רוצים להגן על הארגון ממתקפת סייבר? הפחדות עובדים לא יעזרו

מחקרים מראים כי טקטיקה של הפחדה וקניסת עובדים על טעויות אבטחה לא תגרום להם לאמץ משמעת סייבר בטווח הארוך • החדשות הטובות הן שיש דרכים אחרות לרתום אותם למאמץ הארגוני • ניהול וקריירה

מתקפות סייבר. הפחדות עובדים לא יעזרו / צילום: Shutterstock
מתקפות סייבר. הפחדות עובדים לא יעזרו / צילום: Shutterstock

תקופת הקורונה טרפה את הקלפים בשוק העבודה. מנהלים ועובדים כאחד נאלצים לעכל שינויים מהירים ולהסתגל אליהם תוך כדי תנועה. איך מנהלים ומתנהלים בעולם כזה? במדור החדש "ניהול וקריירה" נציג בפניכם את מיטב המומחים שיציעו דרכים להתמודד עם עולם העבודה המשתנה, או לכל הפחות ייתנו לנו כמה נקודות למחשבה

בכל פעם שפורץ משבר סייבר, או שגל הונאות שוטף את הרשת, מגיעים הטיפים השימושיים: לחשוד בשולחים לא מוכרים! לא ללחוץ על קישורים לא מזוהים! להחליף סיסמה! לבחור סיסמה קשה! לא לתת סיסמה! המסר ברור: הכוח לעצור את חדירת ההאקרים לארגון נמצא בידיכם, ואם לא תתנהגו בהתאם, תגרמו נזק.

ד"ר קארן רנו, מומחית לאבטחת סייבר, טוענת במאמר שפורסם לאחרונה ב"וול סטריט ג’ורנל" שיש בעיה אחת עם הקונספט הזה - הוא לא עובד. ליתר דיוק, הפחדות לא עובדות. ולא רק שהן לא עובדות, הן אף עלולות ליצור את האפקט ההפוך: הן עלולות לגרום סטרס, ואז עובדים מגיבים בהתעלמות ומקילים ראש באזהרות.

מדוע אזהרה ישירה של העובדים אינה אפקטיבית? קודם כול, משום שמדובר ברגש קצר מועד. פחד יכול אולי לגרום לאדם להפעיל את האנטי-וירוס, אבל בהמשך הוא יומר לרגש אחר - חרדה. ובתנאי חרדה קשה יותר לגרום לעובד לפעול לפי כללים ברורים ולהפעיל שיקול דעת.

אם לא הפחדות, מה כן?

 
  

זהירות מעייפות עובדים

המעבר לעבודה מרחוק העצים את אתגרי משמעת הסייבר. הסיבה לכך כפולה: מבחינה טכנולוגית, היציאה מהרשת הארגונית המאובטחת הוסיפה חוליות חלשות בשרשרת שהאקרים יכולים לתקוף - בבתים, בתיקים ובכיסים של העובדים. הסיבה השנייה היא שהאנושי עצמו נחשב מלכתחילה החוליה החלשה בהגנת סייבר על הארגון. התוקפים מכוונים חלק ממאמציהם להפלת עובדים בפח ולניצול טעויותיהם כדי לפרוץ לארגון. לדוגמה, הם גורמים לעובדים ללחוץ על לינקים או לפתוח קבצים שעלולים להדביק את הרשת הארגונית בתוכנות זדוניות.

ענקית הגנת הסייבר פאלו אלטו זיהתה בתחזית השנתית שלה "עייפות עובדים" כאחת המגמות הבולטות של 2021, ויש לכך השלכות גם על משמעת הסייבר. "עבודה מהבית פירושה שרבים מאיתנו נמצאים אונליין בין 10 ל-12 שעות ביום... בנסיבות אלה, העייפות או השאננות גוררים טעויות אנוש שלעתים הופכות לאירועי סייבר חמורים", נכתב.

אחת מדרכי ההתמודדות שעליהן ממליצה החברה היא לעודד עובדים לקחת הפסקות ולזהות סימני עייפות. "במשרד, כשאנו מגלים שעשינו טעות אבטחת מידע, קל לגשת לאחראי IT ולהתייעץ. כשעובדים מהבית, נדרש מהעובד ששגה הרבה יותר אומץ להתוודות. ארגונים צריכים להקצות לטעויות אנוש תשומת לב רבה יותר".

קמפיינים שמטרתם ללמד

"מודעות סייבר פנים-ארגונית הופכת להיות אט אט אחד החלקים העיקריים בעבודתו של סמנכ"ל אבטחת מידע בארגון (CISO)", אומר מורן תומר, המחזיק בתפקיד זה בחברת GETT. "ברוב המקרים הבעיות מתחילות אצל עובדים שאינם מבינים שהתנהגות לא נכונה יוצרת איומים גדולים לחברה".

ב-GETT, מתמודדים עם האיום מבפנים בעזרת סרטוני מודעות, לומדה אינטראקטיבית ואימיילים תקופתיים. "באימיילים הללו אנחנו מתארים אירועים שקרו בישראל ובעולם", אומר תומר. מעבר לכך, החברה יוזמת קמפיינים שמטרתם ללמד את העובדים מהו מייל תקין, מה הסימנים למייל חשוד ומה עושים כשמקבלים מייל כזה.

תוכנית אימונים שנתית

מרכיב מרכזי בחינוך העובדים למשמעת סייבר הוא תרגול, אומר אמיר בר-אל, מנכ"ל ITSafe, מכללה און ליין ללימודי סייבר. לדבריו, "הארגון חייב לגבש וליישם תוכנית אימונים שנתית לכל עובדיו שתכלול הגדרת יעדים, אימון ותרגול מעשי להתמודדות עם חדירות למחשב (מתקפות פישינג) ומערכות אוטומטיות שמודדות את הביצועים. כך כל עובד יחווה מתקפות סייבר מתוחכמות, ילמד כללי ‘עשה ואל תעשה’ ויתרגל שוב נקודות חולשה שיתגלו אצלו. תוכנית האימונים השנתית חייבת להחליף את ההרצאות הפרונטליות הכלליות לחיזוק מודעות העובדים שאין בהן תרגול מעשי ועל כן הן לא משנות התנהגויות".

תרבות ארגונית שקופה

לדברי מיכאל כלב, מנהל אסטרטגיה ושיווק בחברת Perception Point, לתרבות הארגונית יש תפקיד חשוב לא פחות. "על הארגונים לייצר מנגנון שמאפשר לדווח על תקלות ובעיות בצורה שקופה. אם תהיה תרבות ארגונית של הסתרת כשלים או החבאתם, הדבר יגרום נזק ארוך טווח שיכול להמיט אסון על החברה. צריך לעודד עובדים לדווח על איומי סייבר שאליהם נחשפו ולא לגבות ממנו מחיר אישי על טעות. רק כאשר ישנה שקיפות ארגונית, החברה כולה יכולה ללמוד ולצמוח".

מישהו לפנות אליו

כותבת המאמר ב"וול סטריט ג’ורנל" מציעה גם לא לצפות מעובדים לבחור סיסמאות חזקות שיצטרכו לזכור. זה לא מעשי. במקום זאת, היא מציעה למנות "אחראי סייבר" בכל מחלקה שיהיה הכתובת לשאלות בנושא. אחד הארגונים מינה את אחד העובדים לכתובת לפניות של חברים לעבודה בכל מקרה שהם חושדים בניסיונות "דיוג" כדי לוודא אם מדובר במייל לגיטימי. אותו ארגון הצליח על פי המאמר להוריד לאפס את ניסיונות הדיוג המוצלחים.

הסרת מכשולים

טקטיקה נוספת פשוטה אפילו יותר ליישום היא לתת לעובדים כלים שיסייעו להם לעמוד בכללים. לדוגמה, אפליקציה לשמירת סיסמאות שגם יכולה לחולל סיסמאות קשות לפיצוח.

המאמר מפרט את כל הכשלים שכל מי שעבד בארגון ב-20 השנים האחרונות מכיר. לדוגמה, סיוט העברת הקבצים. כמעט בכל ארגון אנשי המחשוב חוסמים את הגישה להתקני זיכרון ב-USB אך לא מספקים אמצעים אלטרנטיביים להעברת קבצים ודוחפים את העובדים לחלופות מסוכנות. למה במקום זאת לא פשוט לספק לעובדים התקני זיכרון מאובטחים?