מוקד הידע

מוקד הידע

רשימות מהשטח, ניתוחים ולקחים על OSINT, KYC, בדיקות נאותות וסיכוני הונאה - מאת האנליסטים שלנו.

בדיקות נאותות ובדיקות רקע

הוא כבר הורשע בעבר. זה לא מנע מאנשים להעביר לו שוב מיליוני שקלים
בדיקות נאותות ובדיקות רקע

הוא כבר הורשע בעבר. זה לא מנע מאנשים להעביר לו שוב מיליוני שקלים

קראתי הבוקר את הכתבה על עידו סמואל, שהורשע בעבר בעבירות מרמה, ריצה עונש מאסר, ולאחר שחרורו חזר לנהל כספים עבור לקוחות פרטיים. חלקם איבדו סכומים משמעותיים.

קראו את הפוסט המלאהציגו פחות

הסיפור הזה אינו רק סיפור על השקעות, קריפטו או שוק ההון.

זה סיפור על כשל בבדיקת רקע.

אנשים רבים חושבים שבדיקת רקע נועדה רק לגיוס עובדים. בפועל, היא חשובה לא פחות כאשר בוחרים שותף עסקי, מנהל השקעות, ספק, יועץ או כל אדם שאמור לקבל גישה לכסף, מידע או נכסים.

במקרה הזה, חלק מהמידע היה זמין לחלוטין במקורות גלויים: הרשעה פלילית בעבירות מרמה; תקופת מאסר ממושכת; פרסומים תקשורתיים היסטוריים; הליכים משפטיים ופסיקות; ומידע עסקי וציבורי שניתן לאתר באמצעות חיפוש מקצועי.

הבעיה היא שלא מספיק למצוא את המידע. צריך לדעת לחבר את הנקודות.

בדיקת רקע מבוססת OSINT אינה מסתכמת באיסוף נתונים. הערך האמיתי נמצא בניתוח ובהבנת המשמעות של המידע לצורך קבלת החלטה.

כאשר בוחנים אדם שאמור לנהל עבורנו כסף או לקבל החלטות פיננסיות, השאלה איננה רק "האם הייתה לו הרשעה בעבר?", אלא: האם הוא גילה זאת באופן מלא? האם קיימים סימני אזהרה נוספים? האם קיימים פערים בין המצג הציבורי לבין המציאות? והאם קיימים דפוסים שחוזרים על עצמם לאורך השנים?

בסופו של דבר, רוב ההונאות הגדולות אינן מתחילות בתחכום טכנולוגי. הן מתחילות באמון.

ולפני שמעניקים אמון, כדאי לבצע בדיקת רקע מקצועית המבוססת על מקורות מידע גלויים, כדי לקבל החלטה מושכלת המבוססת על עובדות ולא על רושם אישי או כריזמה.

קראו את הכתבה
הטעות הגדולה ביותר בבדיקות רקע? לייחס מידע לאדם הלא נכון.
בדיקות נאותות ובדיקות רקע

הטעות הגדולה ביותר בבדיקות רקע? לייחס מידע לאדם הלא נכון.

רבים חושבים שהאתגר המרכזי בבדיקות רקע הוא למצוא מידע.

קראו את הפוסט המלאהציגו פחות

לדעתי, זה דווקא החלק הקל.

האתגר האמיתי מתחיל רגע אחרי שמצאנו את המידע: האם אנחנו בטוחים שהוא שייך לאדם שאותו אנחנו בודקים?

בעולם שבו מיליוני אנשים חולקים שמות דומים, משתמשים בכינויים, מחזיקים במספר פרופילים דיגיטליים ולעיתים אף משאירים עקבות חלקיות בלבד, קל מאוד ליפול למלכודת של "זיהוי מהיר".

אני נתקל לא פעם במקרים שבהם חוקרים, מגייסים או מנהלים רואים פרופיל בעייתי ברשת, כתבה ישנה או אזכור שלילי, וממהרים להסיק מסקנות.

אבל בדיקת רקע מקצועית אינה תרגיל באיסוף מידע. היא תרגיל באימות זהויות.

לפני שמסיקים מסקנות, צריך לאמת: האם מדובר באותו אדם? האם המיקום הגיאוגרפי מתאים? האם ציר הזמן תואם? האם קיימים מזהים נוספים שמחברים בין הנתונים? והאם קיימים מקורות בלתי תלויים שמאשרים את הקשר?

הסכנה הגדולה ביותר אינה לפספס מידע שלילי. הסכנה הגדולה ביותר היא לייחס מידע שלילי לאדם הלא נכון.

טעות כזו עלולה להוביל להחלטות גיוס שגויות, לפגיעה במוניטין של אדם חף מפשע, ואפילו לחשיפה משפטית.

לכן אחד העקרונות החשובים ביותר בעבודת מודיעין ממקורות מידע גלויים הוא: קודם מאמתים. רק אחר כך מסיקים.

זה ההבדל בין איסוף מידע לבין חקר אמת.

הטלת הספק היא גלגל הצלה שלך
בדיקות נאותות ובדיקות רקע

הטלת הספק היא גלגל הצלה שלך

היום נתקלתי בפוסט על ה-"Venezuelan Poodle Moth" - "עש פודל" שנראה כמו יצור פרוותי וחמוד מסרט אנימציה.

קראו את הפוסט המלאהציגו פחות

בהתחלה זה נראה אמין לחלוטין. תמונות, הסברים, תוצאות בגוגל, אזכורים באתרים שונים כולל ויקיפדיה.

אבל ככל שהעמקתי, גיליתי שרוב הסיפור בכלל לא מבוסס. חלק מהתמונות היו פסלי צמר של אמן יפני. אחרות היו תמונות של מינים שונים לחלוטין. ובפועל, כל מה שקיים באמת הוא צילום אחד של עש לא מזוהה שצולם בוונצואלה (התמונה משמאל למעלה). אין אפילו הכרה מדעית רשמית במין כזה.

מה שמעניין כאן הוא לא העש. אלא הדרך שבה מידע הופך ל"אמת".

היום מנועי חיפוש כבר לא מסתמכים רק על מקורות מקוריים. הם מוזנים גם מתוכן שנוצר על ידי AI, מסיכומים אוטומטיים, מהעתקות בין אתרים וממידע שממחזר את עצמו שוב ושוב.

והמשמעות היא שגם אם מנסים לבצע "נבירה לאחור" ולבדוק מה המקור האמיתי, זה הופך להיות קשה מאוד. כי בשלב מסוים: המקור המקורי נעלם, המידע מועתק מאות פעמים, מערכות AI מסכמות מידע שגוי, ותוכן לא מאומת מתחיל להיראות אמין יותר מהמציאות עצמה.

וזה בדיוק אחד האתגרים הגדולים בעולם בדיקות הרקע.

לא מספיק לדעת לחפש מידע. צריך לדעת להטיל ספק במידע.

צריך להבין: מי המקור? האם יש אימות? האם מדובר במידע ראשוני או בהעתקה? האם יש אינטרס? והאם כולם פשוט מצטטים אחד את השני?

בעידן שבו AI יודע לייצר כמויות עצומות של תוכן משכנע, היכולת לחשוב בצורה ביקורתית הופכת לנכס מקצועי קריטי.

זו בדיוק הסיבה שבדיקות רקע מקצועיות לא יכולות להסתמך רק על חיפוש מהיר בגוגל או על כלי AI.

בסוף, עדיין צריך אנשים שיודעים לחבר הקשרים, לזהות מניפולציות, להבין מה חסר בתמונה - ובעיקר לדעת מתי לא להאמין מיד למה שנראה אמין.

כשמבקשים ממך "למצוא את האשם" - אבל היכולת שלך לא בנויה לזה
בדיקות נאותות ובדיקות רקע

כשמבקשים ממך "למצוא את האשם" - אבל היכולת שלך לא בנויה לזה

לאחרונה פנו אליי עם מקרה רגיש מאוד שקשור להפצה של תוכן מזויף ברשת.

קראו את הפוסט המלאהציגו פחות

הבקשה הייתה ברורה: לאתר את מקור ההפצה, לעצור את זה מהר, ולהעלים את התוכן.

על פניו זה נשמע כמו משימה קלאסית של מודיעין ממקורות מידע גלויים. אבל כאן בדיוק מתחילה הבעיה.

אני רוצה לשתף אתכם בכנות מקצועית - איפה OSINT חזק, ואיפה הוא פשוט לא מספיק.

איפה OSINT נותן ערך אמיתי: אפשר למפות איך התוכן מתפשט, לזהות קבוצות, ערוצים ומוקדי הפצה, לאתר משתמשים שחוזרים על עצמם בפלטפורמות שונות, ולהבין מי "דוחף" את הסיפור קדימה. זה נותן תמונת מצב מודיעינית חשובה מאוד.

אבל כאן מגיעה המגבלה הקריטית: אי אפשר לזהות בוודאות מי האדם מאחורי החשבון, להוכיח מי יצר את התוכן, לגשת למידע סגור (IP, מכשירים, לוגים), או להבטיח הסרה מלאה מהאינטרנט.

וכשמדובר באירועים רגישים, במיוחד עם קטינים או פגיעה בפרטיות, הטעות הכי קטנה בזיהוי יכולה להפוך לבעיה משפטית חמורה.

הסיכון האמיתי: הבעיה היא לא רק טכנולוגית - היא ניהולית. כשנותנים הבטחות כמו "נמצא מי עשה את זה" ו"נוריד הכל מהרשת" בלי להבין את הגבולות - זה מתכון לאכזבה במקרה הטוב, ולנזק במקרה הרע.

אז מה כן נכון לעשות במקרים כאלה? גישה נכונה היא תמיד רב-תחומית: ה-OSINT למיפוי והבנה, ה-DFIR לאיסוף ראיות ממכשירים ומערכות, ליווי משפטי לפנייה לפלטפורמות, ניהול נזק ומניעת הפצה חוזרת, וניטור מתמשך. מי שמטפל בזה לבד, רק מזווית אחת, מפספס את התמונה.

השורה התחתונה: מודיעין ממקורות מידע גלויים הוא כלי חזק מאוד - אבל הוא לא קסם.

לדעת מה אפשר לעשות זה חשוב. אבל לדעת מה אי אפשר לעשות - זה מה שמבדיל בין עבודה מקצועית לבין סיכון.

הבעיה היא לא מחסור במידע. הבעיה היא רעש
בדיקות נאותות ובדיקות רקע

הבעיה היא לא מחסור במידע. הבעיה היא רעש

היכולת החדשה של Google לנתח מידע מהדארק ווב באמצעות AI, והדבר שהכי תפס אותי הוא לא הטכנולוגיה עצמה אלא הגישה: לא עוד "עוד מידע", אלא סינון חכם שמבין הקשר.

קראו את הפוסט המלאהציגו פחות

וזה בדיוק המקום שבו הרבה ארגונים נופלים.

אנחנו חיים בעידן שבו יש אינסוף מידע פתוח, פורומים, קבוצות, דליפות, רמזים קטנים. אבל בלי הקשר עסקי אמיתי, בלי הבנה של מה רלוונטי לארגון ספציפי, הכל הופך לרעש.

וזה לא רק בעולמות הסייבר.

זה בדיוק אותו עיקרון בעולם של מודיעין ממקורות מידע גלויים.

אני רואה את זה כל הזמן: ארגונים חושבים שהם צריכים "יותר בדיקות", "יותר מקורות", "יותר דאטה". אבל האמת הפוכה. הערך האמיתי מגיע מיכולת לחבר נקודות.

לדוגמה: מישהו מפרסם בפורום אפל שמציע גישה למערכת. הוא לא מציין שם חברה. אין מילות מפתח ברורות. מערכות קלאסיות לא יזהו את זה. אבל אם אתה מבין הקשר - סוג המערכת, גודל החברה, מיקום גיאוגרפי, סוג הפעילות - פתאום זה כבר לא "מידע כללי". זה איום מאוד ספציפי.

ועכשיו תחשבו על זה בהקשר של איומים פנימיים.

הרבה פעמים האיום לא מתחיל מתוך הארגון. הוא מתחיל בחוץ - בדארק ווב, בפורומים, בקבוצות. אבל הוא מתחבר לאנשים מבפנים. עובד עם גישה. ספק עם הרשאות. מועמד שמנסה להיכנס.

בלי חיבור בין מודיעין חיצוני לבין הבנה פנימית של הארגון - מפספסים את הסיפור.

וזו הנקודה החשובה באמת: ה-AI לבד לא פותר את הבעיה. הסתייעות ב-OSINT לבדה לא פותרת את הבעיה.

רק שילוב של הקשר עסקי אמיתי, ניתוח אנושי שמבין התנהגות, וטכנולוגיה שיודעת לעבוד בקנה מידה - יוצר יתרון אמיתי.

מי שימשיך לאסוף מידע בלי להבין מה רלוונטי אליו - יטבע ברעש. מי שידע לחבר נקודות בזמן - יזהה את האיום לפני שהוא הופך לאירוע.

איומים פנימיים וסיכון ארגוני

הסטארטאפ המבריק שלא יכול לעבוד כי אין לו סיווג ביטחוני
איומים פנימיים וסיכון ארגוני

הסטארטאפ המבריק שלא יכול לעבוד כי אין לו סיווג ביטחוני

בשנים האחרונות אני שומע יותר ויותר ארגונים ביטחוניים מדברים על הרצון לעבוד עם חברות קטנות, חדשניות וגמישות. כולם רוצים חדשנות. כולם רוצים פתרונות יצירתיים. אבל במציאות, יש לא מעט חברות שלא מצליחות בכלל להגיע לקו הזינוק.

קראו את הפוסט המלאהציגו פחות

כתבה מעניינת שפורסמה לאחרונה בבריטניה חשפה את אחד האתגרים הגדולים בעולם הביטחוני: תהליך הסיווג הביטחוני עצמו.

מצד אחד, אין ויכוח על החשיבות של בדיקות רקע, סיווגים ביטחוניים והגנה על מידע רגיש. מדובר במנגנונים חיוניים שנועדו להגן על אינטרסים לאומיים, על טכנולוגיות רגישות ועל שרשראות אספקה קריטיות.

מצד שני, כאשר תהליך קבלת הסיווג נמשך חודשים ארוכים ולעיתים יותר משנה, נוצר מצב אבסורדי: החברה לא יכולה לקבל חוזה כי אין לה סיווג, אבל היא גם לא יכולה לקבל סיווג כי אין לה חוזה.

הדילמה הזו אינה ייחודית לבריטניה. בכל מקום שבו קיימים תהליכי סינון ובדיקות מהימנות מורכבות, האתגר הוא למצוא את האיזון בין ביטחון לבין גמישות.

כמי שעוסק שנים רבות בתחום בדיקות הרקע והמהימנות, אני מאמין שהמטרה אינה להקל בדרישות. להיפך.

המטרה היא לייצר תהליכים חכמים יותר, מהירים יותר ומבוססי ניהול סיכונים.

לא כל ספק מהווה אותו סיכון. לא כל עובד זקוק לאותה רמת בדיקה. ולא כל תהליך חייב להימשך חודשים ארוכים.

כשמנהלים נכון את הסיכונים, אפשר גם לשמור על ביטחון וגם לאפשר חדשנות וצמיחה.

האתגר האמיתי אינו לבצע יותר בדיקות. האתגר הוא לבצע את הבדיקות הנכונות, בזמן הנכון ובאופן שמאפשר לארגון להתקדם במקום להיתקע.

קראו את הכתבה
האם הייתם נותנים למי ששתק מול רצח לטפל בכם?
איומים פנימיים וסיכון ארגוני

האם הייתם נותנים למי ששתק מול רצח לטפל בכם?

קראתי את הכתבה על ליהי דרנל (גלוזמן), עדת המדינה בפרשת רצח אסף שטיירמן, שעוברת הכשרה בתחום הפסיכולוגיה הקלינית. מעבר לדיון המשפטי והציבורי, המקרה הזה מעלה בעיניי שאלה מקצועית רחבה הרבה יותר:

קראו את הפוסט המלאהציגו פחות

כמה עמוק ארגונים בודקים את האנשים שהם מפקידים בידיהם כוח, השפעה ואמון?

במקרה הזה מדובר במקצוע טיפולי. במקומות אחרים מדובר במנהל כספים, קצין ביטחון, מנהל רכש, איש IT עם הרשאות נרחבות או עובד שנחשף למידע רגיש.

אחד הלקחים המרכזיים מעולם האיומים הפנימיים הוא שלא כל סיכון נמדד לפי עבר פלילי או הרשעה. לעיתים דווקא דפוסי התנהגות, קבלת החלטות במצבי לחץ, שיקול דעת מוסרי ותגובות לאירועים קיצוניים הם אלה שצריכים להדליק נורות אזהרה.

ארגונים רבים מתמקדים בשאלה "האם יש לעובד עבר פלילי?", אבל לעיתים השאלה החשובה יותר היא: "האם יש מידע מהותי על התנהלותו בעבר שהיה גורם לנו לחשוב פעמיים לפני שאנחנו מעניקים לו תפקיד רגיש?"

במקרה הספציפי הזה, לא מדובר בשאלה משפטית אלא בשאלה של ניהול סיכונים.

כאשר אדם צפוי להחזיק במעמד של אמון, להשפיע על אנשים אחרים או לקבל גישה למשאבים רגישים, כדאי לבחון מספר רבדים: היסטוריה של קבלת החלטות במצבי קיצון; מעורבות באירועים בעלי משמעות ציבורית או מוסרית; פערים בין התדמית הנוכחית לבין אירועי עבר מהותיים; הערכת סיכון עדכנית ולא חד-פעמית; ומנגנוני פיקוח ובקרה לאורך זמן.

חשוב גם לזכור שאיומים פנימיים לא נוצרים רק כתוצאה מכוונה זדונית. לפעמים הם נובעים משיקול דעת לקוי, מהסתרת מידע, מחוסר אחריות או מקונפליקטים ערכיים שלא זוהו בזמן.

בסופו של דבר, כל ארגון צריך להחליט היכן עובר הקו בין שיקום אישי לבין אחריות מקצועית. זאת החלטה מורכבת, אבל היא חייבת להתקבל מתוך ניהול סיכונים מושכל ולא מתוך הנחה שאם אין מניעה משפטית - אין גם סיכון.

קראו את הכתבה
הוא נראה כמו העובד המושלם, עד שהוא מתחיל לפרק את הארגון.
איומים פנימיים וסיכון ארגוני

הוא נראה כמו העובד המושלם, עד שהוא מתחיל לפרק את הארגון.

אחד הספרים הכי מטרידים שקראנו לאחרונה בתחום ההתנהגות הארגונית הוא "Snakes in Suits: When Psychopaths Go to Work" של Paul Babiak ו-Robert Hare.

קראו את הפוסט המלאהציגו פחות

הספר עוסק בסוג האנשים שרוב הארגונים לא באמת יודעים לזהות בזמן. לא עבריינים אלימים. לא דמויות קיצון מסרטים. אלא אנשים כריזמטיים, מרשימים, חדים, עם יכולת מופלאה לגרום לאחרים להאמין בהם.

דווקא בגלל זה הם מסוכנים.

המחברים מתארים כיצד פסיכופת ארגוני מצליח להשתלב בארגון, להתקדם במהירות, לצבור כוח והשפעה, ובדרך להשאיר אחריו נזק עצום: פירוק צוותים, יצירת סכסוכים, מניפולציות פוליטיות, הפחדת עובדים, פגיעה באמון, יצירת תרבות רעילה, ולעיתים גם הונאות וניצול סמכויות.

מה שמעניין במיוחד הוא שהספר מסביר שהבעיה אינה רק באדם עצמו. לעיתים גם הארגון תורם לזה בלי להבין.

ארגונים שמקדשים כריזמה, תוצאות מהירות, אגרסיביות, הישגיות בכל מחיר ופוליטיקה פנימית, עלולים לזהות בטעות התנהגות פסיכופתית כ"מנהיגות".

אחד הדברים החשובים בספר הוא תיאור שלושת השלבים שבהם פועל פסיכופת ארגוני.

בשלב הראשון הוא לומד את המערכת: מי חזק, מי חלש, מי משפיע, מי מאוים, למי יש גישה לכוח ולמידע.

בשלב השני מתחילה המניפולציה: חנופה, יצירת אמון מזויף, התאמת אישיות לכל אדם, שקרים מתוחכמים ופגיעה שקטה ביריבים.

בשלב השלישי מגיעה הנטישה: כאשר האדם כבר לא מועיל, הוא נזרק הצידה. לפעמים גם תוך פגיעה מכוונת במוניטין שלו.

החלק הכי חשוב מבחינתי הוא ההבנה שלא תמיד אפשר לזהות אנשים כאלה דרך כריזמה או רושם ראשוני. להפך.

במקרים רבים הם רגועים תחת לחץ, יודעים לדבר בצורה משכנעת, מקרינים ביטחון עצמי, יודעים "לקרוא אנשים", ומחקים אמפתיה בצורה מצוינת.

ולכן בעולם של Insider Threats, גיוס עובדים והערכת אמינות, אסור להסתמך רק על אינטואיציה או "תחושת בטן".

צריך לבחון: עקביות התנהגותית, פערים בין מילים למעשים, דפוסי מניפולציה, יחס לאנשים ללא כוח, היסטוריית קונפליקטים, ושימוש חוזר בקורבנות, האשמות ופוליטיקה.

הספר הזה הוא תזכורת מצוינת לכך שהאיומים המסוכנים ביותר בארגון לא תמיד מגיעים מבחוץ.

לפעמים הם יושבים בחדר הישיבות.

המנהל הכי מסוכן בארגון? לא תמיד הוא זה שגונב מידע
איומים פנימיים וסיכון ארגוני

המנהל הכי מסוכן בארגון? לא תמיד הוא זה שגונב מידע

אני פוגש לא מעט מנהלים שמסתכלים על 'איום פנימי' רק דרך פריזמה של גניבת מידע, ריגול תעשייתי או הונאה כספית. אבל יש סוג אחר של איום פנימי, הרבה יותר שקט, שבדרך כלל לא מופיע בדוחות אבטחה.

קראו את הפוסט המלאהציגו פחות

המתעמר.

אותו מנהל שמקטין עובדים, משפיל מול אחרים, מפעיל פחד, שוחק נפשית, יוצר חרדה ומפרק ביטחון עצמי לאורך זמן.

מחקרים כבר הראו שהתעמרות במקום העבודה לא נשארת ברמה הרגשית בלבד. היא פוגעת ביכולת הקוגניטיבית, בקבלת החלטות, בזיכרון, בריכוז ובתפקוד המקצועי. עובד שנמצא תחת טרור פסיכולוגי מתמשך מתחיל לטעות יותר, להסתגר, לאבד מוטיבציה ולעיתים גם לפתח כעס כלפי הארגון עצמו.

וכאן בדיוק מתחיל החיבור לעולם האיומים הפנימיים.

כי לפעמים ה'טורף' עצמו הוא האיום הפנימי. ולפעמים הוא מייצר איום פנימי חדש - העובד שנפגע ממנו.

עובד שחווה השפלה מתמשכת יכול להפוך לאדם ממורמר, אדיש, נקמני או חסר מחויבות. במקרים מסוימים זה מתבטא בנטישה שקטה, בזליגת מידע, בפגיעה בתהליכים, או פשוט בהתפרקות תפקודית שפוגעת בארגון מבפנים.

זאת בדיוק הסיבה שאני חושב שלא מספיק לבדוק רק יושרה, עבר או אמינות של מועמדים. צריך לדעת לזהות גם דפוסים טורפניים.

כן, יש דרכים לזהות אותם. אפשר לאתר סימנים מוקדמים כבר בשלב הגיוס: דפוסי שליטה קיצוניים, מניפולטיביות, חוסר אמפתיה, יחסי אנוש הרסניים לאורך זמן, דפוסי שחיקה חוזרים בצוותים שניהלו, וסביבת עבודה שמייצרת פחד במקום אמון.

ואם אותו אדם כבר נמצא בארגון, חייבים לנטר התנהגויות כאלה בדיוק כמו שמנטרים חריגות אבטחה אחרות. כי הנזק שלהם לא תמיד מופיע מיד, אבל כשהוא מתפוצץ, המחיר הארגוני עצום.

אני חושב שבעתיד הקרוב ארגונים יבינו שהתעמרות במקום העבודה היא לא רק סוגיה של HR או רווחת עובדים. זו סוגיית ביטחון ארגוני.

פישינג לא גונב רק סיסמאות. לפעמים הוא גונב טכנולוגיה רגישה.
איומים פנימיים וסיכון ארגוני

פישינג לא גונב רק סיסמאות. לפעמים הוא גונב טכנולוגיה רגישה.

הסיפור שפרסם משרד המבקר הפנימי של NASA צריך להטריד כל ארגון שמחזיק ידע רגיש, קוד, תוכנה, תכנון הנדסי או מידע עסקי בעל ערך.

קראו את הפוסט המלאהציגו פחות

לפי הפרסום, אזרח סיני בשם Song Wu התחזה במשך שנים למהנדסים, חוקרים ופרופסורים אמריקאים, ופנה לעובדי NASA, חוקרים באקדמיה, אנשי צבא וחברות פרטיות. המטרה שלו לא הייתה לקבל סיסמה לחשבון. הוא ביקש משהו הרבה יותר פשוט והרבה יותר מסוכן: עותקים של תוכנות, קוד מקור וכלים הנדסיים רגישים שיכולים לשמש לתכנון אווירונאוטי ולפיתוח מערכות נשק.

וזה בדיוק העניין.

בהרבה ארגונים, כששומעים את המילה 'פישינג', חושבים מיד על מייל עם לינק חשוד, אתר מזויף או בקשה להזין סיסמה.

אבל במקרים מתוחכמים יותר, הפישינג לא נראה כמו מתקפת סייבר. הוא נראה כמו בקשה מקצועית לגיטימית מאדם מוכר. 'שלח לי בבקשה את הקוד'. 'אני צריך את הגרסה האחרונה של התוכנה'. 'תעביר לי את הקובץ, אני עובד על זה עם הצוות'.

הקורבן לא מרגיש שהוא נופל למתקפה. הוא מרגיש שהוא עוזר לקולגה.

וזו בדיוק הסכנה.

הטעות המקצועית שאני רואה שוב ושוב היא שארגונים מתייחסים לאיום הזה רק כבעיה טכנולוגית. אבל במקרה הזה, החולשה המרכזית לא הייתה רק במערכת. היא הייתה באמון האנושי, בתרבות העבודה, ובהיעדר מנגנון ברור שמחייב עצירה ובדיקה לפני שמידע רגיש יוצא החוצה.

מבחינתי יש כאן כמה לקחים חשובים.

לא כל בקשה שמגיעה מאדם 'מוכר' באמת מגיעה ממנו.

לא כל שיתוף מידע בין קולגות הוא פעולה תמימה, במיוחד כשמדובר בקוד, תוכנה, תוכניות, דאטה, מודלים או תשתיות.

עובדים צריכים לדעת לזהות לא רק לינקים חשודים, אלא גם בקשות חריגות: בקשות חוזרות לאותה תוכנה, חוסר הסבר למה המידע נדרש, שינוי פתאומי באמצעי התשלום או ההעברה, שימוש בערוצים לא מקובלים, או לחץ להעביר חומר בלי תהליך מסודר.

והכי חשוב: בארגון רציני, עובד לא אמור להחליט לבד אם מותר להעביר חומר רגיש לגורם אחר, גם אם הגורם נראה מוכר, בכיר או מקצועי.

צריך נוהל. צריך אימות זהות. צריך בדיקת הרשאות. צריך הבנה של מגבלות רגולציה, ייצוא, סודיות וקניין רוחני. וצריך תרבות שבה עצירה לבדיקה לא נתפסת כבירוקרטיה, אלא כחלק מהאחריות המקצועית.

הסיפור של NASA הוא תזכורת חדה לכך שאיום פנימי לא תמיד מתחיל מעובד זדוני. לפעמים הוא מתחיל מעובד טוב, מקצועי, שרוצה לעזור, אבל לא מבין שמפעילים אותו.

וזה אולי אחד האיומים המסוכנים ביותר: סוס טרויאני אנושי שלא יודע שהוא כזה.

קראו את הכתבה

פרופילאות התנהגותית ואבחון מהימנות

הגוף בוגד הרבה לפני שהמילים נשברות
פרופילאות התנהגותית ואבחון מהימנות

הגוף בוגד הרבה לפני שהמילים נשברות

אחד הנושאים המרתקים ביותר בעולם ההתנהגות האנושית - Embodiment Effect, או בעברית: 'השפעת הגילום הגופני'.

קראו את הפוסט המלאהציגו פחות

הרעיון המרכזי פשוט אבל עמוק מאוד: הגוף שלנו לא רק "מבטא" רגשות ומחשבות, אלא גם משפיע עליהם, ולעיתים אפילו חושף אותם לפני שהמוח מצליח לשלוט במסר.

במשך שנים הסתכלו על שפת גוף כעל "תוספת" לתקשורת. היום כבר ברור שהיא חלק ממערכת החשיבה עצמה. תנוחת ישיבה, מיקום ידיים, קצב נשימה, תנועות ראש, מרחק מהמצלמה, שימוש במרחב, מיקרו-הבעות, שינויי קול ואפילו אופן ההקלדה - כל אלה הם חלק ממערכת מידע התנהגותית.

בפרופילאות עסקית זה קריטי.

כשאנחנו מבצעים אבחון מהימנות או מנסים לזהות פוטנציאל לאיום פנימי בארגון, אנחנו לא מחפשים רק "שקר". זה הרבה יותר מורכב. אנחנו מחפשים חוסר הלימה.

ה-Embodiment Effect מאפשר להבין מתי ההתנהגות הפיזית לא מסתנכרנת עם הנרטיב שהאדם מנסה לייצר. למשל: מועמד שמדבר בביטחון אך הגוף שלו נמצא במגננה מתמשכת; עובד שמצהיר על מחויבות לארגון אך מגיב פיזית בלחץ כאשר עולים נושאים של סמכות, בקרה או נאמנות; מנהל שמציג יציבות אך מראה סימני עוררות חריגים סביב שאלות פיננסיות או קונפליקטים פנימיים; מועמד מרחוק שמייצר קשר עין "מושלם מדי", בקצב תגובה מלאכותי, עם דפוסי תקשורת שמזכירים שימוש בעזרים חיצוניים או AI בזמן אמת.

ופה נכנס האתגר החדש: אבחון מרחוק.

בעידן העבודה ההיברידית והראיונות בזום, חלק מהאנשים חושבים שאפשר "להסתיר" התנהגות דרך מסך. בפועל קורה לעיתים ההפך.

המצלמה מצמצמת רעשי רקע ומכריחה אותנו להתמקד במיקרו-התנהגויות: עיכובי תגובה, שינויי טון, קפיצות במבט, התאמות יתר, הקשבה לא טבעית, ניתוקים בין קול להבעה, קיפאון תנועתי ושימוש מוגזם במחוות מחושבות.

דווקא בסביבה מרוחקת, כאשר יודעים מה לחפש, אפשר לזהות אינדיקציות משמעותיות מאוד למהימנות, לחץ, הסתרה, מניפולציה או קונפליקט פנימי.

אבל חשוב לומר את האמת המקצועית: אין "סימן קסם" שמוכיח שקר. זו אחת הטעויות הגדולות בתחום.

פרופילאות מקצועית לא בנויה על מיתוסים של "נגיעה באף = שקר". היא בנויה על: יצירת קו בסיס התנהגותי, זיהוי חריגות, הצלבת מקורות מידע, ניתוח הקשר, הבנת מוטיבציות, וקריאת דינמיקה ולא רק סימנים בודדים.

ה-Embodiment Effect חשוב במיוחד בזיהוי איומים פנימיים בארגונים משום שאנשים יכולים לשלוט במילים הרבה יותר מאשר בגוף. ובמצבי לחץ, קונפליקט נאמנויות, תחושת איום או הסתרה - הגוף כמעט תמיד "מדליף" מידע.

העתיד של עולם הפרופילאות העסקית לא יהיה מבוסס רק על טכנולוגיה ולא רק על אינטואיציה אנושית. הוא יהיה שילוב של: הבנה התנהגותית עמוקה, ניתוח דיגיטלי, הסתייעות ב-OSINT, זיהוי אנומליות, ויכולת אנושית לקרוא אנשים גם דרך מסך.

כי בסוף, גם בעידן AI, האדם עדיין משאיר חתימה התנהגותית.

לא כל עובד רעיל צועק. חלקם פשוט מחייכים נכון בראיון.
פרופילאות התנהגותית ואבחון מהימנות

לא כל עובד רעיל צועק. חלקם פשוט מחייכים נכון בראיון.

אחד הנושאים הכי מטרידים בעולם אבחון האישיות - 'המשולש האפל'.

קראו את הפוסט המלאהציגו פחות

מדובר בשלושה מאפייני אישיות שיכולים להיראות בהתחלה כמו ביטחון עצמי, כריזמה או אסרטיביות, אבל בתוך ארגון הם עלולים להפוך לאיום פנימי אמיתי: נרקיסיזם - צורך בהערצה, תחושת עליונות וקושי לקבל ביקורת; מניפולטיביות (Machiavellianism) - שימוש באנשים ככלי להשגת מטרות, בלי הרבה רגשות אשם בדרך; ופסיכופתיה תפקודית - קור רוח קיצוני, היעדר אמפתיה ויכולת לבצע פעולות פוגעניות בלי מצפון.

החלק המעניין הוא שאנשים עם מאפיינים כאלה לא תמיד נכשלים בראיונות עבודה. להפך.

לא פעם הם מרשימים מאוד. הם יודעים לדבר. יודעים למכור את עצמם. יודעים לזהות חולשות של אחרים. ויודעים בדיוק איזו דמות הארגון רוצה לראות מולם.

בגלל זה אני חושב שאחד האתגרים הכי גדולים היום בעולם האיומים הפנימיים הוא לא רק לזהות "עבר בעייתי", אלא להבין דפוסי אישיות והתנהגות שעלולים להפוך בעתיד לסיכון ארגוני.

זה יכול להתבטא בהדלפת מידע, בפגיעה מכוונת בארגון, במניפולציות מול עובדים, ביצירת תרבות רעילה, או פשוט בקבלת החלטות מסוכנות בלי שום אמפתיה להשלכות.

ברור שלא כל אדם עם מאפיינים מהמשולש האפל הוא עבריין או איום פנימי. אבל כשמחברים גישה למידע רגיש, לחץ, אגו, חוסר פיקוח ויכולת מניפולטיבית - מקבלים שילוב שמנהלים חייבים להכיר.

ופה בדיוק נכנס הערך של אבחון מעמיק, תשאול נכון, מודיעין ממקורות מידע גלויים וזיהוי דגלים אדומים לפני שמתרחשת הפגיעה.

כי בסוף, האיום הכי מסוכן בארגון הוא בדרך כלל לא מי שנראה מסוכן. אלא מי שיודע להיראות מושלם.

התרבות מעצבת את מי שעומד מולנו
פרופילאות התנהגותית ואבחון מהימנות

התרבות מעצבת את מי שעומד מולנו

כשאנחנו מאבחנים אדם, קל מאוד להשליך עליו את מערכת הערכים שלנו. מה שנראה לנו כהתנהגות חשודה, לא עקבית או אפילו בעייתית - יכול להיות, בהקשר אחר, נורמלי לחלוטין.

קראו את הפוסט המלאהציגו פחות

לדוגמה, יש תרבויות שבהן הימנעות מקשר עין היא סימן לכבוד. אצל אחרים, זה מיד מעלה סימני שאלה. יש מקומות שבהם תקשורת ישירה נחשבת לחיובית, ובאחרים היא תיתפס כגסה.

וכאן נכנסות ההטיות.

כשאנחנו לא מודעים להן, אנחנו לא באמת מנתחים את האדם - אנחנו מנתחים את הפער בינו לבינינו.

בפרופילאות עסקית, זה קריטי במיוחד. החלטות מתקבלות על אנשים - מועמדים, שותפים, ספקים. טעות בפרשנות יכולה להוביל לפספוס של אדם מצוין, או גרוע מזה - לאי זיהוי של סיכון אמיתי.

אז מה לומדים מזה?

קודם כל, צניעות מקצועית. להבין שלא כל מה שנראה לנו "נכון" הוא באמת כזה.

שנית, הקשר. תמיד לשאול - מאיפה האדם הזה מגיע? האם ההתנהגות מתיישבת עם התרבות ממנה הוא מגיע?

ולבסוף, שילוב נכון בין כלים אנליטיים להבנה אנושית. בלי זה, אין באמת אובייקטיביות.

מי שמתעסק באנשים, חייב להבין תרבויות. אחרת, הוא פשוט מנחש.

שיטיפיקציה היא דבר רע? לא תמיד.
פרופילאות התנהגותית ואבחון מהימנות

שיטיפיקציה היא דבר רע? לא תמיד.

שיטיפיקציה (Enshittification) = הפיכת דבר לגרוע באופן קיצוני.

קראו את הפוסט המלאהציגו פחות

אני זוכר תקופה שלינקדאין היה מקום מאוד "נקי". מקצועי, מחושב, קצת סטרילי. כולם כתבו אותו דבר, כולם נשמעו אותו דבר, וכמעט לא היה שם שום דבר שבאמת חשף מי האדם שמאחורי הפרופיל.

ואז התחילה השיטיפיקציה.

יותר פוסטים אישיים. יותר פוליטיקה. יותר דעות קיצוניות. יותר פרובוקציות שמקבלות חשיפה כי האלגוריתם אוהב רעש.

מי שמחפש פלטפורמה מקצועית בלבד - זה נראה כמו הידרדרות. ובמידה רבה, זה באמת כך.

אבל מנקודת המבט שלי, קרה כאן משהו מעניין.

דווקא התוכן ה"לא שייך" הזה הוא זה שמתחיל לספר את הסיפור האמיתי.

כשאני בודק מישהו במסגרת בדיקות רקע ממקורות מידע גלויים, אני לא מחפש רק מה הוא עושה. אני מחפש איך הוא חושב. איך הוא מגיב. מה מפעיל אותו. איפה הגבולות שלו.

והדברים האלה כמעט אף פעם לא הופיעו בלינקדאין הישן.

היום הם שם. ובשפע.

פוסט פוליטי שנכתב בלי פילטרים, תגובה תוקפנית לדיון מקצועי, בחירה להצטרף לטרנד פרובוקטיבי - כל אלה כבר לא "רעש" מבחינתי. אלה סימנים.

מה שהיה פעם מדבר שומם מבחינת הבנה של אישיות, הפך למכרה זהב של אינדיקציות התנהגותיות.

אז כן, לינקדאין השתנה. ואולי לא לטובה עבור מי שמחפש רק מקצועיות.

אבל עבור מי שמבין איך לקרוא בין השורות, זו פלטפורמה שמספרת הרבה יותר אמת מבעבר.

בינה מלאכותית, דיפ-פייק והונאות סינתטיות

כשהפנים על המסך אמיתיות. האדם שמאחוריהן לא.
בינה מלאכותית, דיפ-פייק והונאות סינתטיות

כשהפנים על המסך אמיתיות. האדם שמאחוריהן לא.

בשבוע האחרון נחשפה בישראל פרשה מטרידה במיוחד, שממחישה כיצד עולם ההונאות עובר מהפכה בעזרת בינה מלאכותית.

קראו את הפוסט המלאהציגו פחות

על פי החשד, צעיר בן 20 הצליח ליצור “זהויות סינתטיות” של אזרחים ישראלים באמצעות תמונות ופרטים אישיים שהגיעו ממאגרי מידע שנפרצו. בעזרת כלי AI הוא הנפיש את התמונות, יצר סרטוני וידאו שנראו אותנטיים לחלוטין, ובאמצעותם פתח חשבונות בנק, הזמין כרטיסי אשראי וביצע פעולות פיננסיות על שמם של אנשים שכלל לא ידעו שזה קורה.

לפי פרטי החקירה, עשרות רבות של נפגעים כבר אותרו, והחשד הוא שמאות אזרחים נפגעו מהפעילות הזו.

מה שמטריד אותי במיוחד בפרשה הזו הוא לא רק היקף ההונאה, אלא ההוכחה לכך שאמצעי הזיהוי שעליהם הסתמכנו במשך שנים כבר אינם מספקים לבדם.

צילום תעודת זהות, תמונת סלפי, סרטון וידאו קצר ואימות מרחוק — כל אלה נחשבו עד לא מזמן שכבות הגנה חזקות. היום, בידיים הנכונות ובשימוש בכלי AI מתקדמים, ניתן לזייף אותם ברמה שמקשה מאוד על העין האנושית לזהות את התרמית.

האתגר הזה כבר לא שייך רק לבנקים. הוא רלוונטי לכל ארגון שמגייס עובדים מרחוק, מאשר ספקים, פותח חשבונות לקוחות, מעניק הרשאות גישה או מבצע תהליכי זיהוי דיגיטליים.

השאלה כבר אינה האם ניתן לזייף זהות, אלא האם מערך הבקרה שלכם מסוגל לזהות את הזיוף בזמן אמת.

בשנים האחרונות אני רואה יותר ויותר מקרים שבהם הגבול בין אדם אמיתי לבין דמות שנוצרה באמצעות AI הופך מטושטש. ארגונים חייבים להתאים את מנגנוני האימות שלהם למציאות החדשה, ולא להסתמך רק על שיטות שנבנו לעולם שלפני הבינה המלאכותית.

לצד האיום קיימים כיום גם פתרונות מתקדמים המאפשרים לזהות סימנים לזיופי AI, לאתר אנומליות בתהליך ההזדהות ולבצע אימות זהויות בזמן אמת.

יש לנו פתרונות טכנולוגיים מתקדמים לטיפול באתגרים הללו בזמן אמת. מוזמנים לפנות אליי לפרטים.

קראו את הכתבה
איך יודעים אם מה שאנחנו רואים באמת קורה או קרה?
בינה מלאכותית, דיפ-פייק והונאות סינתטיות

איך יודעים אם מה שאנחנו רואים באמת קורה או קרה?

זו כבר לא שאלה פילוסופית. זו שאלה עסקית, ביטחונית וניהולית.

קראו את הפוסט המלאהציגו פחות

המאמר ב-Science של פרופ' Hany Farid, אחד המומחים המובילים בעולם לזיהוי מניפולציות דיגיטליות, מציג מציאות שכולנו חייבים להפנים: דיפ פייק כבר לא נראה כמו צעצוע טכנולוגי. הוא נראה אמיתי, נשמע אמיתי, מופץ מהר, ומשפיע על הדרך שבה אנשים מקבלים החלטות.

והבעיה הגדולה היא לא רק שהזיופים משתפרים. הבעיה הגדולה יותר היא שהאמון נשחק.

כשמנהל מקבל סרטון. כשמחלקת HR מבצעת ראיון אונליין. כשחברה מקבלת פנייה ממשקיע, מועמד, ספק או שותף עסקי. כשסרטון מפליל מתחיל להסתובב ברשת. כשקול מוכר מבקש פעולה דחופה.

השאלה הראשונה כבר לא יכולה להיות: "האם זה נראה אמיתי?" כי היום, הרבה דברים מזויפים נראים אמיתיים לגמרי.

השאלה הנכונה היא: "איך אנחנו בודקים את זה בצורה מקצועית לפני שאנחנו פועלים?"

מה שאהבתי במיוחד במאמר הוא הגישה החקירתית של Farid. הוא לא מסתפק בכלי אוטומטי שאומר "90% זיוף" או "70% אמיתי". הוא בודק פיזיקה, תנועה, צללים, השתקפויות, זוויות, התאמה בין קול לשפתיים, עקביות בין פריימים, והקשר רחב יותר.

וזה בדיוק העניין. בדיפ פייק אין פתרון קסם אחד. צריך שילוב של טכנולוגיה, ניסיון חקירתי, הבנת התנהגות אנושית, הבנת זירה דיגיטלית ויכולת לשאול את השאלות הנכונות.

בעולם העסקי זה קריטי במיוחד. כי דיפ פייק לא מאיים רק על פוליטיקאים או מפורסמים. הוא מאיים על תהליכי גיוס, על בדיקות רקע, על אמון בין ארגונים, על הגנה מפני הונאות, על זהות דיגיטלית, ועל היכולת להבין מי באמת עומד מולנו.

ראיון עבודה אונליין יכול להיות מזויף. פרופיל מקצועי יכול להיות בנוי היטב אבל לא אמיתי. קול של מנהל יכול להיות משוכפל. סרטון יכול להיות ערוך. תמונה יכולה להיות מיוצרת מאפס. מסמך יכול להיראות אותנטי אבל להיות חלק ממערך הטעיה רחב.

לכן ארגונים לא יכולים להישאר בשלב של "נראה לי אמיתי". הם צריכים יכולת בדיקה. לא מתוך פאניקה. לא מתוך חשדנות מוגזמת. אלא מתוך אחריות.

מי שמגייס עובדים לתפקידים רגישים, בודק שותפים עסקיים, מאמת זהויות, מטפל באירועי הונאה או מתמודד עם תכנים חשודים ברשת, חייב להוסיף לשולחן העבודה שלו גם יכולת להתמודד עם דיפ פייק. במיוחד כשהכול קורה אונליין.

אם אתם מתמודדים עם חשש לדיפ פייק, זהות מזויפת, ראיון חשוד, תוכן דיגיטלי בעייתי או אירוע שבו לא ברור מה אמיתי ומה לא - אפשר לפנות אלינו.

יש לנו פתרונות חדשניים ופורצי דרך להתמודדות עם דיפ פייק, גם בסביבת אונליין, תוך שילוב בין טכנולוגיה מתקדמת לבין ניתוח אנושי מקצועי.

קראו את הכתבה