כולם למען אחד, ואחד בשביל כולם
בעידן הקיברנטי על עובדי ארגון להבין כי הגנה על נכסי הארגון כוללת בתוכה גם את ההגנה על המידע האישי שלהם. מנהל מודעות האבטחה בבנק הפועלים במאמר מיוחד
גיא דגן
| 08/10/2015
אנחנו חיים בעידן חדש – העידן הקיברנטי. חדשות לבקרים, ארגונים בארץ ומסביב לעולם נאלצים להתמודד עם מתקפות סייבר שהופכות להיות יותר ויותר מתוחכמות וכמו שעינכם רואות, כתבות על מתקפות סייבר מוצלחות שמתגלות פוסט מורטום הופכות להיות דבר שבשגרה.
הבה נפרוס את עובדות המציאות החדשה:
עובדה ראשונה: קו ההגנה המסורתי של הארגון שהתבסס על מערכות אבטחת המידע מועד לפריצה. מערכות ההגנה של הארגון בעידן הסייבר אינן מספקות 100% הגנה מפני מתקפות סייבר. בעידן הסייבר, קו ההגנה הראשון של הארגון כולל את עובדי הארגון, לקוחותיו וספקיו, כאשר מידת מודעותם לנושא הסייבר הינה קריטית לשמירה על נכסי הארגון ועל הישרדותו.
עובדה שנייה: כ- 85-90% ממתקפות הסייבר המוצלחות על ארגונים מתחילות בהנדסה חברתית.
עובדה שלישית: ההתנהלות היומיומית של רוב עובדי הארגון אינה התנהלות מודעת לסכנות אבטחת המידע הקיימות ואינה תואמת למצב בעידן הסייבר כפי שאנשי אבטחת המידע חווים אותו. קרי, מודעות לאבטחת מידע ובכלל זה לניסיונות התקפה בעזרת הנדסה חברתית אינה בראש מעייניו של העובד הממוצע בארגון. ברובם המוחלט של הארגונים, עובדי החברה אינם נמדדים על נושא זה כלל וכלל.
עובדה רביעית: חוויית היום יום של אנשי אבטחת המידע בארגון שונה בתכלית מחוויות כלל העובדים במכלול רבדים. פער זה גורם להיעדר שיתוף פעולה, לעיתים אף לעימותים מיותרים ובעיקר לניתוק בין נושא אבטחת המידע ומודעות עובדי הארגון. השיקולים המקצועיים של אנשי אבטחת המידע לגבי מכלול נושאים נתפסים לפעמים כאבן נגף בדרכו של הארגון בפיתוח וקידום פרויקטים ויוזמות חדשות, הדבר יוצר אנטגוניזם וריחוק בין כלל עובדי הארגון אשר רואים באבטחת המידע מחסום בפני התפתחות הארגון לבין אנשי אבטחת המידע אשר מצידם עוצרים יוזמות משיקולי הגנה על נכסי הארגון.
רוב עובדי הארגון אינם מבינים כי הקו המפריד בין המושגים "הארגון" ו- "העובדים" אינו קיים עוד, ההגנה על נכסי הארגון כוללת בתוכה גם את ההגנה על המידע של עובדי הארגון. סבורני כי מקרה התקיפה על חברת סוני ממחיש בצורה קיצונית את הנושא. להזכירכם, בתקיפה על סוני זלגו לרשת מעל ל - 47,000 פרטים וקבצים אישיים של עובדי החברה.
בעוד חשיבות נושאי ה - Phishing וההנדסה החברתית הינם בעלי ערך עליון בעיני אנשי אבטחת המידע ולא אחת מדירים שינה מעיניהם, רוב העובדים בארגון אינם מודעים לנושא ולא יחשבו פעמיים לפני שילחצו על הלינק הזדוני, ישאירו את פרטיהם האישיים באתרים מפוקפקים או יפתחו קבצים אשר מכילים נוזקות או פוגענים ורושענים למיניהם.
ואם כבר מדברים על נושא הנוזקות, פוגענים, רושענים או כל הגדרה אחרת בעולם הסייבר, עצרו שנייה ותשאלו את עצמכם: כמה מעובדי ארגונכם בכלל מכיר את המושגים הללו? כמה מהם מבינים את המשמעות שלהם או הנזק האפשרי שהם מסוגלים לגרום?
כל הדוגמאות שפרטתי לעיל ועוד רבות אחרות שניתן להוסיף ממחישות נקודה מרכזית אחת – כל עוד לא תיווצר שפה משותפת בין עובדי הארגון לפונקצית אבטחת המידע בו, ארגונים ימשיכו להיות חשופים בצורה מסוכנת למתקפות סייבר. אז מה עושים? כיצד מגשרים על פער המודעות בארגון?
ובכן, אין פתרון קסמים, אך קמפיין מודעות המנוהל בצורה נכונה לאורך זמן הינו אחד מהפתרונות היעילים ביותר לנושא. על מנת להיות ברור, קמפיין מודעות, יעיל ככל שיהיה אינו מבטיח 100% הגנה בפני מתקפות סייבר, אך יכול לתרום משמעותית להקטנה של הסיכון למתקפת סייבר מוצלחת.
השלב הראשון של קמפיין מסוג זה צריך להיות הבנת המצב הקיים. חשוב להדגיש כמובן כי לכל ארגון הניואנסים שלו, ההתנהלות היומיומית האופיינית לו וכמובן הסיכונים והחולשות הייחודיים לאופי ולעולם התוכן שבו פועל הארגון.
השלב השני הינו קביעת מטרות ואורך הקמפיין. אדגיש כי הקמפיין צריך להתמקד בשלב הראשון בחשיפות המרכזיות שעלו מתוך הבנת המצב הקיים ולהוות ירית פתיחה שתהדהד בכל הארגון. בנוסף, לגבי אורך הקמפיין, ברור כי המטרה צריכה שלהיות שהקמפיין ירוץ לאורך שנים ולא ינוהל בשיטת זבנג וגמרנו. חלק מהשאלות המרכזיות שעליהן יש לענות בשלב זה הינן: האם להפוך את נושא המודעות לאחד ממדדי הביצוע של עובדי הארגון? מה יחשב כהצלחה של הקמפיין? כיצד למדוד את מושג ההצלחה?
מכאן הדרך פתוחה להרצת הקמפיין עצמו. קיימות דרכים רבות בהן ניתן לממש את הקמפיין וניתן לשלב בין דרכים אלו. להלן מספר פעולות אפשריות: קמפיין פישינג, הרצאות ברחבי הארגון, אוגדן נהלים לעובדים, חידון ולומדת מודעות, קמפיין שיווקי ופרסומי הכולל פוסטרים ופרסומות ועוד.
קמפיין מוצלח בארגון הינו קמפיין אשר משתלב בתרבות הארגונית ומדבר אל העובדים בגובה העיניים, מטשטש את הקו בין ההגנה על הארגון להגנה על העובדים בו וכמובן מדיד כדי שיהיה אפשר לבחון את מידת האפקטיביות שלו.
התפיסה כי מערכות אבטחת המידע, מוצלחות ככל שיהיו, יגנו על הארגון ב- 100% עברה מן העולם. ארגונים חייבים לקבל ולהפנים את המציאות החדשה שבה עובדי הארגון, לקוחותיו וספקיו הינם חלק בלתי נפרד מקו הגנת הסייבר שלו וכי מודעות קו ההגנה הראשון הינה קריטית להמשך הישרדותו של הארגון.
***
הכותב הוא מנהל מודעות אבטחת המידע והסייבר בבנק הפועלים
בעידן הקיברנטי על עובדי ארגון להבין כי הגנה על נכסי הארגון כוללת בתוכה גם את ההגנה על המידע האישי שלהם. מנהל מודעות האבטחה בבנק הפועלים במאמר מיוחד
אנחנו חיים בעידן חדש – העידן הקיברנטי. חדשות לבקרים, ארגונים בארץ ומסביב לעולם נאלצים להתמודד עם מתקפות סייבר שהופכות להיות יותר ויותר מתוחכמות וכמו שעינכם רואות, כתבות על מתקפות סייבר מוצלחות שמתגלות פוסט מורטום הופכות להיות דבר שבשגרה.
הבה נפרוס את עובדות המציאות החדשה:
עובדה ראשונה: קו ההגנה המסורתי של הארגון שהתבסס על מערכות אבטחת המידע מועד לפריצה. מערכות ההגנה של הארגון בעידן הסייבר אינן מספקות 100% הגנה מפני מתקפות סייבר. בעידן הסייבר, קו ההגנה הראשון של הארגון כולל את עובדי הארגון, לקוחותיו וספקיו, כאשר מידת מודעותם לנושא הסייבר הינה קריטית לשמירה על נכסי הארגון ועל הישרדותו.
עובדה שנייה: כ- 85-90% ממתקפות הסייבר המוצלחות על ארגונים מתחילות בהנדסה חברתית.
עובדה שלישית: ההתנהלות היומיומית של רוב עובדי הארגון אינה התנהלות מודעת לסכנות אבטחת המידע הקיימות ואינה תואמת למצב בעידן הסייבר כפי שאנשי אבטחת המידע חווים אותו. קרי, מודעות לאבטחת מידע ובכלל זה לניסיונות התקפה בעזרת הנדסה חברתית אינה בראש מעייניו של העובד הממוצע בארגון. ברובם המוחלט של הארגונים, עובדי החברה אינם נמדדים על נושא זה כלל וכלל.
עובדה רביעית: חוויית היום יום של אנשי אבטחת המידע בארגון שונה בתכלית מחוויות כלל העובדים במכלול רבדים. פער זה גורם להיעדר שיתוף פעולה, לעיתים אף לעימותים מיותרים ובעיקר לניתוק בין נושא אבטחת המידע ומודעות עובדי הארגון. השיקולים המקצועיים של אנשי אבטחת המידע לגבי מכלול נושאים נתפסים לפעמים כאבן נגף בדרכו של הארגון בפיתוח וקידום פרויקטים ויוזמות חדשות, הדבר יוצר אנטגוניזם וריחוק בין כלל עובדי הארגון אשר רואים באבטחת המידע מחסום בפני התפתחות הארגון לבין אנשי אבטחת המידע אשר מצידם עוצרים יוזמות משיקולי הגנה על נכסי הארגון.
רוב עובדי הארגון אינם מבינים כי הקו המפריד בין המושגים "הארגון" ו- "העובדים" אינו קיים עוד, ההגנה על נכסי הארגון כוללת בתוכה גם את ההגנה על המידע של עובדי הארגון. סבורני כי מקרה התקיפה על חברת סוני ממחיש בצורה קיצונית את הנושא. להזכירכם, בתקיפה על סוני זלגו לרשת מעל ל - 47,000 פרטים וקבצים אישיים של עובדי החברה.
בעוד חשיבות נושאי ה - Phishing וההנדסה החברתית הינם בעלי ערך עליון בעיני אנשי אבטחת המידע ולא אחת מדירים שינה מעיניהם, רוב העובדים בארגון אינם מודעים לנושא ולא יחשבו פעמיים לפני שילחצו על הלינק הזדוני, ישאירו את פרטיהם האישיים באתרים מפוקפקים או יפתחו קבצים אשר מכילים נוזקות או פוגענים ורושענים למיניהם.
ואם כבר מדברים על נושא הנוזקות, פוגענים, רושענים או כל הגדרה אחרת בעולם הסייבר, עצרו שנייה ותשאלו את עצמכם: כמה מעובדי ארגונכם בכלל מכיר את המושגים הללו? כמה מהם מבינים את המשמעות שלהם או הנזק האפשרי שהם מסוגלים לגרום?
כל הדוגמאות שפרטתי לעיל ועוד רבות אחרות שניתן להוסיף ממחישות נקודה מרכזית אחת – כל עוד לא תיווצר שפה משותפת בין עובדי הארגון לפונקצית אבטחת המידע בו, ארגונים ימשיכו להיות חשופים בצורה מסוכנת למתקפות סייבר. אז מה עושים? כיצד מגשרים על פער המודעות בארגון?
ובכן, אין פתרון קסמים, אך קמפיין מודעות המנוהל בצורה נכונה לאורך זמן הינו אחד מהפתרונות היעילים ביותר לנושא. על מנת להיות ברור, קמפיין מודעות, יעיל ככל שיהיה אינו מבטיח 100% הגנה בפני מתקפות סייבר, אך יכול לתרום משמעותית להקטנה של הסיכון למתקפת סייבר מוצלחת.
השלב הראשון של קמפיין מסוג זה צריך להיות הבנת המצב הקיים. חשוב להדגיש כמובן כי לכל ארגון הניואנסים שלו, ההתנהלות היומיומית האופיינית לו וכמובן הסיכונים והחולשות הייחודיים לאופי ולעולם התוכן שבו פועל הארגון.
השלב השני הינו קביעת מטרות ואורך הקמפיין. אדגיש כי הקמפיין צריך להתמקד בשלב הראשון בחשיפות המרכזיות שעלו מתוך הבנת המצב הקיים ולהוות ירית פתיחה שתהדהד בכל הארגון. בנוסף, לגבי אורך הקמפיין, ברור כי המטרה צריכה שלהיות שהקמפיין ירוץ לאורך שנים ולא ינוהל בשיטת זבנג וגמרנו. חלק מהשאלות המרכזיות שעליהן יש לענות בשלב זה הינן: האם להפוך את נושא המודעות לאחד ממדדי הביצוע של עובדי הארגון? מה יחשב כהצלחה של הקמפיין? כיצד למדוד את מושג ההצלחה?
מכאן הדרך פתוחה להרצת הקמפיין עצמו. קיימות דרכים רבות בהן ניתן לממש את הקמפיין וניתן לשלב בין דרכים אלו. להלן מספר פעולות אפשריות: קמפיין פישינג, הרצאות ברחבי הארגון, אוגדן נהלים לעובדים, חידון ולומדת מודעות, קמפיין שיווקי ופרסומי הכולל פוסטרים ופרסומות ועוד.
קמפיין מוצלח בארגון הינו קמפיין אשר משתלב בתרבות הארגונית ומדבר אל העובדים בגובה העיניים, מטשטש את הקו בין ההגנה על הארגון להגנה על העובדים בו וכמובן מדיד כדי שיהיה אפשר לבחון את מידת האפקטיביות שלו.
התפיסה כי מערכות אבטחת המידע, מוצלחות ככל שיהיו, יגנו על הארגון ב- 100% עברה מן העולם. ארגונים חייבים לקבל ולהפנים את המציאות החדשה שבה עובדי הארגון, לקוחותיו וספקיו הינם חלק בלתי נפרד מקו הגנת הסייבר שלו וכי מודעות קו ההגנה הראשון הינה קריטית להמשך הישרדותו של הארגון.
***
הכותב הוא מנהל מודעות אבטחת המידע והסייבר בבנק הפועלים
