"עובדים צריכים להבין איך התנהגותם משפיעה על חשיפת הארגון לסייבר"
"בתחום הסייבר, כל עובד בארגון הוא חלק מכוח האדם - בין אם הוא מומחה טכני, עו"ד, איש רכש או כל אחד אחר, ועליהם להבטיח שהמערכות שלו יהיו הכי מוגנות שאפשר", אמרה פרופ' דיאנה בארלי, מנהלת המכון להגנה על תשתיות מידע באוניברסיטת ג'ורג' וושינגטון
"העלאת מודעות העובדים לסכנת הסייבר לא מספיקה. עליהם להבין כיצד ההתנהגות שלהם משפיעה על חשיפת הארגון לסכנות אלה וכיצד פעולות שלהם, לפעמים תמימות או אף בעלות כוונה טובה, עלולות להזיק", כך אמרה פרופ' דיאנה בארלי, מנהלת המכון להגנה על תשתיות מידע באוניברסיטת ג'ורג' וושינגטון. היא דיברה בהרצאת אורח שנתנה אתמול (א') בפני סטודנטים מהחוג למערכות מידע במכללה האקדמית תל אביב-יפו.
לדבריה, "ארגונים צריכים להביא את העובדים שלהם לכך שהם לא רק יהיו מודעים לסכנות הסייבר אלא גם יבינו אותן, את הסיכון שכרוך בהתנהגות מסוכנת, ואת התפקיד והאחריות שלהם, כולל לדעת אם משהו נמצא מעבר ליכולתם ולמי להפנות הלאה במקרים כאלה".
"מודעות אין משמעותה שהעובדים באמת דואגים", הוסיפה. "צריך לעודד אותם לסייע באבטחה ולמצוא מה מניע אותם. בגלל זה, מומחי הסייבר לא מסתמכים רק על המומחיות הטכנית של העובדים אלא מבינים שיש רכיב התנהגותי".
פרופ' בארלי דיברה על עדכוני תוכנה ואמרה כי "תהליך ההתקנה שלהם צריך להיות מסודר, וצריך לדאוג שהעובד יבין מה ההשלכה של כל פעולה שלו על רמת החשיפה של הארגון למתקפות סייבר. יש לתקשר את הסיכון והשלכותיו, כדי שהעובדים יבינו את החשיבות לא רק של עצם הורדת עדכון התוכנה, אלא גם של השלכותיו ושל הסיכונים הכרוכים בכך".
כדוגמה לכך היא ציינה מתקפת סייבר שממנה סבלה בורסת נסדא"ק לפני מספר שנים. "המנמ"ר דרש להפסיק את המסחר ברגע גילוי החדירה למחשבים ואילו סמנכ"ל הכספים דרש לחכות עד סוף היום, כארבע שעות. המנמ"ר הסביר לסמנכ"ל הכספים שבארבע שעות התוקפים יכולים לעשות נזק עצום, הרבה יותר גדול מהפסקת המסחר", אמרה.
מה עם הסטארט-אפים?
הדוברת הדגישה בהקשר של הסייבר גם את הסטארט-אפים. "יש מהם שרוצים לעסוק אך ורק בפיתוח התוכנה שלהם", אמרה פרופ' בארלי. "אלא שאם הם לא מגנים על עצמם, מישהו עלול לחבל להם במערכות ולגרום להם לעיכוב בפיתוח, ובינתיים יאפשר למתחרים שלהם להשיג אותם".
ככלל, היא ציינה, "עמידה בדרישות הרגולציה ומילוי 'וי' ברשימת המטלות הרגולטוריות לא רק שלא מקטינה את הסיכון, אלא אף מעלה אותו".
הסייבר ושוק העבודה המשתנה
הצורך בהבנה רבה יותר של העובדים את התחום בא גם על רקע שוק העבודה המשתנה. "בארצות הברית היו ניסיונות להגדיר תפקידים בתחום הסייבר, אבל יש הכרה שהשינויים כל כך מהירים, מה גם שבני דור המילניום והדרך שבה הם עובדים שונים. כשיש סוגים שונים של תפיסה, מתחילה להיווצר בעיה", אמרה פרופ' בארלי.
מה באשר להכשרת כוח אדם בעולם הסייבר? "הדרישות בתחום זה עולות באופן מעריכי, בעוד שמספר העובדים בו עולה באופן הדרגתי", הדגישה. "אחת הדרכים להתמודד עם זה היא באמצעות אוטומציה של התהליכים הבסיסיים בניתוח הסייבר, בעזרת לימוד מכונה ובינה מלאכותית, שיעשו אנליזה של הנתונים. אנחנו עדיין רחוקים מקיומה של בינה מלאכותית שתעשה את כל העבודה, אבל כשזה יקרה, בהחלט יהיה אפשר לחסוך את הצורך בעובדים ברמת הכניסה".
"לפיכך, העובדים יידרשו לחשוב ולהיות יצירתיים", אמרה פרופ' בארלי. "יש לכך השפעה על דרך העבודה. אני ממליצה לסטודנטים לא רק להסתכל על המקצועות הקיימים, משום שעם התפתחות הטכנולוגיה העבודה משתנה, יש מקצועות חדשים ועליהם להיות זריזים וגמישים, לנתח ולחשוב בצורה ביקורתית".
נושא נוסף שאליו התייחסה המרצה בדבריה הוא העברת נתונים לענן. "ארגונים שמעוניינים לעשות זאת צריכים לדאוג שהחוזה יכלול בעלות על הנתונים. לדוגמה, ב-NSA העבירו חלק מהנתונים שאספו למערכות ענן ציבוריות, אולם כשביקשו לנתח אותם, התברר שזה לא היה כתוב בחוזה עם ספק הענן. הם נאלצו לשלם קנס כדי לקבל גישה לנתונים שלהם", אמרה.
פרופ' בארלי סיימה בציינה כי "בתחום הסייבר, צריך להבין שכל אחד, כל עובד בארגון, הוא חלק מכוח האדם – בין אם הוא מומחה טכני, עורך דין במחלקה המשפטית, איש רכש או כל אחד אחר. כל העובדים הללו הם חלק מהארגון, ועליהם להבטיח שהמערכות של הארגון יהיו הכי מוגנות שאפשר, עם פגיעות מינימלית. עליהם גם להבין טוב יותר את הסיכונים לארגון ואיך לענות עליהם, להבין מה ההשלכה של כל החלטה על החשיפה של הארגון למתקפות סייבר".
אחת משמונה נשים מבטיחות בתחום אבטחת ה-IT
פרופ 'בארלי היא מנכ"לית ויו"ר המכון להגנת תשתיות מידע ופרופסור ללמידה אנושית וארגונית באוניברסיטת ג'ורג' וושינגטון. היא מוכרת בעולם כמובילת תחום אבטחת סייבר ומשאבי אנוש. היא העידה בפני הקונגרס האמריקני וכתבה יותר מתשעים פרסומים על אבטחה ברשת, שיתוף מידע ושינויים שניתן לעשות בעזרת IT (אוטומציה).
היא הוכרה בשנת 2017 כאחת משמונה נשים מבטיחות בתחום אבטחת ה-IT . היא גם השתתפה בכוח המשימה המשותף שהוביל את פרסום הנחיות סיווג המקצועות בתחום מדעי המחשב עבור חברות מיחשוב ועבור איגוד ה-IEEE.
תגובות
(0)