"ארגונים משקיעים מיליארדים בהגנה – אבל לא בהעלאת מודעות העובדים"

"ארגונים משקיעים מיליארדי דולרים בהקמת חומות הגנה פיזיות וטכנולוגיות, אבל הם לא משקיעים מספיק בהעלאת מודעות העובדים לסכנות האורבות לארגון מאירועי אבטחה וסייבר. הנהלות הארגונים לא מפנימות שתמהיל ההשקעה שלהן בהגנה על סייבר צריך לתת מקום נכבד להון האנושי, בהגברת המודעות ובפעולות מנע ארגוניות", כך אמרה ענבר גת שחם, מייסדת ושותפה, יחד עם זיו גלבוע, ב-Improve IT, שהוקמה ב-2010.

גת שחם השתתפה במפגש פורום מנהלי אבטחת המידע CSC של אנשים ומחשבים, שהתארח באחרונה במרכז ללימודים אקדמיים (מל"א) באור יהודה. את המפגש אירח והנחה ד"ר אלון הסגל, מרצה בכיר בפקולטה למדעי ההיי-טק במל"א.

לדברי גת שחם, "יש סטטיסטיקות שלפיהן המקור של חלק גדול מפריצות הסייבר הוא בעובדי הארגון – אם בגלל טעויות, העדר משמעת, חוסר ידיעה או עומס יתר. האקרים למיניהם מזהים את החורים הללו בארגונים ותוקפים אותם על רקע זה. יש גם עובדים שמשתפים פעולה עם גורמים עוינים תמורת כסף. על ארגונים לתת על כך את הדעת ולהדריך את העובדים".

עם זאת, היא ציינה כי לאור העלייה בהיקפים ובחומרת ההתקפות על ארגונים, "יש הנהלות שמבינות שעליהן להשקיע בלימוד ובחיזוק הידע של העובדים, אבל מתלבטות כיצד לעשות זאת".

Improve IT מתמחה בלמידה ובהדרכה של מקצועות ההיי-טק והמחשוב. "מטרתנו היא לשלב מתודולוגיה וטכנולוגיה שתורמים לשיפור הביצועים הארגוניים", אמרה.

מיכאל טיבין, דוקטרונט ומרצה בפקולטה למדעי ההיי-טק במל"א

"יש צורות למידה מתוקשבות רבות", ציינה גת שחם. "הלומדה היא כלי ללימוד עצמי לעובד בזמנו שלו; קיימים כלים ללימוד במובייל, אבל נעשה בהם שימוש מועט, בשל הגבלות של מנהלי אבטחת מידע; יש כלים תומכי ביצועים, לטובת הטמעת נהלים של הארגון לעובדים חדשים; קיימת למידה חברתית ושיתופית, כאשר התחרותיות מקדמת את הלמידה; המשחוק תורם אף הוא לחוויית הלימוד; ויש טכנולוגיות מתקדמות אחרות, כגון משקפי מציאות רבודה".

מדוע ארגונים נחשפים לסיכוני סייבר?

מיכאל טיבין, דוקטרונט ומרצה בפקולטה למדעי ההיי-טק במל"א, התייחס לסיבות לחשיפת ארגונים לאירועי אבטחה וסייבר. "42% מהפריצות לארגונים נגרמו בגלל חוסר התאמה של המערכות לאתגרים הנוכחיים ו-32% נבעו מטעויות של משתמשים, מסיבות שונות", אמר.

לדבריו, "הגורם האנושי הוא קריטי במאבק על הגנת המידע ולכן, יש להשקיע בהגברת המודעות לסיכונים ולמתקפות".

בהמשך הוא פירט על שניים מהאמצעים שבהם משתמשים בסייבר – הן כאלה שהתוקפים משתמשים בהם והן כאלה המשמשים להגנה מפניהם: לימוד מכונה ובינה מלאכותית. "מאחר שחלק משמעותי מאירועי האבטחה נגרם מטעויות משתמשים, הפורצים יודעים לזהות את המגמה הזו, להתחקות אחר התנהגות העובדים ולחדור לארגונים דרכם", אמר טיבין. "בעיקר הם יודעים לזהות דפוסי פעולה שגורמים לזליגת מידע, תגיות קבועות של מידע, סיסמאות ועוד".

הוא הוסיף שחלק מהשיטות שהיו נהוגות עד היום כבר אינן רלבנטיות. כך, למשל, "הגבלת גישה יכולה לעבוד במקרים מוגבלים, אבל הגישה פוגעת בפריון ובחדשנות – והמשתמשים מתוסכלים", אמר טיבין.

מה ניתן לעשות כדי להימנע? "מנהל האבטחה צריך להכיר את המשתמשים שלו, לזהות את אלה שיש להם פוטנציאל נזק גדול יותר ובפרט לפקח על מנהלי IT, ספקי מפתח ועובדים שצריכים להיות בערנות גבוהה", ציין. "כמו כן, אסור לשכוח את היסודות שקשורים לעבודה השוטפת של אבטחה, כגון תיקוני תוכנה אוטומטיים ואכיפת נהלים בתחומי הסיסמאות, ולא לזנוח את הרכיבים שמגיעים מחוץ לארגון, כמו טלפונים ניידים. כך, חובה על מנהלי האבטחה לדעת ראשונים על איסוף נתונים לא מורשה ממכשירים ניידים של עובד – ולחסום אותו", ציין טיבין.

"משפט עוסק בהגנה על הנכס היקר ביותר – המידע"

דובר נוסף באירוע היה עו"ד דן אור חוף, מומחה לטכנולוגיה וקניין רוחני. הוא ציין כי "יש שוני בין סייבר לאבטחה, אבל המשותף להם הוא העובדה שהם עוסקים בהגנה על נכסי המידע הארגוני. השאלה המרכזית היא איך הארגון עושה זאת הכי טוב".

עו"ד דן אור חוף, מומחה לטכנולוגיה וקניין רוחני

עו"ד אור חוף ציין שבמקביל לתקנות וחוקים, מקובל כיום שיש לחשוב על הגנת המידע כבר בשלב התכנון. "לא מספיק לכתוב מדיניות, אלא על הארגון לבנות מערכות שתהיינה ידידותיות", אמר.
"כמו כן, מקובל לדבר בימינו על מזעור של מידע, על אסיפת ושמירת מידע שצריך בלבד ועל מחיקת מה שלא צריכים", הוסיף עו"ד אור חוף. "יש כיום תופעה של עודף מידע ששמור בארגונים, שמביא לחשיפה וסיכונים מיותרים. כאן עולה שאלה אחרת, שאין לה ממש פתרון חוקי: כיצד שומרים את המידע?"

"ארגונים רבים חוטאים בנושאים שקשורים לטווח הזמן שהם שומרים את המידע ולאיזה מידע הם שומרים", אמר. "זוהי דוגמה מובהקת שלחקיקה אין מענה בנושא זה והטכנולוגיה היא זו שתנחה את המחוקק מה לדרוש".

עוד הוא ציין כי החל מינואר 2018 תחול על ארגונים בישראל חובת דיווח על כל מקרה פריצה, כפי שזה כבר נעשה באירופה. "פריצה למאגרי מידע וחשיפת פרטי האנשים כבר אינם אירוע פנימי אלא אירוע שנוגע לכל אחד ואחד שפרטיו שמורים בארגון. ארגונים רבים מתמודדים עם האתגר של עלויות גבוהות הכרוכות בחובת הדיווח, אבל ברור להם שעלות הנזק מפריצה או הפיצויים שיצטרכו לשלם גבוהים הרבה יותר ולכן, חייבים להיערך לכך", אמר.

לסיום ציין עו"ד אור חוף כי העידן הנוכחי גרם לשינויים מהותיים בעולם המשפט. "כיום, עיסוק בכל תחום משפטי דורש הבנה בטכנולוגיה, כי מדובר בהגנה על הנכס היקר ביותר שיש לנו – המידע".