דניאל כרומק, CISO של ESET מסביר למה הפחדה היא לא כלי יעיל והאם נראה הונאות deep fake במטרה לחדור לארגונים
הכשרת עובדים לאבטחת סייבר בארגון הרבה פעמים מתנהלת כמו בחינה. אנחנו מתכוננים למבחן וגם יכולים להצטיין בו, אבל כמו כל דבר בחיים, אם לא נשתמש בידע הזה באופן שוטף, הידע יישכח. לעתים קרובות, זה המצב בהכשרת עובדים והגברת המודעות שלהם לסיכוני סייבר, המתקיימת פעם או פעמיים בשנה. הכשרה חינוכית צריכה להיות תהליך מתמשך על מנת להשיג את התוצאות הטובות ביותר.
מתקפות סייבר הופכות מתוחכמות יותר מדי יום. אבל אם תצליחו להגביר את ערנותם של העובדים שלכם, אנשי הצוות יכולים להפוך לאחד מאמצעי הבקרה האבטחה היעילים ביותר שלכם.
מעניין אותך לקבל השראה על דרכים יעילות וחדשות של הכשרת עובדים? מומלץ לקרוא את הריאיון שלנו עם ה-CISO של ESET, דניאל כרומק
נראה שזה ברור וכולם מבינים שיש צורך להעלות את המודעות של העובדים לאיומי סייבר. עם זאת, עובדים רבים עדיין אינם מסוגלים לזהות התקפות סייבר. מה מונע מהחברות לפתור את המצב הזה?
חברות עלולות בדרך כלל לזלזל בחינוך למודעות של אבטחת סייבר או להשאיר אותו באותה רמה, בזמן שהתקפות סייבר משתפרות, מתפתחות ומשתנות עם הזמן. איננו יכולים עוד להסתמך על מאפיינים ידועים של הודעות פישינג, כמו דקדוק שגוי או שגיאות כתיב, כדי לזהות התקפות.
גם התכנים והגרפיקה הויזואלית של ההתקפות האלה הולכות ומשתכללות. אני לא חושב שאנחנו כל כך רחוקים מהנקודה שבה אנשים רבים לא יוכלו להבחין בין מיילים של פישינג למיילים רגילים. כמו כן, קיים סיכון להתקפות ווישינג (Vishing) תכופות יותר, למרות שהדמיית שיחת טלפון ממספר מסוים קשה לביצוע בזמן אמת. אבל זה לא קשה לתפוס את קול המנכ"ל מיוטיוב ואז להכין את המתקפה מראש כדי לשכנע אנשים להעביר כסף. בימינו כשעולם ה-deep fake מקבל תאוצה – זהו תרחיש הגיוני לחלוטין.
מה באמת לגבי ה-deep fake (טכנולוגיה מבוססת בינה מלאכותית ליצירת סרטוני וידאו, צילומים או קטעי קול מזויפים) או מערכות לזיהוי פנים? האם גם הם ישפיעו על צורת ההתקפות העתידיות?
בהחלט. יש כבר זיופים כאלה שקשה להבדיל מהמציאות, במיוחד בסרטון. עם זאת, deep fake זו התחזות הרבה יותר קשה לביצוע כאשר משתמשים בה באינטראקציה בזמן אמת, כמו בסימולציה של שיחת וידאו. באופן כללי, קל יותר לתקוף מישהו עם מייל פישינג שמכיל טקסט ותמונות סטטיות ולא עם התקפה שדורשת אינטראקציה ישירה עם הקורבן. עם זאת, השפעת יחסי הציבור של deep fake המופצים באמצעות רשת חברתית עשויה להיות אירוע משמעותי כיום.
אז, סוגים אלה של התקפות עדיין לא מתרחשים?
עד כה שמעתי רק על מקרה מצרפת, שבו קבוצת רמאים ערכה שיחת וידאו שבה השתמשו במסכת סיליקון כדי להתחזות לשר הגנה צרפתי וביקשו מאנשים וקבוצות עשירים לתמוך כלכלית במבצע ממשלתי מזויף. למרות שזה עדיין לא היה deep fake שנוצר על ידי מחשב - זה היה יותר קצת תיאטרון - אנחנו יכולים לצפות שהבעיה רק תחמיר.
מהן אבני הדרך העיקריות בחינוך והעלאת מודעות לעובדים לזהות התקפות כאלה?
כשעבדתי כיועץ IT לפני כמה שנים, שמתי לב שחברות חושבות לא פעם על אבטחת סייבר כעל נושא שנופל אוטומטית באחריות מחלקת ה-IT, אבל לא תמיד מומחי IT מצליחים להמציא הכשרה שאנשים מבינים ומתעניינים בה. זה לא קל כמו שזה נראה. זה דורש ידע של אבטחה - על דברים כמו פישינג, בחירת סיסמה, הצפנה – ולא פחות חשוב גם ידע איך מעבירים תכנים חינוכיים בצורה יעילה
האם אתה חושב שאנשי IT צריכים לעבוד עם פסיכולוגים, למשל?
בהחלט. או עם מישהו שיש לו תואר בפדגוגיה למבוגרים, או פשוט יודע איך לגרום לאנשים באמת לזכור עובדות מסוימות ולשנות משהו בהתנהגות שלו. כיום ניתן לשלם עבור הדרכות שונות בהתאמה אישית. חברות גדולות יותר פותרות זאת לעתים קרובות על ידי עבודה עם מחלקות IT ו-HR כאחד. המפתח הוא למצוא מישהו שיכול להעביר מידע לעובדים בצורה ברורה ומעניינת. זו הסיבה שאנו רואים את גישת הגיימיפיקציה (הגישה המשחקית) לעתים קרובות יותר בימינו.
האם אתה חושב שלרוב הארגונים הקטנים והבינוניים יש כבר מתכונת כלשהי של הכשרת עובדים?
כן. רובם משתמשים לפחות באיזו הכשרה בסיסית בנושא אבטחת סייבר - למשל, הכשרה הזמינה בפלטפורמות מקוונות. אבל לדעתי, חשוב לעשות יותר, אם רוצים לבנות תרבות מודעת סייבר בחברה. כשמכשירים עובדים פעם בשנה, התוצאה זהה לסוגי הכשרה אחרים - לאחר "הבחינה", התלמידים שוכחים מהר מה למדו - ואז הם חוזרים למקום בו היו בהתחלה.
באיזו תדירות ההכשרה צריכה להתקיים?
תכוף ככל האפשר. לדעתי יותר הגיוני לחלק את המידע שצריך להעביר לביסים קטנים יותר שהעובדים יכולים לקלוט. לדוגמה, להשתמש בסרטונים קצרים המתמקדים כל אחד בנושא אחר. לאחר מכן אפשר להפיץ דוגמאות פשוטות כאלה באופן קבוע כדי להזכיר לעובדים שחשוב לעקוב אחר בעיות אבטחה. ואם יש ניסיון חדירה לארגון, אפשר לעבוד עם זה ולהסביר לעובדים איך התקפה כזו עובדת.
נניח שאני רוצה לבנות חברה שעמידה בפני מתקפות סייבר. מה כל עובד צריך לדעת?
ראשית, כולם צריכים לדעת מה החברה רוצה מהעובדים. כיצד עליהם להשתמש בטכנולוגיה המסופקת, ואילו סנקציות מחכות במקרה של אובדן או נזק? יש לענות על שאלות אלו לפני שמשהו קורה, באופן אידיאלי בתחילת העבודה. לאחר מכן ישנם כמה נושאים סטנדרטיים המכסים אמצעי אבטחה בסיסיים: כיצד להגדיר סיסמה חזקה, כיצד להשתמש באימות דו-שלבי - וכמובן, כיצד לזהות אתרי פישינג ואתרי הונאה על סמך תכונות אופייניות ותוכן הודעות. העובדים צריכים גם לדעת למי לדווח על פעילות חשודה; כיצד להשתמש בתוכנה או בשירותי ענן; מה לעשות במקרה שהם רואים אנשים חשודים בתוך שטחי המשרד; וכיצד להשתמש בטכנולוגיית אבטחה, כגון מנהל סיסמאות.
בנוסף, על החברה להסביר לעובדים שאם הם מקבלים מכשיר סלולרי של החברה או טאבלט, עליהם להקפיד על מה שהם מורידים ומתקינים עליו. יש הרבה אפליקציות זדוניות בחנויות של גוגל ואפל, לכן חשוב להראות לעובדים איך מאמתים אפליקציה לפני התקנתה. דבר דומה חל על התקנת תוכנות שונות במחשב. וכמובן שגם העובד צריך לדעת למי לפנות אם יקרה משהו. בסוף השנה שעברה, למשל, הבחנו בשיחות מזויפות ממיקרוסופט - זו הייתה הזדמנות ליידע את העובדים שלנו על מה להיזהר ולמה זה קורה בכלל.
מדוע הנהלת החברה צריכה להימנע מלהפחיד אנשים עם ההשלכות האפשריות של מתקפות סייבר?
כי חמש דקות לתוך פחד שכזה, העובדים מפסיקים להקשיב, והדבר היחיד שהם מחזיקים בו הוא שכל מה שהם יעשו ישתבש ויסתיים בפיטורים. הסיכון של החברה ביצירת פחד היא חשיבה תבוסתנית מצד העובדים שיכול לגרום לכך שעובדים יוותרו מלכתחילה ויחשבו שאין טעם להיזהר, שכן הם ממילא לא יצליחו. לכן, עדיף לתקשר בצורה חיובית ולהצביע על איומים נפוצים ולהראות כיצד להימנע מהם - לא רק בעבודה, אלא גם בבית. לכולנו יש אנשים היקרים לנו, וכאשר אנו יכולים להראות לעובדים כיצד להגן לא רק על האינטרסים של המעסיקים שלהם, אלא גם על אלה של הוריהם, בני זוגם או ילדיהם בדרכים מסוימות, זה עלול לעורר את העניין שלהם.
לעתים קרובות אתה שולח חידונים לעמיתים שלך. האם גיימיפיקציה היא דרך טובה להעברת ידע לעובדים?
אם משתמשים בה בחוכמה, אז לגמרי כן. אם אתה מחליט לנסות סימולציית פישינג בחברה, למשל, אתה צריך לחשוב על זה קצת. המטרה היא לא לתפוס כמה שיותר אנשים, אלא לתת להם הזדמנות לזהות פישינג, ו"לנצח" את התוקף. כשאנשים יודעים שהם עשו את הצעד הנכון והצליחו לדווח על תקיפה, זה מחזק אותם.
דוגמה נחמדה נוספת למשחקיות באימוני אבטחת סייבר תהיה סיפור קומיקס אינטראקטיבי עם סרטונים שבהם הדמות הראשית יוצאת למשימות שונות ומרוויחה כמה נקודות כשהיא משיגה את המטרות - שחקנים מצליחים יקבלו פרס קטן בסופו של דבר.
האם כך נוצרת תרבות מודעת סייבר?
דיברנו על כל השלבים והדברים הקטנים שעוזרים לבנות אותו. כולם ברחבי החברה צריכים להכיר את נושאי האבטחה העיקריים - מעובדים ועד מנהלים. המטרה היא להיות מסוגל לתמוך באבטחה ובכך, בחברה עצמה. וכשכולם יבינו את זה וישימו לב למה שקורה סביבם, הם יתמכו בחוסן של כל החברה.