בניסיון להבטיח את אבטחת העבודה במשרד ומרחוק, ארגונים נוטים להסתמך על גישות ממוקדות טכנולוגיה. אולם למרות היעילות של כלי ניטור ופתרונות אבטחת סייבר, הם אינם יכולים להשפיע באופן מלא על התנהגות העובדים ועל אבטחת העבודה המרוחקת. כדי לערב את העובדים המרוחקים באבטחת המידע, ארגונים רבים עוברים כיום לגישה ממוקדת אנשים.
הגישה הממוקדת באנשים לאבטחה מתייחסת לעובדים כמגן מפני איומי סייבר ולא כנקודת תורפה. במאמר זה נבחן את מהות גישה זו, מדוע כדאי ליישם אותה וכיצד הארגון שלכם יכול להפיק ממנה תועלת.
מהי אבטחה ממוקדת אנשים?
אבטחה ממוקדת אנשים היא להפוך את האנשים שלך להגנה שלך.
התוקפים מכוונים לאנשים, לא למכונות. זו הסיבה שארגונים עוברים בהדרגה מגישת אבטחת סייבר ממוקדת טכנולוגיה לגישה הממוקדת בבני אדם.
תוכנות אבטחת סייבר מסורתיות מגנות על מידע באמצעות ניטור פעילות משתמשים, הגבלת גישה למשאבים מסוימים וסינון הודעות פישינג. עם זאת, תוכנות אלה אינן יכולות להגן באופן מלא על ארגון מפני אירועי אבטחה הנגרמים מטעויות אנוש.
לכן, במקום להדגיש בקרות אבטחה מגבילות, ארגונים משקיעים יותר מאמצים ב:
- מתן הדרכה רלוונטית על אבטחת סייבר לעובדים
- הדגשת האחריות האישית של העובדים על פעולותיהם
- הראייה לעובדים שהארגון סומך עליהם
הגדרה של אבטחה ממוקדת אנשים
אבטחה ממוקדת אנשים היא גישה המתייחסת לאנשים כאל תחום אבטחה חשוב. העיקרון המרכזי שלה הוא לאפשר לכל עובד אוטונומיה בטיפול במידע, בשימוש במכשירים ובאימוץ אמצעי אבטחה.
כאשר דנים באבטחה ממוקדת אנשים (PCS – People-Centric Security), משתמשים לעתים במונחים הבאים:
- גישת אבטחה ממוקדת אנשים
- מסגרת אבטחה ממוקדת אנשים
- אסטרטגיית אבטחה ממוקדת אנשים
- ביטחון ממוקד אדם
- אבטחה מוכוונת אנשים
גישה זו אינה מבטלת את הצורך לוודא שהעובדים פועלים לפי נהלי אבטחת סייבר מומלצים. כמו בגישה המסורתית, גם ב-PCS למשתמשים יש מערכת הרשאות גישה בהתאם לתפקיד, לשגרת העבודה ולאחריות שלהם. ההבדל הוא שבמסגרת PCS, העובדים מודעים יותר לפגיעויות אפשריות, לאירועי אבטחת סייבר ולהשלכותיהם, ומוכנים לקחת אחריות על פעולותיהם.
שבעה עקרונות של אבטחה ממוקדת אנשים
ישנם שבעה עקרונות שצריכים להנחות את הגדלת הזכויות והחובות של עובדים במסגרת אבטחה ממוקדת אנשים:
- אחריות – בעלי מידע חייבים להיות אחראים להגנתו
- אחריותיות – על העובדים לקחת אחריות על האופן שבו הם מטפלים במידע ומשתמשים במכשירים
- אוטונומיה – ארגונים צריכים לתת אמון בעובדים ולאפשר להם ניהול עצמי
- מיידיות – התנהגות בלתי הולמת צריכה להיות מטופלת בתגובה מתאימה: פעולות משמעתיות, שיפור תוכניות הדרכה וכדומה
- קהילתיות – כל העובדים בארגון צריכים לטפח ולתמוך בתרבות אבטחת סייבר חיובית
- מידתיות – אמצעי הבקרה צריכים להיות פרופורציונליים לסיכונים: ככל שהסיכונים גבוהים יותר, כך הבקרות חזקות יותר
- שקיפות – ארגונים צריכים לאמת את התנהגות העובדים באמצעות פתרונות ניטור ולספק משוב על מה שיש לשפר כדי להפחית סיכוני אבטחה
במסגרת תוכנית אבטחת סייבר מודרנית, אבטחה ממוקדת אנשים צריכה לפעול בשילוב עם אבטחה היקפית ובקרת גישה מסורתית. רק על ידי שילוב של גישת PCS עם תוכנות אבטחת סייבר חזקות, ארגונים יכולים לשפר באופן משמעותי את אבטחת המידע והמערכות שלהם.
מדוע צריך אבטחה ממוקדת אנשים?
אבטחה שאינה עובדת עבור אנשים פשוט אינה עובדת.
יישום PCS בסביבת העבודה משמעותו הפיכת העובדים למגן אבטחת סייבר עבור הארגון. להלן שלוש הדרכים העיקריות שבהן ארגונכם יכול להפיק תועלת מגישה זו:
1. יצירת מעטפת אבטחה שאינה מכוסה על ידי תוכנות אבטחת סייבר
האקרים מוצאים כל הזמן דרכים חדשות לתמרן הן בני אדם והן מערכות. בשל כך, ארגונים צריכים לעדכן באופן קבוע את אמצעי אבטחת הסייבר ואת הכלים שלהם. עם זאת, עדכונים אלה לא תמיד מספקים לעובדים מודעות מספקת ואינם יכולים להגן מפני התקפות הנדסה חברתית.
לדוגמה, קמפיינים מתוחכמים של פישינג עשויים לעקוף בקלות מסנני דוא"ל וכלי אבטחת סייבר. לכן, המשתמשים צריכים להיות ערניים במיוחד להודעות שהם מקבלים.
חשוב להבין שצוות מיומן הוא חלק חיוני מכל מערך הגנת סייבר. כאשר העובדים מקבלים הדרכה נאותה בסביבת אבטחת סייבר בריאה, הם יכולים:
- להשתמש ברשתות ובמכשירים של הארגון באופן אחראי
- לטפל בזהירות במידע שעמו הם עובדים
- לגשת בצורה מושכלת למשאבי אינטרנט
- לדעת כיצד לשתף מידע באופן מאובטח באמצעות פתרונות מבוססי ענן
- לזהות בהצלחה הודעות פישינג
2. הבנת ההקשר מאחורי פעולות המשתמש
למרות שיומני פעילות משתמשים המסופקים על ידי תוכנות ניטור עוזרים לקציני אבטחה לזהות פעילות חשודה, הם אינם יכולים לספק הבנה מלאה של כוונות האנשים – מה עומד מאחורי פעולותיהם.
הבנת ההקשר מאחורי פעולות המשתמש חשובה במיוחד כאשר משימות עשויות לדרוש פתרונות יצירתיים. במצבים כאלה, פעילות חריגה של עובדים – כמו הפעלת יישומים חדשים או השקעת זמן רב יותר מהרגיל באינטראקציה עם נתונים מסוימים – עשויה להיראות חשודה אך לא בהכרח מהווה איום.
בנוסף, ההקשר יכול להבהיר אם משתמש ביצע פעולה בלתי הולמת בטעות או מתוך כוונה זדונית.
ניתוח ההקשר של הנתונים, פעילות המשתמשים ואיומים אפשריים מאפשר לארגונים לזהות ולהגיב מהר יותר לאיומים פוטנציאליים וכן לקבל החלטות מושכלות לגבי אמצעי אבטחת סייבר קיימים.
3. שיפור האבטחה של עבודה מרחוק
גישת PCS קיבלה תנופה מחודשת בשנת 2020, עם המעבר ההמוני לעבודה מרחוק. המיקוד באבטחת הסייבר עבר ממכונות לבני אדם.
קציני אבטחת סייבר רואים בדרך כלל בעובדים מרוחקים סיכון משמעותי למידע ולמערכות ארגוניות מסיבות רבות. אף שכלי אבטחת סייבר מסורתיים עוזרים לטפל בחלק מהבעיות, גישת PCS מספקת לעובדים מרוחקים מודעות רבה יותר לסיכוני אבטחת סייבר ולהשלכותיהם. כתוצאה מכך, סביר יותר שעובדים יפעלו על פי מדיניות אבטחת הסייבר של הארגון גם כשהם עובדים מהבית.
אבטחה ממוקדת אנשים היא יותר מהדרכות אבטחת סייבר רגילות. הדרכה קונבנציונלית אינה מבטיחה שהעובדים לא ישכחו או יזניחו שיטות עבודה מסוימות, במיוחד כאשר הם עמוסים בעבודה. לעומת זאת, PCS מתמקדת באחריות העובדים ומלמדת אותם להיות זהירים יותר לגבי בעיות אבטחת סייבר פוטנציאליות, במיוחד בעבודה מרחוק.
כיצד ליישם PCS בארגון שלכם?
היו מוכנים להתחייבות ארוכת טווח.
אין תוכנית אחת שמתאימה לכולם לשיפור אבטחת הסייבר של ארגון באמצעות PCS. עם זאת, ישנם שלושה שלבים עיקריים שיעזרו להעביר את מיקוד אבטחת הסייבר ממכונות לאנשים:
1. יצירת סביבה לאבטחה ממוקדת אנשים
אחד הרעיונות המרכזיים של PCS הוא לאפשר לעובדים לקבל החלטות מבוססות סיכונים. כדי להשיג מטרה זו, נדרש יותר ממודעות והדרכה לאבטחה מסורתית.
התמקדו ביצירת סביבת עבודה לאבטחה ממוקדת אנשים, שבה העובדים:
- מבינים את איומי אבטחת הסייבר ואת השלכותיהם
- מבינים את הצורך בביצוע נהלי אבטחת סייבר מומלצים
- מוכנים לקחת אחריות אישית על פעולותיהם
- יודעים שהארגון סומך עליהם ומספק בקרות רלוונטיות לניהול האבטחה שלהם
- מתקשרים בחופשיות עם מנהלים וקציני אבטחה בנושאי אבטחת סייבר
- יש להם גישה לחומרי הדרכה ארגוניים המותאמים לפרופילים שונים ומתעדכנים באופן שוטף
2. טיפוח תרבות של אבטחת סייבר
תרבות האבטחה של ארגון משפיעה עליו במספר דרכים – לטובה או לרעה – על הציות, מספר נקודות התורפה, הסבירות לאירועי אבטחת סייבר והמצב הפיננסי של הארגון.
ניתן להעריך את תרבות האבטחה הנוכחית על ידי בחינת שבעה אלמנטים ומציאת תחומים לשיפור:
- מנהיגות
- בעלות
- ניהול סיכונים
- שיתוף פעולה
- מודעות
- אתיקה
- בריאות ורווחה
לאחר ביצוע הערכה זו, ניתן להתחיל לעבוד על פיתוח תרבות אבטחת הסייבר באמצעות גישה רב-שלבית המוצעת על ידי סוכנות האיחוד האירופי לאבטחת סייבר.
3. הפיכת PCS למחויבות לטווח ארוך
הקמת תרבות אבטחת סייבר בריאה וסביבה לאבטחה ממוקדת אנשים היא תהליך ארוך הדורש תכנון יסודי, חינוך מתמשך של עובדים והערכה קבועה של התוצאות. ארגון ששואף לאמץ את גישת ה-PCS צריך להיות מוכן להתחייבות ארוכת טווח.
מחויבות אסטרטגית זו יכולה להתבטא ב:
- בחירת מתודולוגיה מתאימה, כלים ושיטות הערכה באופן עצמאי
- העסקת יועץ המתמחה בתרבות אבטחת סייבר והנעת שינוי ארגוני
הגישה הראשונה עשויה להיות תובענית בתחילה, אך תיתן תמונה ברורה של האפשרויות הזמינות והבנה מעמיקה יותר של ערך ה-PCS. העסקת יועץ מנוסה תחסוך זמן ותאפשר יישום מהיר יותר, אך תדרוש משאבים כספיים נוספים.
ארבעה מרכיבים מרכזיים לאבטחת עבודה מרחוק בגישה ממוקדת אנשים
להלן שיטות וכלים שיסייעו בהקמת מסגרת אבטחה יעילה הממוקדת באנשים בארגון:
1. הדרכת אבטחה מותאמת אישית
המטרה העיקרית של הדרכת אבטחה מותאמת אישית היא לעזור לעובדים:
- להבין סיכונים נפוצים, איומים והשלכותיהם
- להיות מוכנים לאיומים הרלוונטיים לתעשייה
- לפעול תמיד לפי נהלי אבטחת סייבר
- להיות מסוגלים לזהות התקפות הנדסה חברתית ואיומים אחרים
דרך מצוינת להשיג מטרה זו היא להתאים אישית את ההדרכה ואת חומרי אבטחת הסייבר. התאמה אישית של ההדרכה לפרטי הארגון ולשגרה של סוגי משתמשים שונים עוזרת לעובדים להזדהות ולהבין טוב יותר את המידע השימושי. כאשר המידע סטנדרטי וכללי מדי, עובדים נוטים להשתעמם ולאבד ריכוז.
2. כלים של בינה מלאכותית (AI) ולמידת מכונה (ML)
טכנולוגיות AI ו-ML כבר נמצאות בשימוש בתוכנות אבטחת סייבר כדי לזהות איומים ולמנוע התקפות. ניתן ליישם אותן גם כדי לעזור לעובדים ללמוד את כללי האבטחה של הארגון ולהפחית סיכוני סייבר הקשורים לגורם האנושי.
כחלק מתוכנת ניטור פעילות משתמשים, AI ו-ML יכולים:
- לעקוב אחר התנהגות המשתמש
- לזהות הפרות אבטחת סייבר ופעולות שעלולות להיות מסוכנות
- להפעיל התראות למשתמש על הפרות אבטחה
חלק מפתרונות אבטחת הסייבר מאפשרים להגדיר הודעות המלמדות את המשתמשים על הפרות שזוהו. בכך, טכנולוגיות אלה יכולות לשנות בהדרגה את התנהגות המשתמשים כלפי אבטחה ולטפח תרבות אבטחת סייבר בארגון.
3. סימולציות של התקפות הנדסה חברתית
ארגונים משתמשים לעתים קרובות בסימולציות של התקפות הנדסה חברתית כדי לבדוק עד כמה העובדים הפנימו את הדרכת אבטחת הסייבר. התקפות אלו יכולות לכלול פישינג, תרמיות ופיתיונות.
לדוגמה, ניתן ליצור הודעות פישינג שאינן מזיקות אך עוזרות לראות כיצד העובדים יתנהגו במהלך התקפות אמיתיות. זה מאפשר ללמוד מדוע עובדים פועלים באופן לא מאובטח, ולהשתמש במידע זה כדי להתאים אישית את הדרכת האבטחה ולסגור פערים במעטפת האבטחה האנושית.
אף ששיעור הקליקים על הודעות הפישינג המדומות ייתן אינדיקציה לפגיעות ארגונית, אין לשאוף לציון מושלם (אפס לחיצות). הפיכת שיעור הקליקים למדד מרכזי היא טעות, שכן כל אחד עלול להתפתות; זה פשוט מחייב את ההודעה הנכונה, בזמן הנכון, במצב הנכון.
4. תקשור סיכונים
הערכת סיכונים היא הבסיס לכל תוכנית אבטחה. מידע מועיל זה לא אמור לשמש רק מנהלים וקציני אבטחה בכירים.
PCS יכולה להצליח רק כאשר לכל העובדים יש מספיק כלים וידע כדי לשמש הגנת סייבר אמיתית עבור הארגון. דוחות הערכת סיכונים יכולים לשמש כחומר גלם לחוברות ומצגות להדרכות אבטחה.
כאשר בוחנים עובדות ונתונים אמיתיים, עובדים מתחילים להתייחס לאבטחת סייבר כאל דבר ממשי, לא כאל סכנה היפותטית. כתוצאה מכך, סביר יותר שהם ישנו את הגישות וההתנהגויות שלהם, מה שיסייע לבניית תרבות אבטחת סייבר חזקה בארגון.
סיכום
באופן מסורתי, נהוג לחשוב על אבטחת סייבר כעל משהו טכני מאוד: תוכנות אנטי-וירוס, רשתות מאובטחות, תשתית מורכבת. אולם במציאות, גורמים זדוניים מכוונים לעתים קרובות לאנשים שיש להם גישה למידע שהם רוצים. משמעות הדבר היא שיש לשים דגש על הידע של העובדים בתחום אבטחת הסייבר ועל יכולתם לזהות איומים פוטנציאליים.
המעבר לגישת אבטחה ממוקדת אנשים פירושו מתן יותר ידע, כלים, מודעות ואוטונומיה לעובדים. יישום גישה זו יכול לסייע לארגונים להפחית באופן משמעותי את אירועי הסייבר הנגרמים על ידי הגורם האנושי.
שילוב של פתרונות ניטור חזקים עם גישת האבטחה הממוקדת באנשים הוא דרך מצוינת לשיפור אבטחת הסייבר, המאפשרת מניעת איומים פנימיים מבלי להפריע לעבודתם של העובדים המרוחקים.
