העובד – הנכס הכי חשוב, אבל גם האיום הכי גדול

בעולם אבטחת המידע ידוע כבר מזה שנים שהעובדים הם האיום הגדול ביותר על הארגון. גם כיום, כאשר איומי אבטחה מזוהים מיד עם סייבר, העובדים הם הגורם מספר אחת שיכול, ללא כוונה מראש, לפתוח את הדלת להאקר המתוחכם.

מחקר של קספרסקי (Kaspersky) גילה כי 42% ממקרי אובדן המידע בארגון נגרמו על ידי עובדים בו. הנסיבות הן מגוונות וכמעט אין סופיות: סיסמה לא מאובטחת בפעילות ברשתות חברתיות או באתרים אחרים, אי ציות להמלצות ולהנחיות, הוספת רכיבי תוכנה ואפליקציות שלא נבדקו על ידי ה-IT ועוד.

באותו המחקר צוין נתון מעניין נוסף: 28% מהעובדים בארגונים שבהם אובחנו תקיפות סייבר כתוצאה מרשלנות פנימית הודו שאמנם, טעויות שלהם הן שגרמו לאובדן מידע ולחשיפת הארגון לסכנות חמורות.

טיפול – לא רק באמצעות ענישה

איך מטפלים בבעיה? כיום כבר יש הסכמה כמעט מקיר לקיר שאכיפה משמעית היא לא הפתרון היחיד, כפי שהיה נהוג לחשוב בעבר. מחקרים רבים מראים שמרבית העובדים הם נורמטיביים, ברמה גבוהה, ובעלי מחויבות גדולה מאוד לארגון והצלחתו. גם אלה מהם שמהווים המקור שבעקבותיו הגיעה התקיפה.

ההמלצה המרכזית של קבוצות המחקר של קספרסקי אומרת שעל הארגון לבנות תרבות שכוללת בתוכה מודעות עמוקה לסכנות הסייבר. זה לא מובן מאליו לכל העובדים. הם שומעים על כך בתקשורת ויודעים שזה דבר רע, אבל לא תמיד יכולים להפנים עד כמה מתקפת סייבר יכולה להיות מסוכנת לארגון שלהם, ואולי אף לסכן את מקום עבודתם.

המשימה הזו, של הגברת המודעות, מוטלת בראש ובראשונה על כתפיהם של המנמ"רים ומנהלי הטכנולוגיה הבכירים. 38% מהם ציינו בסקר שמועצת המנהלים של הארגון שבו הם עובדים מעודדת טיפוח תרבות ארגונית בתחום איומי הסייבר. יתרה מכך, 37% השיבו שחברי המועצה לא מסתפקים בהמלצות, אלא מנחים את ההנהלה לייצר מערכי הדרכה וקורסים להשתלמויות עובדים.

זוהי מגמה חיובית, שאמורה לשדר מסר גם למועצות מנהלים אחרות: אל תסתמכו על כך שהמנכ"ל מדווח לכם שנושא הסייבר עומד בראש סדר העדיפויות שלו. תוודאו שהוא עושה למימוש הדאגה שלו, על ידי עריכת הדרכות ופעולות שוטפות וחוצות ארגון להגברת המודעות.

הסוד מצוי ביצירתיות

אבל מודעות לבדה, כמובן, לא מספיקה. במאבק הבלתי פוסק באיומי הסייבר, יצירתיות היא כלי הנשק הסודי שכל אחד צריך לאמץ לעצמו. הסיבה המרכזית לכך היא שהצד השני, התוקפים, משתכלל גם הוא ומשקיע לא מעט במחקר, מעקב ולימוד נקודות התורפה של המטרות שלהם. ההאקרים ממתינים להזדמנות הראשונה לתקוף, במקום ובעיתוי הכי פחות צפוי מבחינת הקורבן.

זירה נוספת שבה מסתובבים ההאקרים כדי לצוד עובדים תמימים ובעזרתם להיכנס בבטחה לארגון היא הרשתות החברתיות. זוהי הפלטפורמה שבה עובדים רבים משילים מעצמם את הכובע של האחריות כלפי הארגון המעסיק אותם ועושים טעויות שמקלות מאוד על חיי התוקפים. כאן נדרשת מודעות לכך שיש צורך בזהירות אישית, קריאה נוספת של פוסט לפני פרסומו ובדיקה האם הוא חושף מידע רגיש. יש המשווים זאת למלחמה בתאונות הדרכים: לא נצליח למגר לגמרי את התופעה, אבל נוכל למזער אותה בהיקפים גדולים.

אויבים נוספים הם הרכיבים הניידים שמסתובבים בארגון, במסגרת מדיניות ה-BYOD (ר"ת Bring Your Own Device), שמסבה כאבי ראש למנהלי אבטחה כבר שנים רבות, וזה הולך ונעשה גרוע יותר. כאן רצוי לפמפם לכל עובדי הארגון, החל מהעובד הזוטר ועד למנכ"ל, שכאשר הוא נושא איתו את הטלפון הנייד, הוא נושא איתו את הנכס הכי יקר שיש בארגון שלו: מידע. התנהגות לא אחראית עלולה לייצר משבר חמור, שלעיתים לא ניתן יהיה להשתקם ממנו – וכבר היו דברים מעולם.

"המשתמשים הם חלק ניכר מהבעיה"

גיא מזרחי, מומחה אבטחת מידע, אמר אתמול (א') במפגש של פורום CSC מבית פורום CISO של אנשים ומחשבים ש-"כיום אנחנו מבינים שהמשתמשים הם חלק ניכר מבעיית אבטחת המידע והסייבר בכלל". המשפט הזה מתמצת את הסיפור כולו. מזרחי הוסיף עוד משפט לא פחות חשוב: "אי אפשר לייצר מחויבות ומודעות לסייבר בארגון מבלי לתת לעובדים כלים להגן על עצמם".
השורה התחתונה: נזקי הסייבר, שהולכים וגדלים מדי שנה, נגרמים בחלק גדול של המקרים מפעולות שונות של העובדים – הן בגלל חוסר מודעות והן בגלל רשלנות לשמה. דומה שהשנה, הנהלות ארגונים יבצעו מהלכים הרבה יותר דרמטיים כדי להילחם בתופעה זו, שהשלכותיה עלולות קודם כל להשפיע על עתידם האישי של העובדים והמנהלים.