אבטחת IT נחשבת לעתים קרובות כמחלקה שתמיד תגיד לא לבקשות העובדים, אבל אפשר להבין למה. בעולם של הסלמה בסיכוני הסייבר, הרחבת משטחי התקיפה וכלכלת פשעי סייבר צומחת במהירות, צוותי אבטחה להוטים להגביל את הנזק שעובדיהם עלולים לגרום. אחרי הכול, מספיק רק קליק אחד כדי לייצר השפעה הרסנית על הארגון. אבל, כשהעומס על העובדים הופך גבוה מדי, הם עלולים להגיב בדרכים בלתי צפויות, מה שלמעשה מגביר את סיכוני הסייבר בארגון.
זה ידוע בשם Security Fatigue (תשישות אבטחה) ובתרחיש הגרוע ביותר, זה יכול להוביל להתנהגות פזיזה ואימפולסיבית - בדיוק ההפך ממה שצוותי IT רוצים. כדי להתמודד עם זה, האבטחה צריכה לעבוד בצורה חלקה יותר, להגביל את מספר ההחלטות שמשתמשים צריכים לקבל ולאזן מחדש את ההגנה והפרודוקטיביות לעולם של עבודה היברידית.
מהי תשישות אבטחה ועד כמה היא גרועה?
הגורם האנושי נחשב לרוב לחוליה החלשה ביותר בשרשרת האבטחה הארגונית. זו הסיבה שמחלקות אבטחת IT כל כך להוטות להפחית את הסיכון של (לא רק) עובדים רשלניים. מצד אחד, הם צודקים. לפי הערכות, 67% מהחברות חוו בין 21 ל-40 תקריות פנימיות ב-2021, עלייה של 60% בהשוואה ל-2020, ועלתה בממוצע יותר מ-15 מיליון דולר לתקן.
עם זאת, כאשר העובדים מרגישים שהם מקבלים יותר מדי אזהרות אבטחה, כללי מדיניות ונהלים, וסיפורים שמפורסמים בתקשורת על אירועי אבטחה ומתקפות סייבר, עלול להיווצר מצב של תשישות. תשישות אבטחה זו מאופיינת בתחושת חוסר אונים וחוסר יכולת לשלוט במצב. יהיו עובדים שעשויים להגיב גם בהתעלמות מכל הכללים והנהלים ויסמכו על עצמם. תיתכן גם תחושה של השלמה: שתקריות ואירועי אבטחה הולכות לקרות בכל מקרה לא משנה מה הם יעשו, אז הם יכולים באותה מידה להתעלם מכל התראות האבטחה המלחיצות האלה.
התופעה נפוצה יותר ממה שאנחנו עשויים לחשוב. מחקר משנת 2018 גילה כי למעלה ממחצית (55%) מעובדי EMEA (מזרח תיכון ומדינות אפריקה) אינם חושבים באופן קבוע על אבטחת סייבר, וכמעט חמישית (17%) אינם מודאגים מכך כלל. עדויות מצביעות על כך שצוות צעיר יותר נוטה אפילו יותר להתעייף מדרישות אבטחה מוגזמות.
מהם התסמינים העיקריים של תשישות אבטחה?
למרבה הצער, לתופעה הזו עשויה להיות השפעה שתערער את היציבות על אבטחת החברה. בין הסימנים המובהקים לתשישות אבטחה נמצאים עובדים ש:
• לוקחים יותר סיכונים עם הונאות פישינג, כאלה שילחצו על קישורים או לפתוח קבצים מצורפים מתוך עניין וסקרנות
• ניהול סיסמאות לקוי, כגון שימוש חוזר בסיסמאות חלשות במספר חשבונות. על פי מחקר שנערך לאחרונה, 43% מהעובדים
מודים שהם חולקים את אותם פרטי התחברות לחשבונות שונים בארגון
• התחברות לרשתות ארגוניות ללא VPN, אם כי הדבר עשוי להיות מוגבל בארגונים מסוימים.
• משתמשים בנקודות Wi-Fi ציבוריות לא מאובטחות כדי להיכנס לחשבונות ארגוניים רגישים.
• לא מעדכנים את המכשירים והמחשבים באופן קבוע. מחקר חדש של EY טוען שעובדי דור ה-Z ודור ה-Y נוטים להתעלם
מעדכונים למשך זמן רב ככל האפשר, הרבה יותר מאשר עמיתים מבוגרים.
• אי דיווח על תקריות באופן מיידי לממונים או למחלקת ה-IT. אותו מחקר של EY מגלה שכמעט חמישית (16%) מהעובדים ינסו
לטפל בחשד להפרה בעצמם, במקום להודיע למישהו אחר.
• שימוש במכשירי עבודה לשימוש אישי, כולל פעילויות מסוכנות כגון הורדות באינטרנט, משחקים וקניות מקוונות. מחקר אחד
טוען שמחצית מהעובדים רואים כעת את מכשיר העבודה שלהם כרכושם האישי.
• עקיפת אבטחה בדרכים אחרות: דו"ח אחר חושף כי 31% מעובדי המשרד בגילאי 18-24 ניסו לעקוף את מדיניות האבטחה
בארגון.
כיצד להתמודד עם תשישות אבטחה?
המעבר המהיר לעבודה מהבית בשנת 2020 גרם לתגובה דרמטית בארגונים רבים כאשר צוותי IT ביקשו להגביל את חשיפת הסיכונים שלהם, על ידי הצבת כללים חדשים המכבידים על העובדים. כעת, מקום העבודה ההיברידי מתחיל להשתנות מחדש, וזו הזדמנות לבחון מחדש את ההגבלות הללו, מתוך עין על הפחתת הסיכון לתשישות אבטחה
חשוב מאד לקחת בחשבון:
• הקשיבו לעובדים כדי להבין טוב יותר כיצד האבטחה משפיעה על זרימת העבודה ומשבשת את היעילות. נסו לעצב מדיניות
שתאזן טוב יותר את הצרכים של העובדים עם הצורך למזער את סיכוני הסייבר.
• הגבילו את מספר החלטות האבטחה שמשתמשים צריכים לקבל. זה יכול להיות התקנת טלאי אבטחה אוטומטי, התקנת תוכנות
אבטחה מרחוק וניהול של מחשבים ניידים והתקנים. והפעלת מוצר הגנה המספק זיהוי ותגובה (EDR) ברקע כדי לזהות איומים
כשהם מפרים את הגנות הרשת.
• תמכו באבטחה של התחברות משופרת תוך מזעור מאמץ, עם מנהלי סיסמאות, אימות רב שלבי מבוסס אימות ביומטרי וכניסה
באמצעות סיסמה אחת לחשבון (SSO).
• הגבילו את מספר ההודעות הקשורות לאבטחה שנשלחות לעובדים. פחות זה יותר.
• הפכו את התרגול להעלאת מודעות אבטחה למהנה יותר, באמצעות מפגשים קצרים יותר (10-15 דקות) המשתמשים
בסימולציות בעולם האמיתי ובמשחקי הפעלה או לומדות, כדי לשנות התנהגות.
• כדי שהאבטחה תעבוד ביעילות, יש ליצור תרבות ארגונית שבה כל עובד מבין את התפקיד המכריע שהוא ממלא בשמירה על
בטיחות הארגון, ורוצה באופן יזום למלא את חלקו. סוג כזה של תרבות יכול לקחת זמן לבנות. אבל זה מתחיל בהבנה והתמודדות
עם הגורמים לתשישות אבטחה.