי בישראל ובבלגיה שיעור גבוה של בני נוער (למעלה מ-66%) לא היסס לתת לאדם אחר סיסמה אישית ליישומים אינטרנטיים. בני נוער אלה הם החיילים של מחר ועובדי הארגונים של מחרתיים; והעדר הנחלת מודעות לשמירה על ביטחון מידע ברשתות חברתיות עלול להביא לנזקים כבדים לאורך כל הדרך.#_lt#br#_gt##_lt#br#_gt#יש לציין כי הדעה המוסכמת על אנשי מכוני המחקר והאקדמיה, עיתונאים, בלוגרים ומובילי דעת קהל היא כי מהפיכת הרשתות החברתיות עודנה רחוקה ממיצוי. כבר היום מחוברים לרשתות אלו למעלה ממיליארד איש ברחבי העולם, מתוכם 750 מיליון בפייסבוק. לתפוצה הגוברת של הסמארטפונים השפעה עצומה על משתמשי הרשתות החברתיות. בעלי הסמארטפונים מהווים 37% מגולשי האינטרנט; וזמינות האינטרנט הופכת אותם לפעילים יותר.#_lt#br#_gt##_lt#br#_gt#כפי שראינו, פוטנציאל הדלף במדיום זה הוא גדול, נוכח העדר הגבולות הברורים המבחינים בין מידע אישי לבין מידע ציבורי; נוכח המודעות החלקית של גולשים למידע הנחשף על אודותם ונוכח היכולת הטכנית המוגבלת של חלקם להגן על פרצות אלו. חשיפה זו מורכבת גם, לא רק בשל המבנה הטכנולוגי של אתרים אלה, אלא גם בשל מגוון פלטפורמות הגישה אליהם (בראש ובראשונה הטלפון הסלולארי); ובשל הטווח הרחב של מידעים המרכיב את "טביעת הרגל החברתית" המקוונת של הגולשים.#_lt#br#_gt##_lt#br#_gt#כאמור, מאפייני הרשתות החברתיות מקשים על יכולת הניטור והערכת הנזק של דלף המידע, כמו גם על אכיפת הנחיות והוראות הפרטיות. תנאים אלה יוצרים אתגר בטחוני לארגונים המעוניינים בהגנה על נכסי המידע שלהם, גם כשמדובר בדלף מידע שאין מקורו בכוונת זדון והמתרחש בערוצים שלכאורה אינם נחשבים לבעייתיים ולכן גם אינם מנוטרים דרך קבע.#_lt#br#_gt# #_lt#br#_gt#הכותב הוא מייסד ומנכ"ל Intellecteam העוסקת במודיעין תחרותי ובמשחקי מלחמה#_lt#br#_gt##_lt#br#_gt# הכתבה המלאה התפרסמה במגזין סטטוס, ינואר 2012#_lt#/div#_gt# |