ניתוח אירועי הסייבר מהשנים האחרונות מצביע על מגמה הולכת ומחמירה של נזק בלתי נתפס עם כל שנה שחולפת. אם בשנת 2013 110 מיליון כרטיסי אשראי שדלפו מענק הקמעונאות האמריקאי Target הצליחו להשאיר אותנו פעורי פה, כיום את שנת 2019 פתחנו עם דליפות מאגרים של למעלה מ-2 מיליארד רשומות, וגם זה בשולי החדשות. דומה שאנחנו הופכים ליותר מכילים ופחות מתרגשים מעוצמת האירועים שהיום אנחנו גם יודעים לומר שעולים בחיי אדם של ממש ברחבי העולם כתוצאה משיבוש פעילות צוותי חירום והגשת עזרה ראשונה, וגם כתוצאה מהתערבות חיצונית במערכות בחירות ושליטה ברכבות ומטוסים ברחבי העולם הטכנולוגי.
אל מול כל אלו ישנן 10 טעויות נפוצות המאפשרות את קיומם של אירועי אבטחת המידע, וטיפול ממוקד בהן יכול לסייע לנו, מומחי ומנהלי אבטחת המידע בארגונים, להפיק יותר מהמאמצים המושקעים בתחום, ואולי גם לישון יותר טוב בלילה.
10 טעויות אבטחת מידע הנפוצות שמבצעים עובדים בארגונים:
- מייצרים תחושת ביטחון מוטעית - נתחיל דווקא מאלה האמונים על אבטחת המידע בארגון. אחת הטעויות שעלולות להיות בעוכרי כל מנהל אבטחת מידע היא יצירת תחושת הביטחון המוטעה. "אם רק נטמיע את המערכת המהפכנית הזו, נוכל לישון בשקט" – כל מנהל אבטחת מידע שאינו מקצועי מספיק יגיד משפט דומה. בתור מנהל אבטחת מידע את/ה נדרשים לא להרגיש אף פעם בטוחים מספיק בעבודה שלכם, כיון שביום שתרגישו ביטחון מופרז, או אז יקרה האסון.
- מעגלים פינות ובקרות - אנשים הם לא מכונות. 0 הוא לפעמים 1, ו-1 יכול להיות גם 0 כשצריך. אנשים אוהבים לסמוך זה על זה ובשל כך לא פעם מכופפים נהלים, מדלגים על שלבים, והגרוע מכל – מבטלים, אפילו לרגע אחד, בקרות אבטחת מידע שהוטמעו כדי לשמור עליהם ועל הארגון בו הם עובדים. חשוב להבין שכל נוהל וכל בקרה, הוטמעו עם הרבה ניסיון מאחריהם, והניסיון לרוב הוא אינו ניסיון עטור תהילה אלא כשלים שהביאו את הארגון להטמיע את הבקרות וחשוב שכולם, ללא יוצא מן הכלל יקפידו על קיומם וחלילה לא ידלגו על שלבים או יבטלו בקרה זו או אחרת.
- מטמיעים בקרות שלא לצורך - מנהלי אבטחת מידע רבים, רבים מידי, לא אחת מטמיעים בקרות גם בהיעדר סיכון המצדיק את קיומן. הטמעת בקרות שלא לצורך מהווה סיכון בפני עצמה, שכן בקרה ללא סיכון ממשי דורשת תחזוקה, אחריות, עדכונים ובעיקר תשומת לב. תשומת לב ומשאבים שיכולים וצריכים להיות מופנים לטובת בקרות שכן ממזערות את הסיכוי להתממשות סיכון קיים, סיכון שהארגון מודע אליו, מכיר בו והוא נמצא ומוצג בכל עת על מפת הסיכונים שמנהל הארגון. בקרה ללא סיכון היא סיכון בפני עצמה.
- עושים מה שאומרים להם (במיילים ובהודעות אלקטרוניות) - לא אחת משתמשים, גם אלו הנחשבים למומחים טכנולוגיים, עושים את שנאמר להם. אין בכך רע כשמדובר בהוראה ישירה מ"הבוס", אך לא כאשר ההוראה מגיעה בצורת מייל או הודעה אלקטרונית בטלפון החכם. אם ה"בוס" רוצה שאעביר בזה הרגע $100,000 לחשבון בחו"ל, חשוב שקודם אעצור ואוודא איתו/ה שאכן זו הבקשה. בדיוק באותו אופן שבו אם קיבלתי טלפון מהבנק או מחברת האשראי ובשיחה אני מתבקש לספק מידע או קודים סודיים, הכי פשוט לנתק וליזום בעצמנו את השיחה הזו אל הבנק או אל מי שהציג עצמו קודם לכן.
- סומכים על טכנולוגיה - כל עוד אנחנו, האנשים, מעורבים בתהליכים עסקיים (ככל הנראה זה יהיה המצב בנוף העסקי לעד), אסור לנו להניח שאבטחת המידע יכולה להישען על טכנולוגיות בלבד. באבטחת מידע או בהגנת סייבר, טכנולוגיות אינן מתקיימות לבדן, בסוף כל שרשרת טכנולוגית יש אנשים. אנשים מיישמים תהליכים והטכנולוגיות מקיימות תהליכים שעיצבו האנשים. לכן, חשוב שכל אחד מהשלושה: אנשים, תהליכים וטכנולוגיות, יקבל לא יותר משליש ממפת ההגנה הארגונית. ההגנה הארגונית חשוב שתיעשה בשכבות המקיימות את כל שלושת הרבדים האלו, שכן אין בקרה אחת שתבטיח 100% הגנה ב-100% מהזמן.
- משתפים מידע שלא לצורך - אנחנו האנשים יצורים חברתיים מטבענו. אנחנו צריכים את האחר, את תשומת הלב, את האישור שאנחנו בסדר, ואת הלייק לפוסט מהיום בבוקר. אנחנו צריכים את כל אלו גם לפני עידן הרשתות החברתיות, אלא שאלו הביאו לפתח כף ידינו את הפלטפורמה הנכונה למלא את הצורך בחברתיות ושיתוף. יחד עם זאת, שיתוף חשוב שיעשה בחכמה. במאה ה-21 יש להניח שכל שיתוף ברשתות החברתיות פתוח לכל עין ודורש, גם אלה שלא נחשבים חברים או רוצי טובתינו. שיתוף בזהירות תוך שמירה על כללי הפרטיות חשוב שיבוא לידי ביטוי בעבודה ובבית, הורים וילדים כאחד.
- משאירים סביבת עבודה "מלוכלכת" - לא אחת אנחנו מוצאים מידע רגיש ביותר שנותר מאחור, יתום וללא השגחה, מידע שאילו הבעלים שלו היה מודע לדרך שבה הוזנח מאחור, היה עושה כל שביכולתו להגן על המידע ולשמור אותו במקום מתאים. מידע כזה לא רק נמצא בפחי אשפה של בתי חולים, או משרדי ממשלה אותם למדנו להכיר מידיעות חדשותיות כאלה ואחרות, אלא מידע כזה נזנח מאחור על ידי כולנו כל הזמן. מכתב המכיל פרטים פיננסיים רבעוניים בבית שנזרק כפי שהוא לערימת האשפה, סיכום ישיבה שנשאר על לוח מחיק בחדר הישיבות אליו מגיעים אורחים מבחוץ, ואפילו נייר ישן מהמשרד שבמקום לגרוס נתרם לגן הילדים שיכינו בו יצירות מעניינות. שימו לב למידע שאתם משתפים גם כשנראה שהפלטפורמה עליו הוא נמצא אינה חשובה או רגישה.
- מטפלים בסימפטום ולא בשורש הבעיה - מנהלי אבטחת מידע רבים מחפשים לא אחת את הסימפטומים של אתגרי אבטחת המידע – וירוס כופר, מתקפת סייבר ממוקדת, מתקפה למניעת שירות, ודליפת מידע רגיש לאתרים ברשת האפילה. כדי לטפל בסימפטומים אלו מנהלי אבטחת המידע עלולים למצוא עצמם בעיצומו של פרויקט טכנולוגי עתיר ידע ותקציבים ובסופו הסיכון, האיום והנזק הפוטנציאלי עדיין קיימים וכמעט שלא השתנו. בדיוק כמו לאחר אירוע אבטחת מידע בו אנו מחפשים את שורש הבעיה שהובילה לאירוע כדי לטפל בו ולהשתפר היכן שצריך, גם כאשר אנו, מנהלי אבטחת המידע באים לתכנן פרויקט הטמעת בקרות כלשהן חשוב שנשמור על כללי ניתוח שורש הבעיה. יכול ופרויקט עתיר טכנולוגיה ותקציבים, יתחיל קודם לכן בהגברת מודעות העובדים והנהלת הארגון.
- מאמינים שהגורם האנושי הוא החוליה החלשה - מנהלי אבטחת מידע שחושבים שהגורם האנושי הוא החוליה החלשה טועים טעות חמורה בעיני, שכן הם עצמם נימנים על חוליה זו בדיוק. כולנו אנשים, וכולנו מבינים כשמסבירים לנו איך ומה חשוב לשמור ולעשות. בעיני הגורם האנושי הוא הגורם המוזנח ביותר על ידי רבים ממנהלי אבטחת המידע, גם כאשר רצים ומטמיעים פתרונות קסם שנועדו לבחון את אחוז המשתמשים שמקליקים על לינקים כאלה ואחרים במיילים. הגורם האנושי צמא לידע, צמא להבין למה ומדוע, הגורם האנושי רוצה ולומד כל הזמן – בניגוד מוחלט למכונות וטכנולוגיות (AI הוא תיאור מדויק למלאכותיות שבפסגת הטכנולוגיה כיום). מנהלי אבטחת מידע – עיבדו עם האנשים, תמיד. צרו לעצמכם שותפויות עם האנשים איתם אתם עובדים בארגון, אצל הלקוחות ואצל הספקים. אנשים תמיד יקנחו שיעור טוב במילה טובה (בניגוד גמור לטכנולוגיות).
- מתביישים בטעויות - ושוב, כולנו אנשים, כולנו טועים, וכן, כולנו גם מתביישים בטעויות שלנו, במיוחד לאור העובדה שמי שאמון על אבטחת המידע קורא לנו "החוליה החלשה". כאשר אנשים מתביישים בטעויות שעשו, מתחיל סבב קטלני של טיוח האירוע ואובדן זמן וראיות שהיו יכולות לסייע לנו בטיפול באירוע ובשיפור ההגנה בעתיד. שורש הבעיה אינו הבושה בטעויות שעושה המשתמש, אלא בתפיסתו את חומרת הטעות. משתמשים שמבינים באבטחת מידע, שלמדו ושהצליחו להתחבר למטרה שלשמה התכנסו מאמציו של הארגון בתחום, יהפכו מהר מאוד להיות החוליה החזקה ביותר שמגנה על הארגון מפני אירועי סייבר, ואף יסייעו לנו מנהלי אבטחת המידע בתחקור והשתפרות לעתיד לבוא.
לסיכום
100% מאירועי אבטחת המידע הידועים לנו, ואני בטוח שגם אלה שאינם ידועים לנו, דרשו כישלון בבקרה האנושית. ב-100% מהמקרים יש את הגורם האנושי שיכשיל את המאמצים לשמור על נכסי הארגון, וברוב הפעמים מדובר בטעות תמימה של לחיצה על לינק לא בטוח, או העברת קובץ זדוני במייל שרשרת מחוסר תשומת לב, טעויות שעם קצת יותר תשומת לב במקומות הנכונים היו יכולות להימנע או לכל הפחות מטופלות במהירות ויעילות רבה יותר מהנזק המתגלגל.
העקרון שמוביל אותי אישית מעל שני עשורים בתחום, ושעל פיו אני מלמד את תפקיד ה- CISO של הדור החדש הוא שמטרת העל בתפקיד מנהל אבטחת המידע בשנת 2019 הינה לייצר סביבת עבודה בטוחה למשתמשי הארגון.
חברת CyTech עוסקת בייעוץ הגנת הסייבר ברחבי העולם. החברה מבוססת בישראל ופועלת באירופה, אמריקה ואפריקה בייעוץ לארגונים ממגזרים שונים מפני איומי סייבר ואבטחת המידע.