אבטחת מידע התנהגותית – פרק 3
- binyxisrael
- לפני 3 ימים
- זמן קריאה 3 דקות
עודכן: לפני יום 1
למה עובדים חכמים עושים טעויות שנראות “טיפשיות”
יש משפט שחוזר כמעט אחרי כל אירוע אבטחה:
“אבל הוא עובד חכם. איך הוא נפל בזה?”
התשובה הפשוטה היא זו:
זה לא קרה בגלל חוסר שכל. זה קרה בגלל איך שהמוח האנושי עובד.
אבטחת מידע רגילה מניחה שאדם יראה סכנה, יעצור, יבדוק, ואז יבחר נכון.
אבל ביום עבודה אמיתי אנשים לא מתנהלים כך. הם רצים בין משימות, מגיבים מהר, סומכים על סימנים מוכרים, וחוסכים מאמץ היכן שאפשר. בדיוק שם תוקפים מצליחים.
המוח בנוי לקיצורי דרך
המוח שלנו אוהב החלטות מהירות. זה לא פגם — זה מנגנון הישרדות.
הבעיה היא שבעולם הדיגיטלי קיצורי הדרך האלו הופכים לאפיק תקיפה.
במקום לחשוב “מי באמת עומד מאחורי ההודעה?”, המוח שואל:
“זה נראה מוכר?” “זה דחוף?” “זה נשמע הגיוני?”
וכשהתשובות נשמעות חיוביות — היד כבר לוחצת.
1) דחיפות: “עכשיו! מיד!”
תוקפים יודעים שמשפטים כמו “דחוף”, “מיידי”, “החשבון ייחסם”, “זה עבור המנהל” מקצרים חשיבה.
כשאנחנו בלחץ זמן, המוח עובר למצב ביצוע: לסיים, להספיק, להתקדם.
במצב הזה, השאלה הנכונה (“מי מבקש ממני את זה?”) נדחקת הצידה,
והשאלה הלא נכונה (“איך אני מסיים את זה מהר?”) משתלטת.
2) סמכות: “אם זה מגיע מבכיר, כנראה שזה בסדר”
כמעט כל ארגון בנוי על כבוד לסמכות: מנהל, הנהלת חשבונות, תמיכה טכנית, ספק “רשמי”.
תוקפים פשוט מחקים את זה.
וכאן יש נקודה עדינה:
הרבה עובדים לא רוצים להיות “המעכבים”, לא רוצים להיראות חשדניים, ולא רוצים להסתבך מול בעל סמכות.
לפעמים הפחד החברתי גדול יותר מהסיכון הדיגיטלי.
3) מוכרות: “זה נראה כמו הדבר האמיתי”
לוגו נכון, ניסוח נכון, חתימה נכונה, שם מוכר.
המוח אומר: “ראיתי דבר כזה בעבר, אז זה בטוח”.
אבל “נראה מוכר” זה לא “אמיתי”.
הבעיה היא שמוח אנושי נוטה לסמוך על מראה חיצוני כדי לחסוך בדיקה.
וזו בדיוק הסיבה שגם אנשים חכמים נופלים בהודעות דיוג (פישינג).
4) עייפות החלטות: המוח כבר לא רוצה לבדוק
אחרי יום מלא החלטות קטנות, המוח מתעייף.
ואז מגיעה הודעה: “אשר כניסה”, “עדכן סיסמה”, “פתח קובץ”, “אשר הרשאה”.
בנקודה הזו אנשים לא שואלים “מה נכון?”, אלא “איך נפטרים מזה?”.
הם לוחצים “אישור” מתוך עייפות, לא מתוך טיפשות.
5) ביטחון יתר: “אני לא נופל בדברים כאלה”
מי שבטוח שהוא חסין — בודק פחות.
וזה אחד הפרדוקסים המסוכנים: ניסיון וביטחון עצמי יכולים להקטין עירנות.
ביטחון יתר יוצר משפטים כמו:
“זה בטח כלום”, “אני מבין בזה”, “זה קורה לאחרים”.
וכשהמוח רגוע מדי — הוא מפספס סימנים קטנים.
6) התרגלות לאזהרות: כשצועקים יותר מדי, מפסיקים לשמוע
אם המערכת מתריעה על “כל דבר”, אנשים לומדים להתעלם.
זה טבעי: המוח מסנן רעש.
אזהרות רבות מדי יוצרות הרגל מסוכן:
לא לקרוא, לא לבדוק, רק לסגור.
ואז, כשמגיעה אזהרה חשובה באמת — היא נבלעת בתוך הרעש.
אז מה עושים? לא “להרצות” לעובדים — לתכנן סביב בני אדם
הפתרון ההתנהגותי לא מתחיל במילים כמו “תיזהרו”.
הוא מתחיל בשאלה אחרת:
איך הופכים את ההתנהגות הטבעית לבטוחה יותר?
דוגמאות מעשיות:
להפוך את הדרך הבטוחה לדרך הקלה (לא להפך)
לצמצם אזהרות מיותרות, כדי שהחשובות יבלטו
לקבוע “כלל 10 שניות” לפני פעולה מסוכנת: עצירה קצרה, בדיקה קצרה
לאפשר אימות בקשות של סמכות בלי “לא נעים” (נוהל קצר וברור)
לבנות תרבות שבה דיווח מהיר הוא כבוד — לא בושה
סיום: טעות היא לא גזר דין
אנשים חכמים לא נופלים בגלל שהם חכמים פחות.
הם נופלים כי הם אנושיים — ועובדים בסביבה שמכריחה מהירות.
בפרק הבא: ההבדל בין “אני יודע אבטחה” לבין “אני מתנהג בצורה בטוחה” — ולמה ידע לבדו כמעט אף פעם לא מספיק.
לפרק הבא:
אבטחת מידע התנהגותית פרק 4
להקדמה ורשימת הפרקים:
תגובות