נשים באבטחת סייבר, ניהול סיכונים וחשיבות התקשורת: ראיון עם ג'יין פרנקלנד

כיצד איומי אבטחת סייבר משפיעים על עסקים

במהלך 2017 הרגשתי כאילו יש אסון אבטחת סייבר חדש כמעט בכל יום. אבל איזה אירוע גרם לשיבוש הגדול ביותר בשנה שעברה והאם למדנו משהו כתוצאה מכך?

"זו שאלה קשה. למרות שסוכנות דיווח האשראי הצרכני האמריקנית Equifax ספגה את אחת ההתקפות הקשות ביותר בשנים האחרונות עם כמעט 143 מיליון אזרחי ארצות הברית שנפגעו, האסונות הגדולים ביותר עבורי היו WannaCry ו NotPetya.

"WannaCry הייתה שונה מרוב התקפות כופר אחרות. בעזרת EternalBlue, הוא השיג גישה מרחוק ותוכנות כופר הצליחו להתפשט על פני רשתות במהירות הבזק. WannaCry הדביקה יותר מ-300,000 מחשבים ברחבי העולם והשתמשה בשתי דרכים שונות לניצול חולשות - שתיהן מהדלפת NSA על ידי Shadow Brokers. גם ההשפעה הכספית שלו הייתה עצומה, עם עלות משוערת של 4 מיליארד דולר בהפסדים.

"NotPetya הראתה תחכום רב יותר מבחינת מורכבות ההתקפה והרזולוציה שלה. זה היה גם סוג של תוכנות זדוניות מגב. זה חיקה את המראה של תוכנת כופר, אבל הכוונה האמיתית שלה הייתה הרס".

ואני מניח שמה שהראה לנו הוא שכל ארגון בכל גודל יכול להיות יעד לפשעי סייבר. האם אתה חושב שיש מספיק חינוך זמין לארגונים כדי לעזור להגן על עצמם ו לנהל את אבטחת המידע והסייבר שלהם?
"עידו. יש המון מידע זמין. בעיות מתעוררות בגלל פתרונות כדי להפחית את הסיכון משתנים מחברה לחברה. ארגונים רבים יודעים שהטכנולוגיה תעזור להם אבל שזה לא כדור כסף. הם מודע שהם מתמודדים עם איומים מהדרג הבא, רב-גוני, שהם גם מוכרים וגם לא ידועים.

"הם יודעים שככל שהטכנולוגיה תהפוך לחכמה יותר, הענן והאינטרנט של הדברים (IoT) יהיו יותר מחוברים זה לזה. הם יודעים שהם גם מתעדכנים, שכן עתידם נשען על טכנולוגיות העבר - מערכות הפעלה, שפות מחשוב, סביבות תוכנה, שהן פגיעות ולעתים קרובות אינן נתמכות.

"זו הסיבה שהם רוצים להעריך מחדש ולהגדיר מחדש את ההבנה שלהם לגבי איומים, סיכונים ופתרונות בנוף המשתנה ללא הרף. זו הסיבה שהם שואלים: לאילו איומים עליהם להתכונן? באילו סיכונים מדובר? אילו תהליכים ונהלים עליהם ליישם? אילו סוגי אנשים הם צריכים כדי לעזור להם לעשות זאת?

"זו גם הסיבה שאנשי אבטחת סייבר צריכים להיות מסוגלים לענות על כל השאלות הללו ולדעת לזהות התקפות, להגיב אליהן ולהתאושש מהן במהירות ובמינימום השפעה על העסק.

"זו הסיבה שהם צריכים להיות מסוגלים לחנך את מחזיקי העניין המרכזיים בארגונים שלהם ולעזור להם להבין כיצד אבטחה משפיעה על תפקידיו של כל אדם, ולאחר מכן ליישם את הפתרונות - בין אם הם אנשים, תהליכים וטכנולוגיות. הם צריכים להיות מסוגלים לא רק להגן על הארגון אלא לאפשר אותו ולשרת אותו במלואו".

אתגרי פרטיות נתונים עבור ארגונים

אז בתפקידך כיועץ CISO, מהם האתגרים הגדולים ביותר שאתה שומע עליהם את הארגון מדבר ביחס לניהול אבטחת המידע שלהם עמידה בתקנות כמו GDPR?
"האתגרים הגדולים ביותר שאני שומע עכשיו הם יותר קשורים למשאבים, במיוחד העסקת האנשים הנכונים כדי לאבטח את הסביבה או להתמודד עם רגולציה חדשה כמו GDPR.

"אבטחה היא עסק של אנשים ועם מחסור בכישרון זמין, ארגונים צריכים להיכנס למלחמות שכר כדי לפתות אנשים, או לקבל שהם צריכים לפתח כישרונות פנימיים, מה שייקח זמן ועלול לחשוף אותם ל סיכון, גם אם לטווח קצר".
למה אתה חושב שיש כל כך הרבה בלבול סביב GDPR?
"ה-GDPR הוא הטלטלה הגדולה ביותר של חוקי הגנת המידע מזה למעלה מ-20 שנה.

"למרות ש GDPR לא אמור להוות אתגר גדול עבור ארגונים בבריטניה, מכיוון שכולם צריכים לציית ל-DPA ולשקול היטב ולהגן על הנתונים שלהם, אנחנו יודעים שכן. אנחנו גם יודעים שארגונים רבים ייקחו הגנה על נתונים ברצינות בפעם הראשונה אי פעם. מכיוון שהוא חל על כל הארגונים, לא משנה מה המחזור או מספר העובדים שלהם, האתגר הגדול ביותר עבורם יהיה להבין מה הארגון שלהם צריך לעשות כדי לעמוד בדרישות.

"שוב זה יסתכם בתיאבון שלהם לסיכון. בעוד ה קנסות בגין הפרת ה-GDPR מניע הרבה פעולה, יש סיכון רציני שעקרונות המפתח של שקיפות ואחריות יאבדו ברעש".

תקשורת וניהול סיכונים

אז דיברנו על סיכון ותקשורת. ה-NCSC פרסם הנחיות לניהול סיכונים לאבטחת סייבר. האם אתה חושב שזה מרחיק לכת בסיוע לארגונים מיקרו וקטנים, בהתחשב בחששות שאתה שומע?

"לא. למרות שזו התחלה טובה, הם עשו שגיאת תקשורת בסיסית. הם לא שמו את עצמם בנעלי הארגון הזה וראו דברים דרך העדשה שלהם.

"באתר שלהם יש יותר מדי מידע לדפדף בו וקישורים ללחוץ עליהם. זה עשיר בז'רגון וניתן רק בפורמט אחד, טקסט.

"מכיוון שאנשים רבים לומדים אחרת, עדיף היה אם הם היו מייצרים ספרים אלקטרוניים, אודיו וסרטוני וידאו עבור חברות קטנות ובינוניות וארגונים מיקרו".

בספר שלך, IN Security, אתה מצביע על כך שלנשים יש יכולת טבעית לנהל סיכון, במיוחד ביחס לסייבר. ספר לנו קצת יותר על התיאוריה שלך מאחורי זה.

"נשים שונות מהותית מגברים. הן גרסאות שונות של אותו מין. בעוד שמחקרים קודמים הצביעו על כך שמוחות של גברים ונשים מחוברים בצורה שונה, מחקר חדש מצביע על כך שכמעט לכל אחד יש מגוון ייחודי של מבנים זכריים ונשים. [2]

"עם זאת, כשזה מגיע להורמונים, נשים וגברים שונים, מכיוון ששני המינים מייצרים את אותם ההורמונים אך ברמות שונות. המניע ההורמונלי המין העיקרי לנשים הוא אסטרוגן, וזה מעודד קשרים, שיתוף פעולה, שיתוף פעולה ומערכות יחסים. זה גם תומך בחלק של המוח הכולל מיומנויות חברתיות ותצפיות, בנוסף זה עוזר לנשים לקבוע כיצד הן תופסות סיכון ולהימנע מקונפליקט.

"סרוטונין הוא ההורמון שאחראי לייצוב מצבי הרוח ולוויסות החרדה. לפי חוקרים נשים מייצרות 52% פחות סרוטונין מגברים, מה שעשוי להעיד מדוע יש להן יותר נטייה לדאגה מאשר לגברים. לאחר מכן, יש טסטוסטרון, הורמון המין העיקרי לגברים, הקשור לתוקפנות, אימפולסיביות, חד-דעת, עצמאות, חוסר שיתוף פעולה, כוח, ניצחון ולקיחת סיכונים.

"לאחרון יש כמובן משמעות גדולה עבורנו באבטחת סייבר. אינספור מחקרים הראו שנשים וגברים מודדים סיכון בצורה שונה. נשים טובות בהרבה בהערכת סיכויים מאשר גברים, ולעתים קרובות זה מתבטא כהימנעות מוגברת מסיכון. מכיוון שנשים בדרך כלל יותר שונאות סיכונים, החקירה המפורטת הטבעית שלהן גורמת להן להיות מותאמות יותר להתנהגויות דפוסיות משתנות - מיומנות הדרושה לזיהוי נכון של גורמי איום והגנה על סביבות.

"כאשר חברת CLTre הנורבגית וגרגור פטריק, דוקטורט, פרופסור חבר לאינפורמטיקה חברתית ויו"ר המרכז למתודולוגיה ואינפורמטיקה בפקולטה למדעי החברה, אוניברסיטת לובליאנה (סלובניה) חקרה יותר מ-10,000 עובדים בחמישה תחומים בשתי מדינות בתוך המדינות הנורדיות, הם מצאו שנשים מצייתות לכללים ומאמצות בקרות ארגוניות וטכנולוגיה יותר מגברים. בנוסף, בעוד גברים דירגו את הידע שלהם ו מודעות לאבטחת IT, שליטה והתנהגויות הרבה יותר מאשר נשים, גברים דיווחו על רמות גבוהות יותר של התנהגויות מסוכנות, הן מצד עצמם והן מצד עמיתיהם. [4]

"ממצאים אלה מתואמים עם דוחות אחרים המפרטים הבדלים בין המינים בכל הקשור לציות ואמון באינטרנט. כאשר HMA, ספקית שירותי רשת וירטואלית פרטית, הזמינה מחקר על משתמשי אינטרנט בארה"ב, הם גילו שיותר נשים נחשבות למה ששיתפו באינטרנט יותר מאשר גברים; לא היה סביר יותר לתת מידע אישי כגון תאריך הלידה שלהם, כתובת בעולם האמיתי או מספר תעודת זהות בפרופיל מדיה חברתית מאשר גברים; ולא היה סביר יותר להציע מידע זה בזמן צ'אט מקוון עם חבר מאשר גברים.

"הם גם גילו שגברים דיווחו שהחשבונות שלהם נפגעו או פרצו, או שהתקינו בטעות תוכנות ריגול, תוכנות זדוניות או וירוס לעתים קרובות יותר מנשים. עם זאת, הם גילו שלאחר שנשים חוו בעיית אבטחה, נשים נוטות יותר מגברים לבצע שינויים מתמשכים בהתנהגותן המקוונת כדי להגן על עצמן מפני בעיות עתידיות. גברים, לעומת זאת, נטו ליפול לאחור על אמצעי הגנה טכניים [5] .

"בנוסף לתכונות הללו, נשים ידועות גם הן כאינטואיטיביות ביותר. גברים, לעומת זאת, נוטים להיות יותר פרגמטיים בחשיבה שלהם. לא משנה אם אתה מאמין שזה בגלל שנשים נמנעו ממידע במשך מאות שנים והיו צריכים לפתח מיומנויות אינטואיטיביות. מה שחשוב הוא היכולת שלהם לחשוב אחרת, כי כאשר שני קבוצות של אנשים תוקפים בעיה, הם מסוגלים לפתור אותה באופן ייחודי והרבה יותר מהר. מכיוון שלא כל סיכון זהה, גם הדיאלוג לגבי איך לגשת אליו עשיר יותר.

"נשים ציונים גבוהים בכל הנוגע לאינטליגנציה רגשית וחברתית, שמביאה ליתרונות רבים, כולל היכולת להישאר רגועה בתקופות של סערה - תכונה שנדרשת כאשר מתרחשות הפרות ואירועים גדולים.[6]

"יתר על כן, בעולם שמעריך מהירות וזריזות, היכולת להשתמש בחשיבה אינטואיטיבית ולקבל החלטות טובות במהירות מבלי לקבל את כל המידע הופכת להיות הכרחית יותר."

נשים באבטחת סייבר

בספר שלך, גם הצעת הרבה עצות מעשיות לנשים שרוצות להיכנס לתעשיית אבטחת הסייבר. אם הייתה רק עצה אחת שתוכל להציע, מה היא הייתה?
"זה יהיה לבנות את הרשת שלהם באבטחת סייבר. הוא מציע כל כך הרבה יתרונות מקבלת משרות ותמיכה ללימוד דרכי חשיבה חדשות. זה ידוע שלנשים יש קשרים חלשים יותר מגברים לעמיתים ולקבוצות, הן בעבודה והן מחוצה לה. למעשה, על פי מחקר של Lean.in org ו-McKinsey & Co., 10% מהמנהלות הבכירות מודים שיש להם ארבע מנהלות או יותר שתומכות בהן כדי לקדם את הקריירה שלהן לעומת 17% מהגברים. בנוסף, למעלה מ-50% מהנשים הבכירות הללו אמרו שהן מאמינות שחסות ברמה גבוהה יותר חיונית לפיתוח קריירה.

"קשרים חלשים הנובעים מנטוורקינג קשורים בדרך כלל למציאת עבודה. עד שהסוציולוג מארק גרנווטר פרסם את מחקרו, רוב האנשים האמינו שעבודות נמצאו באמצעות קשרים חזקים - קשרים אישיים עם חברים, משפחה או עמיתים לעבודה. מה ש-Granovetter גילה היה שהמקור העיקרי ללידים לעבודה הגיע מקשרים חלשים - מכרים רחוקים או חברים של חבר.

"מסתבר שאנשים ממעטים להפנות את הקשרים הקרובים שלהם לעבודות כי הם חוששים שזה ישתקף עליהם רע אם זה לא יצליח, או כי יש סיכוי גבוה יותר שהם ידעו על הפגמים של הקשרים הקרובים שלהם. חולשות, שלדעתם עלולות להפריע להיות עובד טוב.

"אבל, זה לא כל מה שמארק גילה. בכל הנוגע למידע, רשת מכרים רופפת ומגוונת אפשרה לאנשים להתחבר למקורות מידע רחבים הרבה יותר ולהרחיב את החשיבה שלהם. על ידי רשת של אנשי קשר דומים הפועלים באותם מעגלים כמוך, אתה רק לעתים רחוקות לומד משהו חדש. עם זאת, כאשר אתה יכול לגשת לקהילה רחבה יותר, אתה יכול לגשת לסוגים שונים של חשיבה ולפתור אתגרים בביטחון. "
מה כולנו יכולים לעשות כדי לעזור להשיג כוח עבודה מגוון יותר בתחום הסייבר וה-infosec?
"זו שאלה ענקית וכמו רוב הדברים, אין כדור כסף. הסביבות מגוונות ומורכבות. לכן הפתרונות שונים. מה שנכון לארגון אחד לא יהיה נכון לארגון אחר. התרבות משחקת בגדול תפקיד וארגונים צריך לבדוק מה הם עושים כדי למשוך, להעסיק ולשמור על כוח עבודה מגוון יותר של infosec. הם צריכים למדוד את האפקטיביות של הפעולות שהם נוקטים ולקבל את זה שהם לא יצליחו כל הזמן. גישה זו עם חשיבה יזמית תהיה חיונית.

"בכל פעם שאני מדבר על זה בכנסים, אני בדרך כלל מפרק את זה לחמישה תחומים. הראשון הוא חינוך. לדברי ריית'און וברית אבטחת הסייבר הלאומית, כאשר סקרו את תחומי העניין וההיערכות לקריירה של דור המילניום ב-12 מדינות, הם גילו כי 62% מהגברים ו-75% מהנשים אמרו ששום שיעורי מחשבים בתיכון או תיכון לא הציעו את הכישורים שיעזרו להם להמשיך בקריירה באבטחת סייבר. עלינו לשנות זאת ולשפר את הדרך בה אנו מחנכים ילדים ומבוגרים צעירים לגבי אבטחת סייבר.

"בכל האוניברסיטאות ברחבי העולם, מלבד כמה, לא מלמדים את הסטודנטים לתואר ראשון שבתחום אבטחת סייבר, אתה צריך להבין אנשים, עסקים, עקרונות ומושגים, כמו גם טכנולוגיה, או שיטות נתונות לעשות זאת. בנוסף, הם לא מוכנים לעבודת צוות. עם זאת, הם יידרשו ליצור קשר ולשתף פעולה עם מומחים בתחומים רבים, כמו ביטחון פיזי, עסקים, תקנות, שיווק, פיננסים וכן הלאה. ולמרבה הפלא, רבים אינם מודעים לכך שהם יצטרכו להתעדכן בהתקדמות הן בצד ההתקפי והן בצד ההגנתי, מכיוון שהם צפויים לספק עצות לגבי אילו טכנולוגיות אבטחת סייבר יעמדו בדרישה עסקית מסוימת, וכן להבין. כיצד הם משתלבים בעמדה הכוללת של אבטחת סייבר של ארגון.

"בוגרי אבטחת סייבר יוצאים מהאוניברסיטה חכמים אך לא מוכנים לעבודה, ומנהלי גיוס רבים מעבירים את חוסר שביעות הרצון שלהם ממערכת החינוך הנוכחית, ואת ההשלכות במונחים של הגברת הרגישות להתקפות סייבר. מכיוון שאבטחת סייבר היא תחום דינמי, עם איומים והגנות חדשים שמופיעים מדי יום, הם צודקים להתלונן, כי יש צורך אמיתי ב- מוסמך כוח עבודה עם ידע מעמיק כיצד ליישם, יחד עם ניסיון ומיומנויות מעשיות.

"כשזה מגיע לצירי קריירה ודרכים לאבטחת סייבר מקריירות אחרות, אנחנו חייבים לטפל בזה כי יש צורך אמיתי. עם זאת, אין כמעט מידע על איך בדיוק לעשות זאת.

"התחום השני הוא השיווק. היום עדיין קיימת תפיסה שגויה שאבטחת סייבר היא תחום טכני בלבד. עם זאת, האמת בעניין היא שאבטחת סייבר מעולם לא הייתה דיסציפלינה עצמאית. זה נולד מ-IT, הוא מומחיות בתחום ה-IT, והתייחסות אליו אחרת עשויה להתגלות כטעות יקרה עבור אבטחת סייבר.

"זה מביא אותי לתחום השלישי, המקצועיות, שכן רבים בתעשייה רוצים להתמקצע, כמו חשבונאות, משפטים, רפואה והנדסה, עם אמנות, גופים רגולטוריים ותוכניות חינוך פורמליות. אחרים רוצים שזה יישאר מקצועי. מי שמעדיף מסלול מקצועי יותר מציין כמה דברים. הראשון הוא שאלו מהכוחות המזוינים והמשטרה, המהווים אחוז גדול מכוח העבודה שלנו, לא הגיעו מרקע IT. עם זאת, הם לקחו את העקרונות הבסיסיים של הפיזי אבטחה או מודיעין והחיל אותם על סייבר עם הצלחה. השני הוא שיש לראות באבטחת סייבר קריירה שאליה שואפים העוסקים בתחום ה-IT, ולא מקצוע עם תפקידים ברמת התחלה. הם טוענים שכל התפקידים באבטחת סייבר צריכים להתקבל עם ניסיון משמעותי ב-IT ושאין צורך בתואר ספציפי לאבטחת סייבר. במקום זאת, מנהלי גיוס צריכים להפוך לצוותי כישרונות מעולים, ולחפש קודם כל בארגונים שלהם אנשי מקצוע מיומנים, שלמרות שאין להם ניסיון מוצהר באבטחת סייבר, יכולים להסתגל במהירות לתפקידי אבטחת סייבר. אנשי מקצוע יכולים, לפיכך, להיות בתוך ה-IT או מחוצה לו, כגון משאבי אנוש, משפטים, שירותי לקוחות, עוזרים אישיים, או אפילו מכירות, יחסי ציבור או שיווק.

"התחום הרביעי הוא גיוס וגיוס. זה יכול להשתפר מאוד באמצעות תהליכים וטכנולוגיה רשמיים. הודות להתקדמות בתחום האחרון, נתונים יכולים לעזור גם ליידע ולהפחית הטיה. כלים, כמו Textio, יכולים לנתח את השפה המשמשת בתיאורי התפקיד ולהבטיח שהיא ניטרלית. אין ספק, כשמדובר בנשים, השפה היא לעתים קרובות ללא כוונה, מקודדת מגדרית ומשחקת למגוון של סטריאוטיפים, אידיאולוגיות ומערכות אמונה המנסות בחשאי להצדיק את הסטטוס קוו. כאשר תיאורי התפקיד אינם נבדקים עבור הטיה מגדרית הם יכולים לדחות הרבה כישרונות נשיים מלהגיש מועמדות.

"לבסוף, התחום החמישי הוא איכות הסביבה. מהדיאלוגים שניהלתי עם נשים בתחום, אני יודע שהסיבות שהן מציינות למעבר משרות הן חוסר התאמה לתרבות הארגון שלהן, שחיקה, יחס לא הוגן, תחושת עקיפה לקידום או בגלל משפחה. תרבויות ארגוניות יכולות להוות סביבות עוינות עבור נשים בתחום אבטחת הסייבר, שכן חלקן עדיין בנויות סביב קשר גברי ומקלות על ידי החפצה מינית של נשים.

"שיפורים בתרבות יכולים לעשות הבדל עצום לאופן שבו כל מקצוען אבטחת סייבר פועל במקום העבודה, לא רק נשים. אחת שיש לטפל בה באופן יזום היא תרבות העבודה הקשה והקשוחה - אותה תחרות אכזרית ומאצ'ואיסטית להגיע מוקדם, להישאר מאוחר, לעבוד קשה יותר ולחגוג, שנשארת נפוצה בקרב ארגוני אבטחת סייבר וחברות ייעוץ רבות, ובכל זאת הוכחה כמגדילה את שיעורי התחלופה והיעדרויות, וחונקים ביצועים ורווחים.

"הכלל המיושן והבלתי נאמר עבור מנהלים, או כל מי ששואף להיות כזה, הוא שאם אתה עוזב לפני זמן מסוים, אתה לא מחויב לעבודה שלך, וקידום לא יהיה סביר. הלחץ בולט במיוחד אצל נשים, במיוחד אם הן אמהות או מטפלות. בסביבות כגון אלה, נשים רבות מקבלות את המציאות שאם הן לא יעמדו בסטנדרטים הצפויים, הקריירה שלהן תיחנק, או יפוצה יתר על המידה על ידי עבודה קשה יותר, הישארות מאוחרת ואימוץ דמות גברית יותר. הם ינסו להשתלב, או אחרת, הם יסתירו את הסידורים המשפחתיים שלהם.

"אם למישהו יש תיאבון ללמוד עוד, הייתי מעודד אותו לקרוא את הספר שלי, IN Security. זה זמין באמזון בכריכה רכה ובפורמט קינדל. הם יכולים לפנות אלי גם לשיחות, הדרכה, אימון וייעוץ".
כדי לגלות על ג'יין ועל העבודה שהיא עושה עם יזמים, בקר באתר שלה. ג'יין עובדת גם עם מנהיגים ומתרגלים ותוכלו לברר על כך בכתובת בירת אבטחת סייבר.

המידע בבלוג זה מיועד להכוונה כללית ואינו מהווה ייעוץ משפטי.

הפניות של ג'יין:

[1]. https://www.livescience.com/41619-male-female-brains-wired-differently.html

[2]. https://www.webmd.com/brain/features/how-male-female-brains-differ#1

[3]. https://www.sciencemag.org/news/2017/04/study-finds-significant-differences-brains-men-and-women

[4]. https://get.clt.re/report/

[5]. https://www.forbes.com/sites/kevinmurnane/2016/04/11/how-men-and-women-differ-in-their-approach-to-online-privacy-and-security/#4f65099c7d88

[6]. https://www.kornferry.com/press/new-research-shows-women-are-better-at-using-soft-skills-crucial-for-effective-leadership/

[7]. https://www.cpni.gov.uk/system/files/documents/63/29/insider-data-collection-study-report-of-main-findings.pdf
[/ Et_pb_text] [/ et_pb_column] [/ et_pb_row] [/ et_pb_section]