שים לב לפער: סגירת התהום המפהקת בין מחשבות מנהלים ומעשים

מאת פיל מונקסטר • 30 נובמבר 2023

בני אדם לא תמיד אומרים למה הם מתכוונים. וגם אם כן, המעשים שלהם לא תמיד תואמים את מה שהם אומרים. זו בעיה במיוחד עבור מנהלים בכירים בהקשר של מדיניות אבטחת סייבר. כפי שמגלה מחקר חדש, קיים "פער התנהלות" בצמרת של ארגונים רבים, אשר מאיים לערער את תרבות האבטחה-by-design ולחשוף את החברה לסיכוני סייבר מוגזמים.

ארגונים צריכים לבנות תרבות שלא תסבול "חריגות ביצועית". אבל זה ייקח שינוי בהתנהגות מה-C-suite וייתכן שגם ממנהיגות אבטחת IT.

כמה רע זה?

השמיים דו"ח איבנטי הורכב מראיונות עם למעלה מ-6500 מנהיגים בכירים, אנשי אבטחת סייבר ועובדי משרד בארגונים גלובליים. זה חושף פער בולט בין מה שמנהיגים עסקיים אומרים למה שהם עושים. מצד אחד, רובם אומרים ש:

• הם תומכים לפחות במידה מתונה באבטחת סייבר ארגונית, או השקיעו בה (96%)
• הם מספקים הכשרת אבטחה חובה (78%)
• הם מוכנים לזהות ולדווח על איומים כמו תוכנות זדוניות ודיוג (88%)

עם זאת, מצד שני, מרואיינים רבים עוסקים בהתנהגות מסוכנת יתר על המידה, כגון:

• בקשה לעקוף אמצעי אבטחה אחד או יותר בשנה האחרונה (49%)
• שימוש בסיסמאות שקל לזכור (77%)
• לחיצה על קישורי פישינג (35%)
• שימוש בסיסמאות ברירת מחדל עבור יישומי עבודה (24%)

חלק מהממצאים הללו בולטים עוד יותר כאשר הם עומדים מול התנהגותם של עובדים רגילים. לדוגמה, רק 14% אומרים שהם משתמשים בסיסמאות ברירת מחדל. למנהלים יש סיכוי גבוה פי שלושה לשתף מכשירי עבודה עם משתמשים לא מורשים, כך נטען בדו"ח.

נראה שגם למנהיגים בכירים יש מערכת יחסים מטרידה עם אבטחת סייבר. כאשר הם נתקלים בבעיות אבטחה המשפיעות עליהם באופן אישי, הם:

• סבירות גבוהה פי שניים מעובדים רגילים לומר שאינטראקציות העבר שלהם עם אבטחה היו "מסורבלות"
• סבירות גבוהה פי ארבעה להשתמש בתמיכה טכנית חיצונית שלא מאושרת
• 33% יותר סיכוי "לא להרגיש בטוח" לדווח על טעויות אבטחה כמו לחיצה על קישור דיוג

"יכול להיות ניתוק או פער תקשורת בין מנהיגות החברה לאבטחת IT. הסיבה לכך היא שיש להם סדרי עדיפויות שונים, ולכן סביר להניח ש-CXOs לא יתעדיפו ויבינו את האבטחה באותו אופן כמו צוותי אבטחת IT", אומרת איבנטי סמנכ"לית, הלן מאסטרס, ל-ISMS.online.

מדוע CXOs מתנהגים כל כך רע?

ישנן מספר תיאוריות מדוע פער ההתנהלות הזה גדל כל כך רחב בשנים האחרונות. מנהלים נמצאים בדרך כלל בלחץ זמן קיצוני, מה שעלול להשאיר אותם מועדים יותר לעשות טעויות אבטחה, לחפש דרכים לעקיפת הבעיה ולעקוף ערוצים רשמיים. תחושה של חריגות עשויה ללבות זאת עוד יותר.

"בסופו של דבר, בניסיון לפרודוקטיביות, CXOs מזלזלים בהשפעת הפעולות שלהם וכיצד קיצורי דרך תורמים לפרצות אבטחה", טוען מאסטרס.

ראשי אבטחה עשויים להיות אשמים בחלקם בגלל שילוב של שחיקה, "רק-פעם-איזם" ותרבות אבטחה חלשה, מה שאומר שהם מרגישים לא בנוח לדחוק לאחור, נטען בדו"ח.

מהי ההשפעה?

יהיו הסיבות אשר יהיו, ההשפעה של נוהלי אבטחת מנהלים לקויים יכולה להיות משמעותית. שחקני איום יודעים שמנהלים נוהגים לעתים קרובות בהיגיינת סייבר לקויה. הם גם יודעים של-C-suite יש גישה למידע רגיש ביותר וניתן לרווחים, כולל סודות מסחריים ופרטים סודיים על האסטרטגיה הארגונית. למה לטרוח לכוון עובדים למטה בשרשרת המזון ולהשקיע זמן ומאמץ בהעלאת הרשאות אם אתה יכול להשיג הכל ממתקפת פישינג אחת?

פשרה של דוא"ל עסקי היא איום קריטי נוסף המכוון לרוב ל-C-suite. במהלך השנים האחרונות, מנהלים בכירים הולכו שולל פעם אחר פעם להפנות אור ירוק להעברות כספים גדולות לשחקנים באיומים המתחזות לשותפים ובוסים.

בניית אבטחה טובה יותר מלמעלה למטה

סגירת פער ההתנהלות לא תהיה קלה - שום דבר שמצריך שינויים בתרבות הארגונית לא יהיה. אבל זה בר השגה כאשר הוא בנוי על יסודות מוצקים. זה יכול כלומר פריסת מערכת ניהול אבטחת מידע (ISMS). זה יספק את המדיניות, הנהלים ובקרות אחרות סביב אנשים, תהליכים וטכנולוגיה כדי לשמור על נכסי מידע מאובטחים. זה כולל מודעות והדרכה לאבטחה, שניתן להתאים למנהלים.

היבט מרכזי של זה הוא פיתוח תרבות שבה מנהלים לא מרגישים שהם יכולים לכופף את הכללים כך שיתאימו לדרישות שלהם. זה ידרוש, בין השאר, ממנהיגי אבטחה לבנות אמון עם אותם בכירים בהתבסס על תמיכה, חינוך ועצות במקום גינוי, ענישה ושיימינג.

"שיתוף פעולה עם צוותי IT ואבטחה הוא המפתח, יחד עם טיפוח תרבות שבה אבטחה אינה נתפסת כמכשול. גישה זו תסייע לארגונים להשיג ISO 27001 או תאימות SOC2 בצורה יעילה יותר", טוען מאסטרס.

מנהיגי IT יכולים לעזור להניע את השינוי התרבותי הזה על ידי הצגתם שהם מוכנים להקשיב למשתמשי הקצה שלהם.

"גישה אחת כרוכה בצמצום מקורות התסכול הנפוצים הקשורים לעתים קרובות לאמצעי אבטחת סייבר חזקים, כמו בקשות מוגזמות ותכופות לסיסמאות", ממשיך מאסטרס.

"באמצעות מודיעין מבוסס סיכונים, ארגונים יכולים להתרכז באיומים המשמעותיים ביותר, בעוד שתיקון אוטומטי פותר בעיות במהירות לפני שהן משפיעות על פרודוקטיביות המשתמשים. גישה זו מבטיחה שאמצעי אבטחה לא יגרמו לשיבושים מיותרים, שאחרת עלולים לגרום למנהלים ולכל העובדים לנקוט בשיטות לא בטוחות".

לדוח יש רשימת בדיקה שימושית כדי לעזור למנהיגי IT ואבטחה להניע את מאמציהם:

• לנהל א ביקורת פנימית של אינטראקציות ביטחוניות/מנהלות כדי להבין את היקף פער ההתנהלות
• תחילה תקן את הסיכונים הקלים ביותר, אולי עדכון ותיעוד מדיניות גישה ומדיניות שימוש מקובלת, כמו גם פריסת פקדים הפועלים בשקט ברקע. המפתח הוא להימנע מעימות ישיר עם מנהיגות במידת האפשר
• שקול מפגשי אימון אבטחה משוכללים ותרגילים שולחניים תוך שימוש במחקרי מקרה מהעולם האמיתי, כדי שמנהלים יוכלו להבין את ההשפעה של היגיינת סייבר לקויה
• ליישם תוכנית אבטחה "כפפה לבנה" למנהלים שנועדה לבנות אמון ולהוריד מחסומים לדיווח על בעיות אבטחה

מנהלים דלים בזמן תמיד יעשו טעויות. אבל עם התמקדות חדה יותר בהעלאת מודעות, יחד עם אבטחה פחות פולשנית, יש הרבה ארגונים שיכולים לעשות כדי למזער את פוטנציאל ההפרעות.

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.