למ"ס הטמיעה מערכת של סלסטיה להעלאת מודעות עובדים לסיכוני סייבר

הלשכה המרכזית לסטטיסטיקה (למ"ס), יחידת סמך של משרד ראש הממשלה, הטמיעה את מערכת Q-Log להעלאת מודעות עובדים לסיכוני סייבר של חברת סלסטיה (Celestya). הפרויקט ארך כמה שבועות והסתיים באחרונה. האינטגרציה בוצעה בשיתוף פעולה בין סלסטיה, ניו אייג' טכנולוגיות ועובדי תחום בכיר סייבר ואבטחת מידע בלמ"ס.

המערכת מאפשרת למנהלי אבטחת המידע והגנת הסייבר בלמ"ס לבצע בצורה יזומה ומנוהלת מגוון תהליכים, הכוללים תרגול והדמיה של מתקפות פישינג לכ-1,000 עובדים בארגון, לומדות הכוללות שאלונים אמריקניים ולומדות אינטראקטיביות. המערכת מיועדת לסייע בהעלאת המודעות של העובדים לנהלי הגנת הסייבר ואבטחת המידע, כמו גם להעלאת המוכנות להתמודדות עם מתקפות מסוגים שונים, המופנות כלפי העובדים בארגון.

במסגרת הפרויקט הוטמע מודול של הפלטפורמה, המאפשר עריכה של לומדות בנושאים, דוגמת: תקנות הגנת הפרטיות, סיסמאות, נהלי עבודה מהבית בזמן הקורונה, שולחן נקי, טלפונים סלולריים ועוד. עוד הוטמע מודול לניהול והפצה של לומדות אינטראקטיביות, המאפשר ללמ"ס לעמוד בדרישות גורמי הסייבר הממשלתיים. כמו כן הוטמע מודול להדמיית מתקפות פישינג באמצעות הדוא"ל, המאפשר לעובדי למ"ס לדמות בצורה מעשית ודומה למציאות תקיפות סייבר, ולבצע אותן באופן אוטומטי, שוטף ולאורך פרקי זמן. המערכת גם מאפשרת לאתר את העובדים הנמצאים בסיכון גבוה לחדירת האקרים, ולזהות נקודות חולשה בנהלי הארגון שאינם ברורים לעובדים.

יעקב דולמצקי, מנהל הגנת סייבר ופרטיות בלשכה המרכזית לסטטיסטיקה. צילום: יח"צ

יעקב דולמצקי, מנהל הגנת סייבר ופרטיות בלשכה המרכזית לסטטיסטיקה, אמר כי "עובדים הם החוליה החלשה בשרשרת הגנת הסייבר בכל ארגון. יישום המערכת אפשר לעשות שינוי מהותי ומשמעותי ברמת המודעות של העובדים והמנהלים בלמ"ס, ולהפוך אותם לשותפים אמיתיים בתהליכי הגנת הסייבר. המערכת נוחה לשימוש, מאפשרת לעשות ניתוחים סטטיסטיים עבור כל פעילות, לזהות נקודות חולשה, כדי לטפל בהן בצורה פרטנית וממוקדת, וכתוצאה – להפחית את סיכוני הסייבר".

דוד איסן, ראש תחום הנחיית סייבר בלשכה המרכזית לסטטיסטיקה, הוסיף כי "בשיח עם העובדים והעובדות התברר שמדובר בשינוי תודעתי, שגרם להם לאימוץ הרגלי עבודה חדשים".

לימור גרוסמן, מנהלת השיווק והמכירות של Q-Log, אמרה כי "בכל רחבי העולם נושאי תפקידים נופלים בפח של מתקפות סייבר המופעלות באמצעות הנדסה חברתית במגוון כלים ופלטפורמות. טכנולוגיה לבד לא תעצור את הווקטור הזה של מתקפות סייבר, אלא נדרשת היכרות אמיתית מתוך התנסות עם סוגים שונים של תקיפות. בלמ"ס, כמו גם בארגונים נוספים, הבינו שתרגול הדמיית פישינג בדוא"ל לא נותן מענה מספק להעלאת מודעות והתמודדות עם מגוון מתקפות רחב. האקרים מנצלים את רגישות העובדים, סקרנותם, הפחדתם, או ניצול אירועים כמו נגיף הקורונה. קבוצות האקרים יתקפו את הארגון בכל דרך אפשרית, ולא רק בתחום נקודתי, חשוב אמנם – אבל עדיין תחום אחד, הדוא"ל. לכן נדרשת מערכת המתייחסת לתחום נהלי הסייבר הנרחב, ובאופן שוטף לאורך כל השנה. המערכת שהוטמעה בלמ"ס מאפשרת להם לקחת מושכות, להגביר את המודעות, ולעשות זאת תוך ביצוע של תהליך מנוהל ומבוקר".