ארגונים רבים נדבקו ב"עייפות סייבר" – מה יעורר אותם?

הנחת העבודה של ארגונים וחברות רבות במשק כיום היא כי איומי הסייבר רק ילכו ויתגברו ככל שהשנים יעברו. לכך גם מתווספת מורכבות המתקפות, הטמעה מואצת של טכנולוגיות AI על ידי האקרים, שצפויה לשכלל אותן אפילו יותר, וכן טכנולוגיות וטכניקות חדשות שיתנו להם יותר כלים.
מגמות אלו מגובות גם בנתונים וסקירות של חברת סייבר וגופים טכנולוגיים שונים, שמדווחים באופן עקבי על עלייה בהיקפי האיומים.

מנהלים, ובפרט חברי הנהלה, סובלים מ"עייפות סייבר" (Cyber Fatigue) – מצב שבו מרוב איומים והתרעות מנהלים בארגון מפעילים שיקול דעת מוטעה ולא מבחינים בין איום משמעותי לזניח. על פי דו"ח ניהול הסיכונים של פירמת BDO הגלובלית, שסוקר מגמות בקרב בכירים בחברות גלובליות מובילות, 44% מהמנהלים הבכירים סובלים מאותה עייפות

לכן, אך טבעי הוא שהתגוננות מפני איומי סייבר כבר אינה ממש לא נחלתם של המנמ"רים, מנהלי הסייבר או ה-IT, אלא נושא שעולה באופן תכוף בקרב ההנהלה והדרגים הבכירים ביותר. אחרי הכל, ולנוכח ההשלכות החמורות והנזקים שעלולים להיות למתקפה, הרצון להיות ערוכים הגיוני ומתבקש.
אלא שהתהליך הזה מגיע גם עם מחיר מפתיע, שעד כה לא זכה לתשומת לב או תהודה משמעותית. מנהלים, ובפרט חברי הנהלה, סובלים מ"עייפות סייבר" (Cyber Fatigue) – מצב שבו מרוב איומים והתרעות מנהלים בארגון מפעילים שיקול דעת מוטעה ולא מבחינים בין איום משמעותי לזניח. על פי דו"ח ניהול הסיכונים של פירמת BDO הגלובלית, שסוקר מגמות בקרב בכירים בחברות גלובליות מובילות, 44% מהמנהלים הבכירים סובלים מאותה עייפות.

מנהלים, ובפרט חברי הנהלה, סובלים ממנה. עייפות סייבר. צילום: אילוסטרציה. Shutterstock

למה גורמת התופעה בארגונים?

הגורמים ל"עייפות הסייבר" יכולים להיות רבים ומגוונים ואף להשתנות מארגון לארגון. בתאגידים או חברות גדולות, העייפות יכולה להתבטא בהערכת יתר של איומים מסוימים על פני אחרים, ומכאן שגם אם יושקע הון רב בצעדי ההתגוננות, הרי שהם לא בהכרח יספקו את המענה הרלוונטי לאיומים הקיימים.

בחברות בינוניות או קטנות, העייפות יכולה להתבטא דווקא בהיעדר תשומת לב לאיומים באופן כללי, או בחוסר הבנה שלהם. זאת, מפני שאין גורם מקצועי ייעודי לנושא, והוא נופל "בין הכיסאות" או ליתר דיוק בין כמה בעלי תפקידים. בתרחיש כזה, שבו אין חלוקת עבודה או הבנה מקיפה לגבי הצעדים שנדרשים, בהחלט אפשר להבין איך ריבוי האיומים וההתרעות מייצר בלבול וקושי להבחין בין עיקר לטפל.

התופעה מופיעה גם בכל הקשור באירועי סייבר משמעותיים, בהם ההנהלה צריכה לתפקד סביב נושא שאינו בליבת הפעילות העסקית של הארגון, במעין "שגרת חירום", לעיתים לאורך שבועות ארוכים. בהקשר זה, עייפות הסייבר יוצרת מצב מסוכן בו איכות ניהול האירוע ותשומת הלב של ההנהלה יורדים אחרי פרק זמן קצר יחסית מהתרחש האירוע. כל אלה תופעות טבעיות ואנושיות, אך דורשות תשומת לב וטיפול.

תחושה של "בור ללא תחתית"

הדו"ח של BDO אף מצביע על כך שאיום הסייבר נתפש על ידי המנהלים כפחות חמור, ובהשוואה לשנים עברו הוא ירד מהמקום השני (מבחינת רמת החומרה) למקום החמישי השנה. זאת מפני שבשנים האחרונות חברות השקיעו מאות מיליוני דולרים בהתגוננות סייבר, הן מבחינת גיוס כוח אדם ייעודי, רכישת תוכנות ומערכות הגנה, וכן בתחזוקה שלהן לאורך שנים, אשר כרוכה בהשקעות לא מבוטלות.
התוצאה של הסיטואציה הזו היא תפישה של מנהלים מסוימים כי הגנת סייבר היא בבחינת "בור ללא תחתית" – מה שרק מגביר את העייפות שלהם. לכן, הם עלולים להעריך בחסר את האיום או לא דעת להשקיע את המשאבים הנכונים בכל איום.

לאור זאת, נראה כי אין מנוס משינוי גישה כדי להתמודד עם עייפות הסייבר, אך בה בעת לספק את ההגנה הנכונה והמשאבים המדויקים – או לכל הפחות לייצר תעדוף נכון בין איום לאיום ובין נכס עסקי לנכס עסקי אחר.
הדרך המרכזית לעשות את זה היא בראש ובראשונה להיצמד לעובדות ולנתונים מוכחים. חלק לא מבוטל מאיומי הסייבר מתודלק לא פעם בכותרות ופרסומים שלא בהכרח רלוונטיים לארגון הספציפי, וכן נלווים לו טרנדים ו"תחושות בטן" שאינן בהכרח מבוססות או מדויקות. כדי באמת להבין את הרלוונטיות של האיומים על הארגון נדרש סקר סיכונים אובייקטיבי, שממפה את כל איומי הסייבר, נכסי הארגון הטכנולוגיים ואלה שאינם, לצד הערכה של ההנהלה לגבי מידת הנזק הפוטנציאלי של כל אחד ואחד מהם. כך לדוגמה, אם מתקפת כופר עלולה להשבית פעילות של ארגון למשך מספר ימים, והשווי שלה הוא אובדן הכנסות של מיליוני שקלים, נראה כי מדובר בסיכון שמצריך מעורבות הנהלה והשקעה מקיפה. מאידך, סיכון שבו פעילות ספציפית מושבתת לפרקי זמן קצרים או בינוניים, אך כן מאפשר תפקוד והמשכיות עסקית גבוהה, יזכה לתעדוף נמוך יותר בהשקעה בניהולו.
כמובן שאופן הגדרת האיומים הרלוונטיים ישתנה מארגון לארגון, כך גם מה שקריטי עבור ארגון מסוים יכול להיות שולי עבור ארגון אחר. כך או אחרת, העיקרון זהה: היצמדות לעובדות, בדיקת רלוונטיות לכל ארגון וארגון, הבנת ההשלכות והערכת הנזקים הכוללת שעלולים להיגרם. גישה כזו תוכל להכניס את הדברים לפרופורציות הנכונות ובמקביל לסייע לארגונים לשמור על ערנות מתאימה ולנצל את המשאבים בצורה מדויקת ונבונה.

כותב המאמר הוא מוביל פעילות הסייבר של חברת BDO ב-EMEA