כיום, מומחי האבטחה השונים כבר יודעים כי דווקא הגורם האנושי, ולא הטכנולוגי, הוא אשר מעלה את רמת הסיכון של הארגון לתקיפות סייבר. עם זאת, נראה כי. . .
הארגונים עצמם טרם הפנימו עובדה זו. מחקר שבוצע לאחרונה בידי העמותה לניהול ארגונים (EMA-Enterprise Management Associates) בקרב 600 עובדים המועסקים על ידי חברות בנות 10,000-100 איש מצא ש-56% מהעובדים מעולם לא עברו הדרכה בתחום המודעות לאבטחת מידע.
באופן דומה, דוח האבטחה השנתי של חברת Verizon ל-2013 מצא כי 4 מתוך 5 פריצות נגרמו כתוצאה מנתוני הזדהות שנגנבו- בדרך כלל, התוצאה של תקיפות הנדסה חברתית או סיסמאות חלשות. נוסף לכך, מחקרים שונים מראים כי תקיפות הנדסה חברתית הפכו למתוחכמות ומוצלחות במידה רבה יותר. ייתכן שהסבר חלקי לעליה בהצלחת תקיפות אלו ניתן למצוא בנתונים שמתפרסמים בדוח של EMA: כ-33% מהעובדים שהשתתפו במחקר דיווחו כי הם משתמשים באותה סיסמה להתקנים בעבודה ובבית; 35% ציינו שהם לחצו על קישור שהופיע בהודעת דוא"ל שנשלחה אליהם ממוען לא ידוע. 59% אמרו כי הם מאחסנים מידע ארגוני בענן, ושיעור כמעט זהה (58%) ציינו כי הם מאחסנים מידע במכשירי המובייל שלהם.
על רקע נתונים אלה, מומחי אבטחה מציעים מספר קוים מנחים שיסייעו לטפח התנהגות מאובטחת בקרב עובדים. אלו כוללים:
1) הפיכת מערכות ותהליכים לפשוטים וידידותיים למשתמש ככל שניתן.
2) סיוע לעובדים בהבנת החשיבות שבעבודה מאובטחת.
3) יצירת מוטיבציה בקרב העובדים להגן על החברה ומתן כלים שיאפשרו להם לקבל את ההחלטות הנדרשות.
4) הימנעות ממתן הנחיות נוקשות וחותכות; במקום זאת- הצגה של הרגלי עבודה מאובטחים.
5) שימוש במחלקות ארגוניות שונות (שיווק, משאבי אנוש וכו') על מנת להטמיע התנהגות מאובטחת.
6) מתן תגמול חיובי לעובדים המתנהלים באופן מאובטח, ומנגד, הענשת אלה שחרגו מכך.
מתקפות מסוג זה פועלות על הגורם האנושי ומפתות אותו לפתוח תוכן מזיק. אחד האמצעים היעילים להעלאת מודעות העובדים לנושא זה היא באמצעות ביצוע מבדק המימד האנושי בתצורת APT אחת לתקופה, אשר מדמה שליחה של הודעה זדונית במסגרת תקיפת פישינג בידי האקרים המבקשים לפרוץ לארגון. מלבד העלאת המודעות, פילוח תוצאות ההיענות להודעה המזויפת, מאפשר לזהות את רמת החשיפה ולבנות תוכנית מתאימה של הדרכות אבטחת מידע מקצועיות. נשמח לשתף אותך בניסיוננו בתחום.
למחקר המלא- כאן