מדינת ישראל בדרך לשיפור מודעות העובדים לסכנות הסייבר
לפני כמה שבועות פרסם מערך הסייבר הלאומי טיוטה בנוגע לדרכי הפעולה המומלצות לארגון על מנת לגבש תוכנית להעלאת מודעות העובדים להתנהלות בטוחה במרחב הסייבר. המסמך, שאף נפתח להערות והתייחסות הציבור, מיועד להתוות לראשונה מדיניות רשמית, שמטרתה לסגור את אחת הפרצות המהותיות בעולם הגנת הסייבר. מדובר בעולם של מתקפות "הנדסה חברתית" וניצול טעויות הגורם האנושי, במטרה להפיל בפח עובדים, ודרכם להשתלט על מידע ומשאבים של הארגון המצויים במערכות המידע.
יצירת מחויבות בארגון
במרכזו של המסמך עומד הצורך לגייס את הנהלת הארגון ולא רק את ה-CISO, כדי להעלות על סדר היום הארגוני את הנושא של העלאת מודעות העובדים. המסמך גם מדגיש את הצורך לבנות תוכנית מקיפה ומסודרת, שגם תקבל גיבוי מהדרגים הכי גבוהים בארגון. תכנית כזו דורשת הקצאת משאבים לתכנון וביצוע שלה, וכאשר מדובר במשאבים, נדרשת יצירת מחויבות עמוקה של ההנהלה לתהליך, שללא גיבוי מלא שלה יהיה קשה עד בלתי אפשרי לממש אותה. כמו כן, המסמך מציין כי המטרה אינה רק היכרות עם הסכנות, אלא בעיקר לתת לעובדים כלים אפקטיביים, הניתנים ליישום ביומיום של כל אחת ואחד מהם. דגש מיוחד ניתן גם לקביעת תמהיל של פעולות שיבצע הארגון, קביעת סט מדדים למדידה כמותית של התוצאות ובחינה של מגמת השיפור.
ואולם הנושא שהוא אולי החשוב ביותר במסמך של מערך הסייבר הלאומי הוא ההפנמה מצידה של המדינה שיש צורך בהתייחסות רצינית, אסטרטגית ומתודולוגית לסוגיה של הצורך לחסום את הפרצה הקיימת בקרב עובדים בהקשר של מתקפות סייבר. אנו רואים כיצד תוקפי הסייבר משפרים את יכולותיהם בכל הממדים, בין אם מדובר בניצול פרצות טכנולוגיות, בניצול פרצות אנושיות או בניצול משולב של שני הסוגים. את הפרצות הטכנולוגיות ניתן לסגור באמצעות הטמעה נכונה של כלים טכנולוגיים והפצה של טלאים בצורה מסודרת, למרות שגם כאן, כידוע, אין מאה אחוזי הגנה. מנגד, בתחום של ניצול הפרצות האנושיות, הפרצה עודנה קיימת, והיא ממשיכה לקרוא לגנב. מאחר שעוד לא המציאו את הפיירוול או האנטי-וירוס עבור המוח האנושי – חובה על הארגון לטפל בבנייה וביישום של תוכנית להעלאת מודעות העובדים לנהלים ולסכנות סייבר, ולדרכים כיצד להימנע מהן.
לראשונה המלצה חד משמעית
באמצעות מערך הסייבר הלאומי, המדינה בעצם שמה את הנושא על שולחן העבודה של כלל בעלי העניין בכלל המגזרים – משרדי ממשלה, גופים ציבוריים וארגונים עסקיים כאחד. זו תהיה הפעם הראשונה שקיימת המלצה חד משמעית לתקצב את הנושא של העלאת מודעות העובדים למתקפות סייבר ולהשקיע בכך תשומות ניהוליות ומשאבים ארגוניים – הכל במטרה לסגור את אחת הפרצות הגדולות שנותרו בעולם הסייבר.
יש להניח, שבמקביל להתפתחות של תחום העלאת מודעות עובדים נראה גם התפתחות של מקצועות חדשים בתוך עולמות הגנת הסייבר הארגוניים – למשל: מתודולוג מודעות סייבר, ארכיטקט מודעות סייבר, מיישם מודעות סייבר ומנהל מודעות הסייבר הארגוני, שמנצח על הפונקציות החדשות הללו.
לסיכום, במהלך הנוכחי של מערך הסייבר הלאומי מדינת ישראל עולה על הנתיב שיביא לחסימת אחת הפרצות הגדולות של תחום הסייבר הישראלי – התנהלות הגורם האנושי בהתמודדות עם אירועי סייבר. יש לברך על המהלך, ולהבין שמדובר על יציאה לדרך, שבסופה מדינת ישראל תמצא את עצמה בטוחה יותר מפני תקיפות, שההשלכות שלהן יכולות להיות כלכליות-פליליות, אך חשוב מכך – גם בעלות אופי ביטחוני-לאומני.
הכותבת היא מומחית סייבר וסמנכ"לית המכירות בחברת סלססטיה (Celestya), המתמחה בתחום העלאת מודעות סייבר ואבטחת מידע.
כל מילה סלע, לימור מוכשרת ברמות. כתבה מעניינת.