אחת הדאגות העיקריות של חברות הייתה הגנה מפני איומים דיגיטליים. ואפילו אימוץ סדרה של אמצעים, יישומים ופתרונות חדשניים למניעת חדירות וגניבת נתונים, הנושא תלוי לא רק בטכנולוגיות מתקדמות אלא גם בהתנהגות אנושית. כך לדברי מומחה אבטחת הסייבר לאונרדו באיארדי מחברת dataRain, המציין כי 74% מהתקפות הסייבר נגרמות על ידי גורמים אנושיים. המנהל מדגיש כיצד הכשרה נאותה של עובדים יכולה להיות חיונית לאסטרטגיית אבטחה יעילה.
בייארדי רואה באדם את החוליה החלשה ביותר בכל הנוגע להתמודדות עם סיכוני סייבר בסביבה ארגונית. "כל אחד בחברה צריך להבין שהוא אחראי לאבטחת מידע, וזה מושג רק באמצעות הכשרה, אחריות ותקשורת בין מחלקות. כולם צריכים להיות מודעים לסיכונים אליהם הוא חשוף."
חוות דעתו של המומחה משלימה את מה שנמצא בדוח גורמי האנוש של Proofpoint לשנת 2023, אשר מדגיש את התפקיד המשמעותי של גורמי האנוש בפגיעויות אבטחה. המחקר מגלה עלייה פי שנים עשר בהיקף מתקפות ההנדסה החברתית דרך מכשירים ניידים, סוג של התקפה שמתחילה בהודעות לכאורה לא מזיקות, ויוצרת קשרים. זה קורה, לדברי באיארדי, מכיוון שניתן לתמרן את ההתנהגות האנושית. "כפי שאמר ההאקר האגדי קווין מיטניק, המוח האנושי הוא הנכס הקל ביותר לפריצה. אחרי הכל, לבני אדם יש רובד רגשי הרגיש מאוד להשפעה חיצונית, שיכולה להוביל לפעולות פזיזות כמו לחיצה על קישורים זדוניים או שיתוף מידע רגיש", הוא אומר.
ערכות פישינג שנועדו לעקוף אימות רב-גורמי (MFA), והתקפות מבוססות ענן, שבהן כ-94% מהמשתמשים מותקפים מדי חודש, הן גם בין האיומים שתועדו בתדירות הגבוהה ביותר בדוח.
הטעויות הנפוצות ביותר
בין הטעויות הנפוצות ביותר המובילות לפריצות אבטחה, מונה באיארדי: אי אימות האותנטיות של מיילים; השארת מחשבים לא נעולים; שימוש ברשתות Wi-Fi ציבוריות כדי לגשת למידע ארגוני; ועיכוב עדכוני תוכנה.
"התנהגויות אלו עלולות לפתוח דלתות לפריצות ולפגיעה בנתונים", הוא מסביר. כדי להימנע מלהיכנס להונאות, המומחה ממליץ להימנע מלחיצה על קישורים חשודים. לכן הוא מציע לבדוק את השולח, את דומיין הדוא"ל ואת דחיפות ההודעה. "אם עדיין נותרו ספקות, עצה טובה היא להשאיר את מצביע העכבר מעל הקישור מבלי ללחוץ, מה שיאפשר לכם לצפות בכתובת האתר המלאה. אם זה נראה חשוד, זה כנראה זדוני", הוא מייעץ.
פישינג
פישינג הוא אחד מאיומי הסייבר הגדולים ביותר, המשתמש בדוא"ל ארגוני כווקטור תקיפה. כדי להתגונן מפניו, באיארדי מציע גישה רב-שכבתית: מודעות והכשרה לעובדים, בנוסף לאמצעים טכניים חזקים.
שמירה על עדכניות תוכנות ומערכות הפעלה חיונית להפחתת פגיעויות. "פגיעויות חדשות צצות מדי יום. הדרך הפשוטה ביותר להפחית סיכונים היא על ידי עדכון מערכות. בסביבות קריטיות למשימה, שבהן עדכונים מתמידים אינם אפשריים, נדרשת אסטרטגיה חזקה יותר."
הוא מספק דוגמה מהעולם האמיתי כיצד הכשרה יעילה מסייעת במניעת התקפות. "לאחר יישום סימולציות פישינג והכשרה, ראינו עלייה משמעותית בדיווחים על ניסיונות פישינג מצד עובדים, מה שמדגים חוש ביקורתי מעודן יותר לנוכח איומים."
כדי למדוד את יעילות ההכשרה, בארדי מציע להגדיר היקף ברור ולבצע סימולציות תקופתיות עם מדדים מוגדרים מראש. "יש צורך למדוד את כמות ואיכות תגובות העובדים לאיומים פוטנציאליים."
המנהל מצטט דו"ח של חברת Knowbe4, המציעה חינוך לסייבר, המראה כי ברזיל פיגרה אחרי מדינות כמו קולומביה, צ'ילה, אקוודור ופרו. הסקר משנת 2024 מדגיש את סוגיית הבנת החשיבות של אבטחת סייבר בקרב העובדים, אך לא באמת מבינים כיצד איומים פועלים ומתפקדים. לכן, הוא מדגיש את חשיבותה של תרבות ארגונית בקידום שיטות עבודה מאובטחות: "ללא תוכנית תרבות אבטחת סייבר מיושמת היטב, אי אפשר למדוד את רמת הבגרות שיש לחברה בהיבט זה".
המומחה אחראי גם על הובלת אספקת הצעות אבטחת סייבר המקודמות על ידי dataRain, המספקת פתרונות חזקים ומהירים ליישום כגון אבטחת דוא"ל, הערכת תאימות ופגיעויות, אבטחת נקודות קצה וממשל ענן. "אבטחת סייבר היא אתגר מתמשך, ואנשים הם חיוניים להבטחת הגנת המידע ושלמות המערכות. השקעה בהכשרה ובמודעות היא השקעה באבטחת הארגון כולו. וכל האספקות שלנו מלוות בהעברת ידע, המאפשרת לנו להגביר את מודעות הלקוח לאיומים", הוא מסכם.
