על התשתית, על הטלפון, על הרשת, על החדר. הפרק הזה שואל את השאלה ההפוכה: מה אתה עושה כשאתה חושד שמישהו כבר נמצא שם, כבר עוקב, כבר מאזין, לפני שמכשיר כלשהו זוהה ולפני שהוכחה כלשהי הצטברה.
Counter-Surveillance – כפי שמוגדר בעולם הביטחוני, אינו ממתין לציוד. הוא ממתין לאנשים.
כל הפרקים הקודמים עסקו בשאלה אחת בצורות שונות: מה מישהו יכול לעשות נגדך וכיצד מגינים זוהי ההגנה שלא ניתן לאצול לתוכנה, לא ניתן לרכוש בחנות, ולא ניתן להגדיר בפוליסת ביטוח. היא בנויה על תשומת לב, שיפוט ומשמעת התנהגותית, שלושה דברים שאין להם גרסת Enterprise ובמידה רבה, היא גם השכבה שקובעת אם כל שאר השכבות, הטכניות, הדיגיטליות, הפיזיות, בכלל מגיעות לידי ניסיון. כי לפני שמישהו מתקין ציוד האזנה בחדר, לפני שמחדיר קוד זדוני לטלפון ולפני שמגיע לנקודת תצפית, הוא אוסף מידע Counter-Surveillance הוא ההגנה על שלב האיסוף הזה.
מהו Counter-Surveillance ובמה הוא שונה מכל מה שנדון לפניו
TSCM שנדון בפרק 17, הוא תחום טכני: מגיעים לחדר עם ציוד סריקה, מחפשים מכשירים מושתלים, ומוציאים אותם. זה עבודת תשתית, חשובה, מדויקת, ומוגדרת. Counter-Surveillance – הוא משהו אחר לגמרי. הוא עוסק בזיהוי מי עוקב וכיצד, לפני שהמעקב הניב תוצאות, ולפעמים בלי שתוצאה אחת תאושש.
ההבחנה מהותית TSCM שואל: “האם יש ציוד מעקב בסביבתי.Counter-Surveillance שואל: “האם מישהו מנסה לעקוב אחריי, ואיך אני יודע?” שאלה אחת מתרכזת במרחב הפיזי הקרוב. השנייה מתרכזת בתנועה, בדפוסים, בהתנהגות, של העוקב. זה ההבדל בין לסרוק חדר לבין לסרוק רחוב.
יש גם הבדל בתזמון, TSCM מבוצע לאחר שהסביבה כבר מוגדרת, לפני פגישה, לאחר כניסה לחדר. Counter-Surveillance מבוצע לפני, תוך-כדי ואחרי תנועה. הוא דינמי בטבעו, ולכן מחייב מיומנות שונה לחלוטין.
עבודת Counter-Surveillance בנויה על שלוש שכבות. אם אחת מהן חסרה, כל המבנה נשמט.
מודעות היא הבסיס. היכולת לקרוא סביבה, לא בפרנויה, אלא בתשומת לב מובנית. המודעות הזו מתחילה בלדעת מה “נורמלי” בסביבה נתונה. חניה שרגיל לה ריק בצהריים, מה משמעות הרכב שחונה שם שלוש שעות? לובי של מלון שאנשים עוברים בו מהר, מה משמעות האיש שיושב שם כבר שעה בלי להוציא טלפון? מודעות אינה חשד אוניברסלי. היא הבנה של הסביבה שמאפשרת לזהות חריגה ממנה.
זיהוי הוא הצעד הבא. כאשר מודעות מייצרת תהייה, מעבירים אותה לבחינה מובנית. זה שלב הSDR – מסלול בדיקת עוקבים, שנדון בהרחבה בסעיפים הבאים. הזיהוי אינו רגע אחד, אלא תהליך שמטרתו להניח את העוקב במצב שבו הוא חייב לבחור בין להיחשף לבין לאבד קשר.
תגובה היא הפעולה לאחר שהתהייה מתחדדת לנקודה שמחייבת החלטה. וכאן חשוב להגיד בפירוש: תגובה אינה בהכרח עימות. לעיתים התגובה הנכונה היא שינוי דפוס תנועה שמנטרל את הפעולה. לפעמים זה הסטת השיחה הרגישה לחלל אחר. ולפעמים, כאשר הזיהוי ברור ומוסמך, זה הפעלת נוהל ביטחוני מוגדר מראש. התגובה תלויה בהגדרת האיום ובמשאבים הזמינים, ואסור לבלבל בין שתי הרמות.
מי צריך את זה, ומי חושב שהוא לא צריך
Counter-Surveillance רלוונטי לכל מי שלפעילותו יש ערך מספיק שמצדיק מעקב אחריו. זה טריוויאלי בהיגיון אבל מורכב ביישום, כי רוב האנשים שנמצאים בסיכון אמיתי אינם מזהים את עצמם ככאלה. הנטייה הטבעית היא לקשר “מעקב” עם “מרגל”, דמות מסרטים שבא אחרי נסתר מדינה. המציאות שטוחה הרבה יותר.
איש עסקים שמנהל מו”מ על עסקה שהצד השני יכול להרוויח ממנה מידע על עמדת הפתיחה שלו, הוא מטרה. עורך-דין בתיק מדיני שהלקוח שמנגד מוכן להשקיע כדי לדעת מה הצד השני מכין, הוא מטרה. מנהל R&D שעובד על טכנולוגיה שלמתחרה יש אינטרס לדעת מה כיוון הפיתוח, הוא מטרה. גורם שמתנגד לאינטרסים של ממשל זר, לעיתים מבלי לדעת זאת, הוא מטרה.
הרשימה לא מתאפיינת בפרופיל אחד. היא מתאפיינת בכך שלמידע שיש לאותם אנשים, או לפעולות שהם עתידים לנקוט, יש ערך מספיק שמישהו אחר השקיע כסף ותכנון כדי להשיגו. ברגע שזה מובן, Counter-Surveillance הופך ממושג ביטחוני לשאלה אסטרטגית-עסקית לכל דבר.
השוק האזרחי, מודעות וזיהוי ללא תקציב ביטחוני
לזהות מעקב פיזי: מה באמת עובד
מעקב פיזי על אדם מתבצע על ידי אנשים, ולכן הוא חייב, במידה כזו או אחרת, להשאיר שובל שניתן לזיהוי. העוקב חייב להיות בסמיכות כדי לעקוב. הוא חייב לנוע כשהמטרה נעה. הוא חייב לעצור כשהיא עוצרת. האתגר הוא להבחין בין מה שנראה חשוד לבין מה שהוא אכן חשוד, וזה פחות פשוט מכפי שנדמה.
שגיאת ההזיה הפרנואידית, לראות מעקב בכל מקום, אינה פחות מסוכנת משגיאת העיוורון. מי שמאבד שיפוט לגבי מה “נורמלי” מאבד גם את היכולת לזהות את מה שאינו כזה. פרנויה מייצרת רעש Counter-Surveillance מחייב יכולת לסנן אותו.
הסימנים שעובדים בפועל מתבססים על דפוסים, לא על תנוחות. אדם בודד שנראה פעמיים באותו יום ובשני מיקומים שאין ביניהם קשר לוגי, זה חוזר. רכב שמופיע שוב בחניה שאין לו סיבה להיות בה, זה דפוס. פרצוף מוכר בשדה תעופה, ושוב בלובי מלון במדינה אחרת, זה מידע. לעומת זאת, אדם שיושב בבית קפה ומסתכל לכיוונך אינו מידע. רכב שחונה בשעה שרגיל לחנות שם אינו מידע.
הכלל הפרקטי: שלוש הופעות של אותו גורם בהקשרים נפרדים הן סף שדורש התייחסות. שתיים הן תהייה. אחת היא תחושה בלבד.
כשמזהים משהו שמרגיש לא נכון, הכלל הראשון הוא לא לשנות התנהגות בצורה שמגלה לעוקב שנחשף. שינוי פתאומי של מסלול, עצירה ופנייה לאחור, בחינה גלויה של הסביבה, כל אלה משדרים שהמטרה מודעת, וצוות מעקב מקצועי יכנס מיד למצב שמירה. הכלל השני הוא לתעד: שעה, מיקום, תיאור קצר. לא כדי לאשש, אלא כדי שאם תיווצר נקודת השוואה מאוחר יותר, תהיה לה רמת בסיס. הכלל השלישי הוא להיות מוכן שהתהייה תיוותר לא מאושרת, ושזו תוצאה תקינה. לא כל תחושת מעקב מבוססת, ולא כל מעקב מזוהה.
SDR מסלול בדיקת עוקבים (Surveillance Detection Route)
SDR הוא הכלי האופרטיבי הבסיסי של Counter-Surveillance. הגרסה האנושית של הסריקה שמכשיר TSCM מבצע באוויר: במקום לחפש אות, מחפשים אדם. והעיקרון מאחוריו אינטואיטיבי: אם מישהו עוקב אחריך, הוא חייב לעקוב. כל פנייה שאתה עושה, הוא חייב לעשות. כל עצירה בלתי צפויה מאלצת אותו לנהל החלטה בזמן אמת: להמשיך ולהיחשף, לעצור ולאבד קשר, או לנסות להתאים. בכל אחת מהאפשרויות הוא חשוף יותר מאשר כשתנועתך הייתה צפויה.
מסלול בדיקה רגלי בנוי על שינויי כיוון שיש להם הצדקה טבעית, כניסה לחנות, ישיבה בבית קפה עם קו ראייה לעבר הכניסה, שימוש בבניין עם כניסות מרובות. המסלול בנוי כך שהעוקב נאלץ לקבל החלטות שמגבירות את חשיפתו, בלי שהמטרה נעצרת ובוחנת בגלוי. נקודות “מלכוד” הן מפתח: מקום שיש בו רק כניסה אחת ויציאה אחרת, ומי שנכנס אחריך חייב או לחכות לך שם, או ללכת בעצמו ולאבד קשר.
מסלול בדיקה ברכב מורכב יותר, משום שהרכב מגביל את האלתור. עצירות מתוכננות באזורים שמחייבות נסיעה הלאה לפני האפשרות לשוב, שימוש בכבישים צרים עם יציאה אחת, חניות מקורות שניתן לעזוב דרך כיוון שונה מהכניסה, כל אלה יוצרים לחץ שחושף עוקב שאינו מיומן מספיק להישאר אלמוני. שינוי קצב הנסיעה, האטה בלתי מוסברת, האצה קצרה, הוא כלי נוסף שמאלץ תגובה.
מגבלה קריטית שאסור להסתיר: SDR עצמי יזהה צוות מעקב בינוני עד חלש. צוות מקצועי שמשתמש בנוסעים מרובים בתפקידים מתחלפים, בכיסוי רכבי ורגלי מקביל, ובמרכז שליטה שמנחה את המיקום בזמן אמת, לא ייחשף דרך SDR פשוט. הסיבה: בצוות מקצועי אף אדם בודד אינו עוקב מספיק זמן כדי להיראות חוזר. הם מחליפים כמו שחקנים בהצגה. במצב כזה, גילוי מחייב מאמץ נגדי-צוותי ברמה שנדון עליה בסעיף הבא.
המודעות הדיגיטלית, האיום שאינו מסתכל עלייך
מעקב פיזי כרוך בהשקעה: אנשים, שעות, רכבים, תיאום. מעקב דיגיטלי פסיבי, הצבת רשת שמידע זורם אליה מרצונך, כרוך בעלות אפסית ובסיכון אפסי לעוקב.
רשתות חברתיות הן מנגנון מעקב וולונטרי. כל פוסט עם מיקום, כל תמונה שמזהה אנשים, שמות מקומות, או חפצים מאפיינים, כל הודעה “הגעתי ל…”, אלה נקודות נתונים. בנפרד הן חסרות ערך. ביחד, על פני חודשים, הן בונות תמונה מדויקת של הרגלים, מגעים, לוחות זמנים ומעגלי קשרים. עבור מי שמעוניין בנתונים כאלה, הרשת עשתה את עבודת המעקב בחינם ובלי כל סיכון חשיפה.
תמונות שצולמו בטלפונים מכילות ברירת מחדל נתוני מיקום GPS מוטמעים בקובץ עצמו, מה שמכונה EXIF data. משיכת הנתונים לאחר העלאה לפלטפורמה דיגיטלית, שליחה במייל, או העברה בכל אמצעי, אינה דורשת ציוד מיוחד. היא דורשת תוכנה חינמית ודקה של עבודה. כל תמונה שנשלחת ממקום רגיש, לאדם שלא בוחנים את מי הוא בדיוק, היא פוטנציאל מיקום חשוף.
מעבר לרשתות החברתיות, מכשירים מודרניים מציעים שיתוף מיקום בזמן אמת לאנשי קשר שנבחרו. בתנאים שגרתיים זה שירות נוח. בתנאים שבהם הגדרת “אנשי קשר” לא נבחנה לעומק, ובמיוחד כאשר מכשיר עבר ידיים או נגרם לו גישה לא מפוקחת, זה פוטנציאל חשיפה שיכול להיוותר בלתי מזוהה שבועות. שיתוף מיקום אינו “תכונה שמופעלת פעם”, הוא מצב שפעיל עד שמכבים אותו, ורוב האנשים לא בודקים.
ממד נוסף של מעקב דיגיטלי פסיבי פועל במרחב הפיזי עצמו, ואינו תלוי כלל בפעולה מודעת של המטרה. טלפונים חכמים משדרים ברצף “בקשות התחברות” לרשתות Wi-Fi מוכרות, תוך חשיפת כתובת ה-MAC הייחודית של המכשיר. צוות מעקב שפרס חיישנים פסיביים בלובי מלון, בטרקלין עסקים בשדה תעופה, או בבית קפה סמוך למשרד, יכול לרשום את כניסת המכשיר למרחב מבלי שאיש ראה את המטרה פיזית. זהו הגשר שבין המרחב הדיגיטלי לפיזי: המכשיר מדווח על עצמו, באופן שוטף ובלתי נשמע, לכל מי שמאזין.
הכלל הפרקטי: לפני כל שיתוף מידע שיש בו מיקום, זמן, או זהות של מפגש, לשאול מי יכול לראות את זה, ומה הוא מלמד על הרגל ולא רק על רגע.
OSINT מעקב פיזי שמתחיל בשולחן עבודה
לפני שצוות מעקב מקצועי יוצא לרחוב, הוא כבר יודע עלייך יותר ממה שתשער. לא כי פרץ למערכות, אלא כי אסף, בשיטתיות ובסבלנות, את מה שפרסמת בעצמך.
OSINT – Open Source Intelligence מודיעין ממקורות גלויים, הוא שיטת איסוף מידע שמנצלת נתונים זמינים לציבור: פרופיל רשתות חברתיות, תמונות שהועלו, רישומי חברות, מאמרים בתקשורת, ואפילו נתוני DNS ורישומי דומיינים. כל נתון לגיטימי בפני עצמו. ביחד, הם יוצרים תמונה מבצעית מלאה.
האיסוף מחולק לשלבים שחלקם אוטומטיים לחלוטין. בשלב הראשון נאסף כל מה שקשור למטרה: שמות, תפקידים, תמונות, מוסדות קשורים, קשרים עסקיים. בשלב השני מסוננים “הרעשים”, נתונים לא רלוונטיים, חשבונות ישנים, ידיעות כלליות, ונותרת עובדת הגרעין. בשלב השלישי, ניתוח דפוסים: איפה מופיעה המטרה לרוב? באיזה ימים? עם מי? מה לוח הזמנים המשוחזר שלה לאורך שבוע ממוצע? בשלב הרביעי, ההכנה למבצע: יציאה לשטח עם מפה מוכנה של מסלולים צפויים, נקודות כינוס, ושמות המפגשים.
הממד שהכי קשה לשלוט בו הוא תמונות. מנהלים נוטים לפרסם תמונות מכנסים, טיסות, מפגשים עסקיים, ולא מודעים שנתוני ה-EXIF הטמונים בקובץ חושפים את הקואורדינטות המדויקות של כל צילום. מפרסם תמונה ממשרד חדש? הכתובת ידועה. מוסדות שבהם מופיע שוב ושוב, בית קפה, מסעדה, חדר כושר, הופכים לנקודות צפייה טבעיות לצוות שכבר ידע לחפש שם.
ההגנה הפרקטית היא לא להפסיק לפרסם, היא להפריד בין ה”עצמי הציבורי” לפעילות הרגישה. פרופיל עסקי פתוח ואקטיבי? לגיטימי. אבל לוחות הזמנים הרגישים, שמות המשתתפים, ומיקומי הפגישות שלפניהן, אלה מגיעים בערוצים שאין להם נוכחות ציבורית.
השוק המקצועי, CS אופרטיבי
צוות Counter-Surveillance ארגון כנגד ארגון
כאשר האיום הוא צוות מעקב מקצועי שפועל בניהול מרכזי, בתפקידים מתחלפים ועם כיסוי רב-גורמי, התגובה האפקטיבית היא גם היא צוות. ההגדרה שלפיה “אדם בודד מנסה לזהות מאגד שעוקב אחריו” אינה Counter-Surveillance, היא תקווה.
מבנה צוות CS בסיסי כולל שלושה תפקידי ליבה שפועלים בתיאום. עמדות תצפית קבועות ממוקמות לפני ואחרי תחנות צפויות של המוגן, לא ליד המוגן, אלא לפני המקומות שהוא עתיד להגיע אליהם. תפקידן לזהות מי מגיע מלפנים, מי מחכה, ומי מגיב להגעה. נוסע שומר נמצא בסמיכות ישירה ומתפקד כ”מראה”, הוא רואה מה קורה סביב המוגן ומדווח, מבלי להתנהג כשומר גלוי. ומרכז שליטה מרכז את כל הדיווחים, מנתח, ומנחה בזמן אמת. ההנחיות מגיעות ממרכז השליטה, לא מהמוגן עצמו, שמשמש כ”פיתיון” בלי לדעת על כך.
שיטות העבודה בנויות על זיהוי “שובל חשוד”: גורם שמופיע יותר מפעם אחת בנקודות שאין ביניהן קשר לוגי, שמשנה את קצב התקדמותו בהתאמה לשינויי קצב של המוגן, שמשתמש בתקשורת תוך-כדי-נסיעה, סימן לתיאום חיצוני, או שמיקומו הפיזי לא מתקשר לפעילות הנראית לעין. הצוות אינו מתעמת. הוא מתעד, מנתח, ומדווח. עימות הוא החלטה שמתקבלת בדרגים גבוהים יותר, בהתאם להקשר המשפטי והביטחוני של המצב.
שילוב עם אבטחת VIP הוא הקשר הטבעי: כל אבטחה רצינית של אנשים בעלי פרופיל גבוה כוללת מרכיב CS שפועל לפנים ומסביב, ולא רק ממש ליד. שינוי מסלול, זיהוי עמדת תצפית פסיבית, מניעת גישה לנקודות תמיכה מדויקות, כל אלה דורשים שצוות ה-CS יהיה בלתי נראה יותר מהאיום שהוא מחפש. צוות CS שמזוהה כצוות ביטחון, כבר לא אפקטיבי.
SDR מקצועי: תכנון שמחייב את העוקב להיחשף
ברמה המקצועית, SDR אינו “הליכה עם עיניים פקוחות”. הוא תרחיש מתוכנן שנבנה מראש עם נקודות החלטה מוגדרות ותפקידים ספציפיים לכל נקודה. ההכנה מתחילה שעות לפני: ניתוח הסביבה שבה ייערך המסלול, זיהוי נקודות “לחץ” טבעיות, והגדרת איתותים שצוות ה-CS ישדר אם נצפה חשוד.
מסלול רב-שלבי מחולק לתחנות שכל אחת מאלצת החלטה שונה. חלק רגלי שמכריח מעקב-רגלי, וחושף עוקב שלא הכין חלופה רגלית, שייאלץ לרוץ או לוותר. חלק תחבורה ציבורית שמאלץ כניסה לרכב ציבורי, ועוקב שנשאר ברכב פרטי יאבד קשר מיידי. עצירה מתוכננת בנקודה שיש בה זמן “החזקה”, ישיבה בקפה עם חלון, כניסה לחנות עם פנייה בתוכה, שמאפשרת לצוות ה-CS לסקור בנוחות מי עצר, מי עבר ומי הגיב. אחרי כל שלב, הצוות משדר הערכה, ומסלול ה SDR ממשיך או מופסק בהתאם.
טכנולוגיות תומכות שנכנסו לשימוש בשנים האחרונות כוללות מצלמות רכב שמקליטות קדימה, אחורה ולצדדים בו-זמנית, ומאפשרות ניתוח בדיעבד של מה חנה, מה נסע ומה הגיב לאותם תמרונים. GPS logging מתעד מסלול מדויק לניתוח לאחר מעשה, תוך השוואה לנתונים שצוות ה-CS אסף מנקודות תצפית. ביחד, הם בונים תיק נתונים על הצוות העוקב, ולא רק רשימת תחושות.
מגבלה שחייבים לציין: SDR מזהה נוכחות של מעקב, ולפעמים גם מספק מידע על מאפייניו, גודל הצוות, משאבים, מידת המקצועיות. הוא אינו מזהה פרטים. גם צוות CS מיומן שסיים מסלול בדיקה לא ידע תמיד מי עוקב, רק שיש מעקב. ההחלטה מה לעשות עם הידיעה הזו חורגת מהמיומנות הטכנית של הצוות.
נקודות חנק ו- Leapfrog הגיאומטריה של SDR מקצועי
הספרות המקצועית בתחום Executive Protection קובעת כלל אצבע מוסכם: מסלול SDR אמין חייב לכלול לפחות ארבע “נקודות חנק”, Choke Points. נקודת חנק היא כל מקום שמכריח את העוקב לחשוף את עצמו אם הוא רוצה לשמור קשר. כיכרות שיש בהן ראות מלאה לכל הכניסות, גשרים שאין להם חלופה, רחובות חד-סטריים שאין בהם פנייה עמוקה, צמתים עם מעגלי תנועה שמאלצים כניסה גלויה, כולם מתפקדים כנקודות לחץ.
הכוח של נקודת חנק אינו בכך שהיא חוסמת את העוקב, היא לא. כוחה הוא שבכל פעם שהמטרה עוברת דרכה, העוקב חייב להחליט: לעבור בגלוי ולסכן חשיפה, או לחכות בצד ולסכן אובדן קשר. לעוקב בודד, בחירה בין שתי הרעות הזו היא בעיה אמיתית. לצוות מתואם, זו הזדמנות להחליף.
וכאן נכנסת טקטיקת ה – Leapfrog. בצוות Counter-Surveillance מקצועי, אנשי הצוות אינם עוקבים, הם קופצים קדימה. בעוד שהמטרה עדיין בנקודת חנק אחת, חבר צוות כבר ממוקם בנקודת החנק הבאה, מחכה. כשהמטרה מגיעה לנקודה השנייה, חבר הצוות שהיה בראשונה מדלג לנקודה השלישית, ואחד מהם נעצר לבחון מי עבר לאחרונה. הצוות לעולם אינו רץ אחרי המטרה; הוא תמיד מלפנים.
הטקטיקה הזו ממחישה מדוע SDR עצמי בלבד אינו מספיק כנגד צוות מקצועי. אם אין מישהו שרואה מי מגיע לנקודה הבאה, אין מי שיסגור את המעגל. צוות CS שמפעיל SDR מוכן מראש, עם עמדות קבועות בנקודות החנק ואיתות מוגדר בין החברים, הוא זה שיכול לזהות את ה-Leapfrog של הצוות העוקב. זיהוי אדם שמגיע לנקודה שהוא לא אמור להיות בה עוד לפני שהמטרה הגיעה, זה הרגע שבו המעקב נחשף.
Counter-Surveillance אופטי: מי מסתכל עלייך מרחוק
מעקב פיזי נע כולל לעיתים קרובות מרכיב ויזואלי מרחוק: צלם עם עדשת טלה שמתעד כניסות ויציאות, מצלמה מוסלקת בנקודת תצפית קבועה, רחפן שמספק כיסוי אוויר. כל אלה הם איומים נפרדים. הם אינם עוקבים עם הרגלים ודפוסים, הם נייחים, ממתינים, ומצלמים.
גילוי מצלמות נסתרות בסביבה קרובה נדון בפרק 17 מהיבט TSCM. כאן הדגש שונה: זיהוי נקודת תצפית מרוחקת שאינה בסביבה הפיזית המיידית, חלון מבניין ממול, רכב חונה עם ערפול, גג של מבנה שיש בו קו ראייה ישיר.
זיהוי נקודות תצפית מתחיל בחשיבה כמו עוקב: מהיכן יש קו ראייה טוב לנקודה שבה המוגן נמצא לעיתים קרובות? ניתוח סביבתי של מה עשוי לשמש כנקודת תצפית הוא הצעד הראשון, לפני כל ציוד. מי שולט בבניין ממול? מה נראה מהחלון? האם יש חניה ממושכת של רכב עם שמשות כהות? הצעד השני הוא בדיקה אם אחת מהאפשרויות מאוכלסת, ויזואלית, בלילה, עם ציוד IR.
Laser-based lens detection הוא הכלי המקצועי לאתגר הזה: פנס לייזר מסוים, כשמכוון לאזור, מחזיר השתקפות אופטית מעדשת מצלמה, גם כשהמצלמה עצמה מוסתרת ואינה מפעילה. ההשתקפות הזו, שנקראת cataphotic reflection ייחודית לציפויים האופטיים של עדשות. מכשיר איכותי יזהה אותה במרחקים של עשרות מטרים. הוא אינו מבחין בין עדשת מצלמת אינסטינט לבין מצלמת מעקב מקצועית, אבל הוא מסמן שיש עדשה, ושאלת “למה?” נשארת לשיפוט האנשים.
הגנה מפני צילום מרחוק יכולה להיות מובנית בתכנון: מסלולי כניסה שאינם נמצאים בקו ראייה רציף, שימוש בתנאי תאורה שמקשים על צילום מרחוק, בחירת נקודות פגישה שיש בהן גיבוי פיזי טבעי. ברמה ציבורית, זה אפקטיבי. בסביבה עוינת במלואה, זה מאט ומסרבל, לא מבטל.
Anti Drone הממד השלישי שמשנה את החשבון
הרחפן שינה את משוואת Counter-Surveillance בצורה יסודית. תצפית פיזית דורשת שהמעקב יהיה איפשהו על הקרקע, ואפשר לחפש אותו. רחפן בגובה שמונים מטר, בשעות ראשונות של הלילה, עם מצלמת חום, אינו גלוי לעין, אינו עוסק בסביבה שניתן לסרוק, ואינו מצריך נוכחות אנושית בסביבת המטרה.
זיהוי רחפנים פועל בארבעה אפיקים שמשלימים זה את זה, לאף אחד מהם אין כיסוי מלא בנפרד.
זיהוי ויזואלי הוא היעיל ביותר ביום, עם אור טוב ושמיים פתוחים. בלילה ובתנאי ענן הוא מוגבל מאוד. הוא מספק זיהוי קיום, כן יש רחפן, אבל לרוב לא מזהה את המפעיל ואינו נותן מידע על משימה.
זיהוי אקוסטי מסתמך על מיקרופונים מכוילים לחתימות הקול הייחודיות של מנועי רחפנים. שונות בין דגמים ובין מצבי טיסה, מעוף, ריחוף, עלייה, מאפשרת לפעמים גם לסווג את הרחפן. הוא אפקטיבי לרחפנים קטנים ובקרבה, מוגבל ברעשי רקע גבוהים ובגשם. יתרונו הגדול הוא מהירות ההתרעה.
RF scanning מנטר את טווחי התדרים שרחפנים צרכניים ומחצי-מקצועיים משתמשים בהם לתקשורת עם שלט הרחוק. מערכות מקצועיות מכסות ספקטרום רחב, החל מ-400MHz ועד ל-6GHZ שכולל את תדרי 2.4GHZ ו- 5.8Ghz הנפוצים ברחפנים צרכניים ותדרים מסוימים ברמה חצי-מקצועית, ואת תדרי הוידאו שמשדרים רחפני FPVכאשר רחפן שולח נתוני וידאו לשלט, או מקבל פקודות, ניתן לזהות את השידור ולאמוד כיוון. מגבלה חשובה: רחפנים אוטונומיים שטסים על פי תוכנית מוגדרת מראש, ללא תקשורת שוטפת עם שלט, אינם מייצרים אות רציף שמזהים בשיטה זו. רחפנים כאלה יצריכו כיסוי רדאר או אקוסטי לגילוי.
Radar מספק את הדיוק הגבוה ביותר: מיקום, מסלול ומהירות. מוגבל לשימוש מורשה ולהקשרים ביטחוניים, בגלל עלות, גודל ורגולציה. ברמה ציבורית, אינו רלוונטי כמעט.
מעקב אחר המפעיל C2 Link Trackingהוא היתרון הטקטי המשמעותי ביותר של מערכות RF מתקדמות. כאשר מזוהה הקישור בין הרחפן לשלט הרחוק (קישור ה Command and Control ניתן לא רק לאמת שיש רחפן אלא לאתר במדויק את המיקום הפיזי של המפעיל שמבצע את הריגול על הקרקע, לעיתים קרובות במרחק של מאות מטרים עד קילומטר מהמתקן. מערכות ניידות טקטיות מודרניות משיגות טווח זיהוי של עד 1,000 מטר בתנאי קו ראייה, עם כיסוי של 360 מעלות. מידע זה הוא בעל ערך מבצעי ישיר: לא עוד “יש רחפן”, אלא “המפעיל נמצא בחניון שמרחק 400 מטר צפונה”. במקרים מסוימים, הנתון הזה מאפשר לצוות CS לסגור את המעגל, לזהות את האדם ואת הרכב, ולתעד לצורכי הגשת תלונה או הכנת תיק ראיות.
הגנה פסיבית נגד כיסוי אוויר היא לעיתים המענה המעשי ביותר: תכנון מסלולים שמנצלים מבנים, עצים וכיסוי פיזי. בחירת נקודות פגישה עם גג, לובי או כל הסתרה ארכיטקטונית שמונעת קו ראייה אוויר. מעבר מהיר בין נקודות בלי עצירה בחלל פתוח חשוף. אלה אינם פתרונות מלאים, הם הכבדה שמגדילה את העלות והמורכבות של כיסוי אוויר.
ההתפתחות המשמעותית ביותר בתחום בשנים האחרונות היא המעבר ממערכות C-UAS נייחות למערכות טקטיות ניידות. צוותי CS מודרניים ומאבטחי אישים סמויים כבר אינם תלויים ברדארים קבועים. גלאי תדרים קומפקטיים הניתנים לנשיאה ביד מספקים התראה מוקדמת תוך כדי תנועה, בשטח פתוח, באזורי תעשייה, ובכל סביבה שאין בה תשתית קבועה. הגמישות הזו מצמצמת את הפער שהיה קיים בין רמת האיום האווירי לבין היכולת להגיב אליו בזמן אמת.
מעקב נגדי דיגיטלי :OPSEC כמשמעת מבצעית
OPSEC – Operations Security הוא עיקרון שמקורו בעולם הצבאי, שמשמעותו פשוטה: אל תיתן לאדם את הידע שהוא צריך כדי לפגוע בך, גם אם כל נתון בפני עצמו נראה תמים. לפעמים שילוב של נתונים גלויים לחלוטין יוצר תמונה שלא נועדה להיות גלויה.
Spear Phishing הוא לרוב הצעד הראשון לפני מעקב פיזי. לפני שצוות יוצא לשטח, הוא צריך ידע ראשוני: מי המטרה, מה לוח הזמנים שלה, עם מי היא נפגשת, מה האירועים הקרובים. מייל מכוון שנראה כמגיע ממקור מוכר, לקוח, ספק, עמית, שמבקש אישור לפגישה, עדכון לוח זמנים, או כניסה למסמך משותף, הוא אחת הדרכים הנפוצות לאסוף מידע כזה מבלי לגעת בסביבה הפיזית כלל. ה”פישינג” אינו אקראי, הוא מחקר מכוון. והמידע שנאסף דרכו הוא שמנחה את כל המהלך הפיזי שאחריו.
Social Engineering פועל על אנשים, לא על מערכות. מזכירות, עוזרים, עמיתים, כולם משיבים לשאלות מנומסות ממי שנראה לגיטימי. “מתי מר X חוזר מהנסיעה?” היא שאלה שרוב האנשים ישיבו עליה בלי לחשוב פעמיים. שאלה תמימה על לוח הזמנים השבועי, על מי מגיע לפגישת לקוחות, על מי נמצא בישיבת הנהלה, כל אלה יוצרות מידע מבצעי מוחשי, בלי שאיש שאל על “סודות”.
כדי לממש את הנקודה: דמיינו מנהל בכיר שטס לפגישה רגישה בפרנקפורט. שבוע לפני, עוזר מינהל מקבל מייל לכאורה מחברת ההשכרת רכבים, שמבקש לאשר את שם הנוסע, תאריך ההגעה, ושם המלון. העוזר, שאינו יודע שמדובר בהתחזות, מאשר הכל. כיום יודע הגורם העוין מתי המטרה נוחתת, לאיזה מלון היא מגיעה, ובאיזה שם. צוות מעקב ממתין בלובי שלוש שעות לפני הצ’ק-אין. הכל התחיל ממייל אחד ועוזר אחד שרצה לעזור.
OPSEC ארגוני מחייב שלושה דברים שקשה לאכוף. ראשית, מודעות לכך שמידע הגנתי אינו רק מה שמוגדר “סודי”, הוא גם לוחות זמנים, שמות משתתפים, ומיקומי פגישות. שנית, הגדרה ברורה של מי “צריך לדעת”, לא כל מי שיכול לדעת, אלא מי שצריך. ושלישית, תרבות ארגונית שמכירה בכך שאיסוף מידע מתחיל לפני שהנזק נעשה, ולא אחריו.
תכנון תוכנית CS ארגונית
הערכת סיכונים: לא כולם מטרה באותה מידה ובאותו זמן
Counter-Surveillance ארגוני מתחיל לא בשאלה “מה נרכוש?” אלא בשאלה “מי בארגון מהווה מטרה, ומתי?” לא כל פעילות ארגונית דורשת אותה רמת הגנה. ניסיון להחיל מתודולוגיה אחידה על כל גורם בארגון, מהמנכ”ל ועד לפקיד קבלה, מוביל לשחיקה מהירה ולאי-ציות. כשהכל “רגיש”, שום דבר לא נשמר.
זיהוי תתי-אוכלוסיות בסיכון דורש ניתוח ממוקד: מי הנהלה בכירה שנפגשת עם גורמים חיצוניים? מי ממשקי R&D שיש להם מידע על טכנולוגיה שבפיתוח? מי עובדים שמטפלים בקשרים עם ממשלות, משקיעים, או שותפים אסטרטגיים? ומי הם המשתתפים בתהליכי מו”מ שלשלבי ההתקדמות שלהם יש ערך? אלה לא בהכרח האנשים “החשובים” ביותר בהיררכיה, הם האנשים שהמידע שיש להם שווה מאמץ חיצוני.
הגדרת חלונות סיכון אינה פחות חשובה מזיהוי האנשים. מסע עסקי לשוק חדש, כנס בינלאומי שבו מוצגים מוצרים רגישים, מו”מ בשלב סגירה שבו כל מידע על עמדות הצד האחר בעל ערך, כל אלה הם תקופות שבהן הסיכון עולה ומחייבות מדיניות שאינה בפעולה בזמן שגרה. ארגון שמגדיר מראש מהם חלונות הסיכון שלו, ומפעיל מדיניות מוגברת בתקופות אלה בלבד, שומר על יכולת הציות לאורך זמן.
פרוטוקולים לנסיעות ופגישות חיצוניות
נסיעה עסקית היא ההקשר שבו Counter-Surveillance עובר מהתאוריה לפועל: המוגן נמצא מחוץ לסביבה שמכיר, בלוח זמנים שחלקו ידוע מראש, בחדר מלון שלא ידוע מי השתמש בו ומה הותקן בו. גורמי הביטחון של מלונות עסקיים ברחבי העולם, כולל ובמיוחד במדינות מסוימות, אינם ניתרים לפגישות בחדרים שכבר בוטלו מראש.
לפני יציאה לנסיעה רגישה: צמצום שיתוף פרטי הנסיעה לגורמים שחייבים לדעת, שמירת גמישות בלוח הזמנים, אי-הזמנת חדר ספציפי בקומה ספציפית מראש, ואי-שיתוף לוח עם כולם. שימוש בטלפון עם הפרדה נאותה, כפי שנדון בפרק 20. שיקול נוסף שלא תמיד מקבל תשומת לב: ארכיטקטורת תושבת ה-SIM במכשיר. מכשיר שבו תושבת ה-SIM נמצאת עמוק בתוך מארז אטום הדורש פתיחה פיזית מחייב מאמץ ניכר להחלפה שקטה, בניגוד למגירת SIM חיצונית שנגישה בשנייה. כאשר מכשיר נותר ללא השגחה בחדר מלון, הבדל זה עשוי להיות משמעותי. הכנת תסריט שינוי תוכנית קצר לכל פגישה, כדי שאם מתחייב שינוי מסיבות ביטחוניות, לא יראה חריג.
שיקול נוסף שלא תמיד מקבל תשומת לב נוגע לשמע במרחב הציבורי. שדות תעופה, רכבות ומסעדות הם סביבות שבהן מעקב פיזי כולל לעיתים התקרבות מכוונת לצותת לשיחות עסקיות. שימוש באוזניות מוצפנות וחומרה מאובטחת הוא אמצעי הגנה אפקטיבי, אך עליהם להיראות כמוצרי צרכן רגילים. חומרה שמשדרת “ביטחון מוגזם”, אוזניות טקטיות בולטות, ציוד מגושם, כבלים חריגים, מושכת בדיוק את תשומת הלב שאמצעי ה-Counter-Surveillance מנסים למנוע.
בפגישות חיצוניות, שנקבעו על ידי הצד השני: הכרת הסביבה לפני הפגישה, מי שולט בחלל, מהיכן יש קו ראייה, מה לא ידוע. הימנעות מדיון בנושאים הרגישים ביותר בשלב הפתיחה, לפני שהסביבה הוערכה. מודעות לכך שמי שאירגן את מקום הפגישה בחר אותו מסיבה, שלאו דווקא זהה לסיבתך.
הכשרת עובדים: המרכיב שכולם דוחים לסוף
אין תוכנית CS שעובדת אם אנשים לא יודעים שהם חלק ממנה. הכשרה בסיסית לכלל העובדים, לא הדרכת “אבטחת מידע” גנרית, אלא הבנה ספציפית של אילו מידעים מסוכנים לשתף ולמה, היא הצעד הזול ביותר עם ההחזר הגבוה ביותר.
המסר המרכזי שחייב לעבור: שיתוף מידע על לוחות זמנים, מפגשים ומהלכים עסקיים שנוי במשמרת שלך, לא רק של ההנהלה. מזכירה שמשיבה לשאלה תמימה על לוח זמנים, עוזר שמאשר חזרה ממסע, פקיד קבלה שמסביר מי צפוי להגיע, כל אחד מהם יכול להיות נקודת האיסוף שמישהו ביקש לסגור. לא מתוך כוונת זדון, אלא מתוך אדיבות רגילה.
הכשרה אפקטיבית אינה סדנה שנתית עם מצגת. היא מחייבת שלושה מרכיבים שצריכים להתקיים במקביל. המרכיב הראשון הוא זיהוי: מה נראה כשאלה תמימה אבל אינו כזה. לא “אל תדבר עם אנשים”, אלא “אלה הסוגים של שאלות שכדאי לאמת לפני שמשיבים.” המרכיב השני הוא נוהל: לאן מדווחים אם שאלה מרגישה לא במקום. חדר ריק לאחר שדייל מוזר שאל בדבר מי יגיע מחר, זה לא אירוע ביטחוני שמזמן חקירה, אבל זה מידע שמי שצריך יודע לשקול. המרכיב השלישי הוא מינון: אנשים שמקבלים הכשרה יתר על המידה ייפגשו בפרנויה ויאבדו שיפוט. ההכשרה הנכונה מתרכזת בכלל אחד שניתן ליישם, לא בעשרים.
ארגונים שמצאו את ה-ROI הגבוה ביותר בהכשרה כזו הם לא בהכרח אלה עם המשאבים הגדולים ביותר, אלא אלה שהצליחו לתרגם את עיקרון ה-“Need to Know” לשפה יומיומית: “לפני שאתה עונה, שאל את עצמך האם הצד השני צריך לדעת.”
שילוב עם שכבות אחרות של ההגנה
Counter-Surveillance אינו עומד בפני עצמו. הוא השכבה האופרטיבית-התנהגותית שמשלימה את כל שאר השכבות שנדונו לאורך הספר. TSCM (פרק 17) מטפל במה שכבר הושתל בסביבה הפיזית. מיגון פיזי (פרק 19) מגן על החלל מפני חדירה אלקטרומגנטית ואקוסטית. COMSEC (פרק 20) מגן על התקשורת עצמה Counter-Surveillance הוא השכבה שלפני כולן, היא עוסקת במניעת היכולת לאסוף מידע על כל שאר ההגנות. אם עוקב לא יודע מתי תהיה פגישה, לא יכול להכין נקודת תצפית. אם לא יודע מי מגיע, לא יכול לכוון.
מקרי בוחן
מקרה 1: גילוי צוות מעקב במסלול SDR, עסקת מיזוג שניצלה
חברת טכנולוגיה ישראלית בשלבי מיזוג עם גוף אירופי. הצוות הבכיר הגיע לוינה לסבב פגישות מוקדמות לפני החתימה. יועץ האבטחה שנלווה אליהם שם לב שבמעלית המלון, יום לאחר ההגעה, נסע עמם אותו איש לשתי קומות שאין ביניהן קשר לוגי. ביציאה מהמלון באותו יום, אותו רכב כהה שהיה חונה בכניסה הצדדית, חנה שעתיים לאחר מכן ליד הכניסה הראשית של בניין הפגישות, מרחק שני רחובות.
לא עומת, לא צולם בגלוי. מסלול SDR בוצע בצהריים: כניסה לשוק, שינוי כיוון לא צפוי, ישיבה בבית קפה עם חלון לרחוב. הרכב הכהה אוחר בכניסה לשוק בדיוק ברגע שהמסלול השתנה, ולא הופיע שוב בנקודת הקפה. זה לא הוכחה. אבל זה הספיק.
תגובה: הנהלת החברה הוחלפה לחדרי ישיבות שלא הוזמנו מראש. נושאי הליבה של המו”מ הועברו לפגישה אחרת שנקבעה שעתיים מראש, לא יום מראש. ה”עוקב” לא אושר לעולם, אבל גם לא הניב תוצאות.
הלקח: זיהוי מוקדם לא חייב להוביל לעימות. לפעמים המענה האפקטיבי הוא שינוי דפוס שמנטרל את הפעולה, בלי לאשר או להכחיש שהיה מעקב כלל.
מקרה 2: רחפן מעל מתקן רגיש, ההחלטה שחברות ביטחון לא יכולות לקבל לבד
מתקן תיעוד ומחקר של חברת ביטחון פרטית בפרברי העיר. עובד שיצא להפסקה שם לב לרחפן שריחף בגובה של כשישים עד שבעים מטר, בסמוך לאזור עמדות עבודה חיצוניות. הרחפן לא נע, ריחף במקום דקות ארוכות, עם מצלמה שפנתה לכיוון המתקן. לא נשמע שלט. לא נראה מפעיל.
תצלום מהיר עם מצלמת רכב שהייתה בחניה. כיסוי עובדים חיצוניים לאזורים מקורים. בדיקה ויזואלית של היקף המתקן לאיתור מפעיל, ללא הצלחה. הרחפן נטש לאחר כשבע דקות.
תגובה: הרחבת תיחום העבודה החיצונית מהמבנה. הוספת גגון לאזור עמדות עבודה שהיה חשוף לשמיים. הגשת תלונה לרשות התעופה האזרחית, הפעלת רחפן מסחרי מעל אתר פרטי ללא אישור עלולה להוות הפרה, ותלונה מייצרת תיעוד לגיטימי שלא קיים בלעדיה.
הלקח: לא כל רחפן הוא ריגול. ולא כל ריגול ברחפן ניתן לעצור. אבל ניתן לצמצם חשיפה, לתעד, ולנצל מסגרת חוקית שנוצרה בדיוק למצבים כאלה. הגשת תלונה היא לא עוצמה, היא יצירת שובל תיעודי שמרתיע את ההמשך.
מקרה 3: מעקב משולב על איש עסקים, הזנב שחשף את הכל
מנכ”ל של חברה שעסקה בייצוא טכנולוגיה רגישה החל לחוש שישיבות עם לקוחות אסטרטגיים מסתיימות בידע שמגיע לידיים אחרות, מתחרים שמגיעים לאותם לקוחות ישר אחריו, עם הצעות שנראות כמותאמות בדיוק למה שהוא הציג. לא ידע כיצד. עורך הדין שייצג אותו הפנה ליועץ Counter-Surveillance.
הנקודה שפתחה את החקירה הייתה הרכב. כשצוות ה-CS תיעד אותו שלוש פעמים עם לוחיות שונות ואותו נהג, התעורר חשד מיידי: איך ידע הרכב להמתין שם, מדי פעם, בזמן הנכון? לוח הזמנים של המנכ”ל לא היה פומבי. המסקנה הייתה שיש דלף מקדים, ושהוא דיגיטלי. החשד הזה הוא שהוביל לבדיקה פורנזית של המכשיר הנייד, שחשפה את האפליקציה שהותקנה ככל הנראה באחת הפעמים שהמכשיר הושאר ללא השגחה.
הניתוח חשף שלושה אפיקים פעילים בו-זמנית: גורם בתוך ארגון אחד הלקוחות שדיווח על שמות המשתתפים בכל ישיבה ותוכן עקרי. אפליקציה שהותקנה על המכשיר האישי של המנכ”ל, שהיה מחובר לחשבון הארגוני, וסנכרנה לוח שנה ורשימת פגישות לגורם חיצוני. ורכב שחנה באופן קבוע מול בית העסק הראשי, בין הפגישות, שתועד שלוש פעמים עם לוחיות זיהוי שונות, אבל עם אותו נהג.
תגובה: הפרדה מלאה של חשבון אישי מארגוני. החלפת מכשיר. שינוי מקום הפגישות הקריטיות לחדרים שלא תועדו בלוח הזמנים הארגוני. ביטול סנכרון לוח שנה ציבורי. הרכב קיבל הודעה דרך עורך הדין, ולא הופיע שוב.
הלקח: מעקב משולב, פנים ארגוניות, דיגיטלי ופיזי, אינו נחשף על ידי כלי אחד. הוא נחשף כשמסתכלים על כל הפיסות ביחד ומחפשים את מה שלא מסתדר. הזנב שחשף הכול לא היה הרכב, היה חוסר האחידות בלוחיות. פרט אחד שלא השתלב. ולפעמים זה כל מה שצריך.
סיכום
Counter-Surveillance הוא הפרק האחרון בסדר הכרונולוגי של ספר זה, אבל במבצעיות, הוא לרוב הראשון. לפני שמישהו מתקין ציוד האזנה, לפני שמחדיר תוכנת ריגול, לפני שמגיע לנקודת תצפית, הוא אוסף מידע. על מי המטרה, מתי היא שם, עם מי היא נפגשת, ומה ניתן לנצל. Counter-Surveillance הוא ההגנה על שלב האיסוף הזה.
שלוש מסקנות שחוזרות בכל מקרה שנבחן בפרק: ראשית, זיהוי מוקדם שווה יותר מהגנה מושלמת מאוחרת. לפעמים מספיק לדעת שיש מעקב, כדי לנהל מולו נכון, בלי לאשש ובלי לחשוף שנחשף. שנית, אנשים הם גורם הסיכון המרכזי, לא ציוד. מי שמדבר יותר מדי, מי שמשתף לוחות זמנים בלי לחשוב, מי שנגרר אחרי רחפן ומצביע עליו בגלוי, כל אחד מהם יכול לפגוע בהגנות שיקח שבועות לבנות. ושלישית Counter-Surveillance ללא תרגול אינו קיים. המיומנויות שנדונו, זיהוי דפוסים, ביצוע SDR, הערכת נקודות תצפית, אינן אינטואיטיביות. הן נרכשות בהתמדה, ומתפוגגות אם אינן מתורגלות.
