אבטחת מידע התנהגותית – פרק 6

הטיות קוגניטיביות שמובילות לפריצות

גם אחרי שמבינים מהי אבטחת מידע התנהגותית, וגם אחרי שמבינים כמה עייפות משפיעה — נשאר גורם נוסף, עמוק ושקט: ההטיות הקוגניטיביות.

הטיה קוגניטיבית היא “קיצור דרך” שהמוח עושה כדי להחליט מהר. זה לא פגם אופי, וזה לא חוסר שכל. זה מנגנון טבעי.

הבעיה היא שבעולם הדיגיטלי, קיצורי הדרך האלו גורמים לנו לפעמים לבחור בדיוק את הפעולה הלא נכונה — ואז הפריצה לא נראית כמו פריצה. היא נראית כמו “עוד מייל”, “עוד הודעה”, “עוד אישור”.

למה ההטיות האלה מסוכנות במיוחד באבטחת מידע

אבטחת מידע כמעט תמיד דורשת מאיתנו לעשות משהו לא טבעי:

• לעצור במקום לזרום

• לחשוד במקום לסמוך

• לבדוק פרטים קטנים במקום “להבין את הכוונה”

• לשאול שאלות במקום “לא להפריע”

והמוח, מטבעו, מעדיף:

• מהיר על זהיר

• מוכר על חדש

• פשוט על מורכב

• סיפור הגיוני על בדיקה קרה של עובדות

ההטיות המרכזיות שמכשילות גם אנשים חכמים

1) הטיית הדחיפות

כשמשהו מסומן כ“דחוף”, המוח נכנס למצב ביצוע: לסיים, להספיק, להתקדם.

במצב הזה אנחנו נוטים לדלג על בדיקות בסיסיות.

איך מזהים? אם הטון הוא “עכשיו או אסון” — זו נורה אדומה.

איך מתגוננים? כלל קצר: דחוף = עצירה של 10 שניות + אימות בערוץ נוסף.

2) הטיית הסמכות

כשהבקשה מגיעה ממישהו שנתפס כבכיר/אחראי/מקצועי, אנחנו נוטים לציית מהר יותר ולשאול פחות שאלות.

למה זה עובד? כי רוב החיים בנויים על אמון במבנה סמכות.

איך מתגוננים? מגדירים מראש נוהל: בקשות חריגות מאמתים תמיד — גם אם הן “מכובדות”.

3) הטיית המוכר

אם משהו נראה מוכר (לוגו, שפה, סגנון, פורמט), המוח מסמן אותו כבטוח.

הסכנה: “נראה אמיתי” אינו “אמיתי”.

איך מתגוננים? לא מסתמכים על תחושה. בודקים עובדה אחת קטנה: למשל כתובת שולח/כתובת אתר/דרך ההגעה של הקובץ.

4) הטיית הנחמדות וההימנעות מאי־נעימות

אנשים מעדיפים לעזור, להיות שירותיים, לא “להקשות”, לא להיראות חשדניים.

הסכנה: לפעמים “לא נעים” עולה ביוקר.

איך מתגוננים? משפט מפתח פנימי: אימות הוא נימוס חדש. אפשר להיות אדיב ועדיין לבדוק.

5) הטיית ההרגל והאוטומט

פעולות שחוזרות כל יום הופכות למכאניות: פתיחת מיילים, הורדות, אישורים, כניסות.

הסכנה: כשהכול נראה אותו דבר — גם משהו חריג נכנס במסלול של “אישור אוטומטי”.

איך מתגוננים? מציבים “תחנות עצירה” רק לפני פעולות מסוכנות (קבצים לא צפויים / בקשות הרשאה / שינוי סיסמה / העברת מידע).

6) הטיית האופטימיות

“לי זה לא יקרה” — מחשבה טבעית שנותנת שקט נפשי, אבל מחלישה זהירות.

הסכנה: מי שמרגיש חסין — בודק פחות.

איך מתגוננים? לא צריך פחד. צריך כלל: אני בודק לא כי אני חלש, אלא כי זה סטנדרט.

7) הטיית האישוש

אנחנו נוטים לחפש סימנים שמחזקים את מה שכבר חשבנו, ולהתעלם מסימנים שמפריעים.

דוגמה פשוטה: אם כבר “החלטתי” שזה מייל פנימי — כל פרט קטן יתפרש כעוד הוכחה, גם אם יש סימן אחד שממש לא מתאים.

איך מתגוננים? לשאול בכוונה: מה הדבר היחיד שהיה גורם לי לחשוד? ולחפש אותו.

8) הטיית “כולם עושים”

אם כולם בסביבה עובדים בצורה מסוימת, אנחנו מניחים שזה תקין.

הסכנה: נורמה לא תמיד שווה בטיחות.

איך מתגוננים? ארגון חכם מייצר “נורמה בטוחה” ומקל עליה, כדי שהיא תהיה הדרך הטבעית.

כלל אחד שמסכם את כל הפרק

ככל שמצב גורם לנו:

• למהר

• לציית

• “לא להפריע”

• לסמוך על תחושה

• לפעול על אוטומט

כך גדל הסיכוי שאנחנו לא “נפרצים” — אלא משתתפים בפריצה בלי לשים לב.

סיום

הטיות קוגניטיביות הן חלק מהאדם. אי אפשר למחוק אותן.

אבל אפשר להכיר אותן, ולבנות סביבן הרגלים ונוהלים קצרים שמחזירים אותנו לחשיבה צלולה ברגעים הנכונים.

בפרק הבא (פרק 7 במסלול): אשליית השליטה והביטחון העצמי המופרז — למה דווקא מי ש“מבין בזה” עלול להיפגע יותר, ואיך מאזנים ביטחון עם זהירות.