אבטחת מידע התנהגותית - פרק 2
- binyxisrael
- 7 בינו׳
- זמן קריאה 2 דקות
עודכן: לפני 3 ימים
פרק שני: האדם כנקודת התורפה המרכזית בארגון
יש אמת שאף מנהל אבטחת מידע לא אוהב לשמוע, אבל כולם יודעים אותה:
גם אם הארגון מושקע בטכנולוגיה, גם אם יש נהלים, גם אם “הכול מסודר” — בסוף תמיד יש רגע שבו אדם מחליט. וברגע הזה, ההגנות הטכנולוגיות הופכות לתפאורה.
האדם הוא המקום שבו מתקיימת ההכרעה האמיתית בין “בטוח” לבין “נוח”.
1) למה דווקא האדם?
כי התוקף כמעט תמיד מחפש את המסלול הזול ביותר.
לפרוץ הצפנה? קשה.
למצוא חולשת אפליקציה? לוקח זמן.
לשכנע עובד אחד ללחוץ? לפעמים מספיק ניסוח נכון, טיימינג נכון, ולוגו מוכר.
ברגע שהאדם “מאשר” פעולה — הוא הופך את ההתקפה ללגיטימית מבפנים:
הוא פותח קובץ
הוא מוסר מידע
הוא מאפשר גישה
הוא מעביר כסף
הוא “רק עוזר רגע”
וזה כל מה שצריך.
2) הסיבה העמוקה: הארגון מתוכנן למכונות, אבל עובד עם בני אדם
רוב נהלי האבטחה נכתבים כאילו העובדים הם רובוטים:
תמיד מפוקסים
תמיד פנויים
תמיד קוראים אזהרות
תמיד שומרים על נהלים גם כשבוער
בפועל, אנשים עובדים במציאות אחרת:
עומס משימות
דחיפות
לחץ חברתי
פחד “להיראות טיפש”
רצון להיות מועילים
הרגלים שנבנו שנים
וכשנהלים מתנגשים עם המציאות — המציאות מנצחת.
3) “טעויות” שהן בעצם התנהגות טבעית
יש פעולות שהארגון קורא להן “רשלנות”, אבל מבחינת העובד הן פשוט חיים רגילים:
לשמור סיסמה בפתק/הערה: כדי לא להינעל מחוץ למערכת
לשלוח מסמך בוואטסאפ: כי זה “רק רגע” וזה עובד
לפתוח קובץ מ”ספק מוכר”: כי זה נראה לגיטימי
לחבר דיסק און קי: כי “מה כבר יכול לקרות”
לתת הרשאה זמנית: כי “אני לא רוצה לעכב את העבודה”
כל פעולה כזו נולדת מאותה נקודה: חיפוש פתרון קצר.
4) נקודת הכשל הכי מסוכנת: “אין לי זמן לזה”
זה המשפט שמנצח את האבטחה.
האבטחה דורשת:
עצירה
בדיקה
אימות
סבלנות
והעבודה דורשת:
ביצוע
מהירות
זרימה
“יאללה תתקדם”
כשהמערכת מציבה אבטחה כאויב של היעילות — העובד ילמד לעקוף אותה.
5) ואז מגיע הפרדוקס: “אנחנו צריכים לסמוך על אנשים”
ארגון בלי אמון לא יכול לעבוד.
אבל אמון הוא גם חומר דליק.
תוקפים מתלבשים על מנגנוני אמון טבעיים:
סמכות (“אני מהנהלת חשבונות / מהמנכ״ל / מה-IT”)
שייכות (“אנחנו באותו ארגון, תעזור רגע”)
נחמדות (“רק בדיקה קצרה”)
לחץ (“זה דחוף, חייבים עכשיו”)
כלומר: התוקף לא מנצח טכנולוגיה — הוא מנצח מערכת יחסים.
6) מה עושים עם זה בפועל?
הגישה ההתנהגותית מחליפה את השאלה:
“איך נגרום לעובדים לציית?”
בשאלה אחרת:
“איך נבנה מערכת שההתנהגות הטבעית בה — היא גם בטוחה?”
דוגמאות לחשיבה כזו:
להפוך את הפעולה הבטוחה לקלה יותר מהעקיפה
לבנות “נתיב מהיר בטוח” לעבודה דחופה
להסיר חיכוך מיותר (כדי שלא יחפשו קיצורי דרך)
לייצר תרבות שמדווחים בה מהר, בלי פחד
סיום פרק שני: משפט אחד שנשאר בראש
הגורם האנושי לא “מקלקל” אבטחה.
הוא פשוט הדבר היחיד שעובד גם מחוץ למסך.
ובדיוק בגלל זה, הוא גם המקום שבו תוקפים מנצחים — או נתקעים.
לפרק הבא:
להקדמה ורשימת הפרקים:
תגובות