נאיים עליך. אם עדיין לא תקנה שירותי אבטחת מידע - נלשין עליך לרשויות

פרשה בארה"ב סביב חברת אבטחת מידע בשם Tiversa מפנה לאור הזרקורים את הקלות הבלתי נסבלת של הפחדת לקוחות בסייבר. לא יכול לקרות בישראל? תחשבו שוב

נאיים עליך. אם עדיין לא תקנה שירותי אבטחת מידע - נלשין עליך לרשויות

bigstockphoto.com

סיפור ישן-חדש מעלה תהיות לגבי שיטות שיווק של חברות סייבר מסויימות בארה"ב. הסיפור הזה נוגע לחברה בשם Tiversa, אבל כנראה שהיא לא היחידה. מדובר בחברת סייבר אמריקאית שיישמה שיטת שיווק משונה עד פלילית: החברה הייתה מוצאת ברשת באמצעות מודיעין פתוח (OSINT) נתונים מחברות שפרצו להן למערכות המחשוב (להלן: דליפות), וכאשר היא הייתה מוצאת נתונים כאלו, השלב הבא היה לפנות לאותה חברה להציע לה שירותי אבטחת מידע ("הנה, פרצו לכם, תשכרו אותנו").

אבל זה נהיה יותר מעניין. אם החברה סירבה לשכור את שירותי Tiversa, זו הייתה מלשינה לרשות הFTC על אותה חברה וחושפת אותה לתביעה ייצוגית. לצערנו לא קיים בישראל גוף שדומה לFTC (אולי הרשות להגנת הצרכן? לא ממש). מדובר בארגון ששם לו למטרה לשמור על פרטיות הצרכנים האמריקאים. והוא עושה זאת בנחישות.

ברגע שתלונה מגיעה לארגון ונמצאת נכונה, כלומר הייתה דליפת נתונים של לקוחות מחברה מסוימת, הFTC מגיע לאותה חברה ומכריח אותה לשלם על הטעות. באמצעות חתימה על מסמכים חוקיים,  באמצעות עיבוי מערך אבטחת המידע וביצוע ביקורות תקופתיות ופיצוי ללקוחות. יתרה מכך, כל חברה שהFTC מגיעה אליה, נחשפת באותו רגע לתביעות משפטיות ייצוגיות. בארה"ב יש עו"ד שחיים מזה, וכאשר הFTC מפרסם באתר שלו על חקירה כלשהי, יום אחרי אותה חברה מוצאת את עצמה בבית משפט. ואם התביעה הייצוגית מתקבלת, מדובר במליוני דולרים. בחלק גדול מהמקרים החברה מעדיפה לסגור את הנושא מחוץ לכתלי בית משפט.

אם נסכם את שיטת השיווק של Tiversa , היא מורכבת משלושה שלבים - מציאת נתונים שדלפו מחברת X, פניה לחברה עם הנתונים וניסיון למכור שירותי אבטחת מידע, ואם זה לא הולך, הלשנה על חברה X לFTC וחשיפתה בעקיפין לתביעה ייצוגית. בצורה כזו, מנסים בTiversa להראות לחברה X שעלות הסירוב גדולה מעלות שכירת השירותים. אין ספק, שיטה די מוצלחת.

השיטה הזו עבדה עד שמישהו מTiversa הלשין לרשויות על המעסיק שלו. זה קרה החודש כאשר Richard Wallace, אנליסט בחברת Tiversa העיד בבית משפט פדרלי בנודע למשפט סביב ארוע כזה שנגרם לחברת LabMD ב2010. בעדות שלו, הוסיף וולאס עוד נדבך לקומבינה של Tiversa. במקרים מסוימים שהחברה רצתה למכור את השירותים שלה לחברה מסויימת והיא לא הצליחה להשיג הדלפות לגביה ברשת - היא פשוט המציאה הדלפה. אחת שלא הייתה ולא נבראה.

שמירה על פרטיות בשירות הפשע

המקרה של Tiversa מתחיל להעלות בארה"ב מספר שאלות. הראשונה, היא צורת הפעולה של ארגון FTC. אמנם מדובר בארגון שרוצה לעשות טוב בשמירה על פרטיות ציבור הצרכנים, אך האגרסיביות בה הוא פועל היא חרב פיפיות במקרים שמנצלים אותו, כמו המקרה של Tiversa. מיותר לציין כי אם חברת סייבר משתמשת במניפולציה על ארגון ממשלתי כדי לגייס לקוחות, משהו בשיטה מקולקל.

שאלה נוספת היא כיצד לפתור את בעיית האתיקה בתחום הסייבר בעל הקשור לגיוס לקוחות. הרי ברור לכל בר דעת שהכוח נמצא אצל בעלי הידע , קרי - חברות הסייבר, ואלו יכולות להשתמש בשיטות פליליות כדי לגייס לקוחות באמצעות הפחדה. כיצד ניתן לפתור זאת? שאלה טובה אך התשובה מורכבת. אחד הפתרונות יכול להיות ממשק 'שקוף' לשיתוף ידע בין המגזר העסקי למגזר הממשלתי.

כלומר, אם מישהו מאיים עליך עם נתוני הדלפה על הלקוחות שלך, אתה צריך שתהיה לך אפשרות לפנות לעזרה למשטרה, לשב"כ או לרשות הסייבר, בלי לפחד שהארגונים הללו יגרמו לך נזק מסחרי (בסופו של דבר, בעל עסק X חושש שמישהו באותו ארגון ממשלתי ידליף לחבר שלו, בעל עסק Y, שהוא במקרה המתחרה של X. בסוף מדובר באנשים. שחיתות אינה זרה למגזר הממשלתי בישראל). 

לצד מנגנון שיתוף פעולה, יש צורך גם במנגנון הרתעה משפטי. אם בעלים של חברה שפועלת כמו Tiversa ידע שיש בחוק עונש פלילי קשיח (שאינו נתון לשיקול שופט), זה ירתיע אותו מניסיונות לאיים על בעלי עסקים.

למרות שהמקרה ארע בארה"ב, אין ספק כי מקרים כאלו, בסבירות גבוהה, יכולים להתרחש גם בארץ. בעיקר כאשר תכנס הרגולציה בסייבר לתוקף, ובעלי עסקים שלא יעמדו בה יצטרכו לשלם קנסות או יהיו חשופים לתביעות ייצוגיות ואחרות (כיום נדיר למצוא תביעה ייצוגית בישראל סביב מקרה של פגיעה בפרטיות). ובמציאות כזו, טוב יעשה מטה הסייבר והרשות שעתידה לקום אם יחשבו על מנגנונים כיצד להרתיע חברות סייבר להשתמש בידע שלהן בצורה כוחנית ופלילית לצורך קידום עסקים. ויפה שעה אחת קודם.