תשישות אבטחת מידע Security Fatigue וכיצד מתגברים עליה
מאת:
מערכת Telecom News, 4.12.22, 21:34
מהי תשישות אבטחה ועד כמה היא גרועה? מ
הם 8 התסמינים העיקריים של תשישות אבטחה אצל עובדים? כיצד להתמודד עם תשישות אבטחה? מ
הן 5 הנקודות שחשוב מאד לקחת בחשבון?
אבטחת
IT נחשבת לעתים קרובות כמחלקה, שתמיד תגיד לא לבקשות העובדים, אבל אפשר להבין למה. בעולם של הסלמה בסיכוני הסייבר, הרחבת משטחי התקיפה וכלכלת פשעי סייבר צומחת במהירות, צוותי אבטחה להוטים להגביל את הנזק, שעובדיהם עלולים לגרום. אחרי הכול, מספיק רק קליק אחד כדי לייצר השפעה הרסנית על הארגון. אבל, כשהעומס על העובדים הופך גבוה מדי, הם עלולים להגיב בדרכים בלתי צפויות, מה שלמעשה, מגביר את סיכוני הסייבר בארגון
.
בחברת אבטחת המידע
ESET מסבירים, שהתופעה הזו מוכרת בשם
Security Fatigue (תשישות אבטחה) ובתרחיש הגרוע ביותר, זה יכול להוביל להתנהגות פזיזה ואימפולסיבית - בדיוק ההפך ממה שצוותי
IT רוצים.
כדי להתמודד עם זה, האבטחה צריכה לעבוד בצורה חלקה יותר, להגביל את מספר ההחלטות, שמשתמשים צריכים לקבל, ולאזן מחדש את ההגנה והפרודוקטיביות בעולם של עבודה היברידית
.
מהי תשישות אבטחה ועד כמה היא גרועה?
הגורם האנושי נחשב לרוב לחוליה החלשה ביותר בשרשרת האבטחה הארגונית. זו הסיבה, שמחלקות אבטחת
IT כל כך להוטות להפחית את הסיכון של (לא רק) עובדים רשלניים. מצד אחד, הם צודקים.
לפי הערכות67% מהחברות חוו בין 21 ל-40 תקריות פנימיות ב-2021, עלייה של 60% בהשוואה ל-2020, שעלו בממוצע יותר מ-15 מיליון דולרים לתקן
.
עם זאת, כאשר העובדים מרגישים, שהם מקבלים יותר מדי אזהרות אבטחה, כללי מדיניות ונהלים, וסיפורים המפורסמים בתקשורת על אירועי אבטחה ומתקפות סייבר, עלול להיווצר מצב של תשישות.
תשישות אבטחה זו מאופיינת בתחושת חוסר אונים וחוסר יכולת לשלוט במצב. יהיו עובדים, שעלולים להגיב גם בהתעלמות מכל הכללים והנהלים ויסמכו על עצמם. תיתכן גם תחושה של השלמה: שתקריות ואירועי אבטחה הולכות לקרות בכל מקרה לא משנה מה הם יעשו, אז הם יכולים באותה מידה להתעלם מכל התראות האבטחה המלחיצות האלו
.
התופעה נפוצה יותר ממה שאנחנו עשויים לחשוב.
מחקר מ-2018 גילה, שלמעלה ממחצית (55%) מעובדי
EMEA (מזרח תיכון ומדינות אפריקה) אינם חושבים באופן קבוע על אבטחת סייבר, וכמעט חמישית (17%) אינם מודאגים מכך כלל. עדויות מצביעות על כך, שצוות צעיר יותר נוטה אפילו יותר להתעייף מדרישות אבטחה מוגזמות
.
מהם התסמינים העיקריים של תשישות אבטחה?
למרבה הצער, לתופעה הזו עלולה להיות השפעה, שתערער את היציבות על אבטחת החברה. בין הסימנים המובהקים לתשישות אבטחה נמצאים עובדים ש
:
- לוקחים יותר סיכונים עם הונאות פישינג, כאלה, שילחצו על קישורים או יפתחו קבצים מצורפים מתוך עניין וסקרנות.
- מנהלים סיסמאות באופן לקוי, מבצעים שימוש חוזר בסיסמאות חלשות במספר חשבונות. על פי מחקר, שנערך לאחרונה, 43% מהעובדים מודים, שהם חולקים את אותם פרטי התחברות לחשבונות שונים בארגון.
- התחברות לרשתות ארגוניות ללא VPN, אם כי הדבר עשוי להיות מוגבל בארגונים מסוימים.
- משתמשים בנקודות WiFi ציבוריות לא מאובטחות כדי להיכנס לחשבונות ארגוניים רגישים.
- לא מעדכנים את המכשירים והמחשבים באופן קבוע. מחקר חדש של EY טוען, שעובדי דור ה-Z ודור ה-Y נוטים להתעלם מעדכונים למשך זמן רב ככל האפשר, הרבה יותר מאשר עמיתים מבוגרים.
- אי דיווח על תקריות באופן מיידי לממונים או למחלקת הIT. אותו מחקר של EY מגלה, שכמעט חמישית (16%) מהעובדים ינסו לטפל בחשד להפרה בעצמם, במקום להודיע למישהו אחר.
- משתמשים במכשירי העבודה לשימוש אישי, כולל פעילויות מסוכנות כגון הורדות באינטרנט, משחקים וקניות מקוונות. מחקר אחר טוען, שמחצית מהעובדים רואים כעת את מכשיר העבודה שלהם כרכושם האישי.
- עוקפים אבטחה בדרכים אחרות: דו"ח אחר חושף, ש-31% מעובדי המשרד בגילאי 18-24 ניסו לעקוף את מדיניות האבטחה בארגון.
כיצד להתמודד עם תשישות אבטחה?
המעבר המהיר לעבודה מהבית ב-2020 גרם לתגובה דרמטית בארגונים רבים, כאשר צוותי
IT ביקשו להגביל את חשיפת הסיכונים שלהם, ע"י הצבת כללים חדשים המכבידים על העובדים. כעת, מקום העבודה ההיברידי מתחיל להשתנות מחדש, וזו ההזדמנות לבחון מחדש את ההגבלות הללו, מתוך עין על הפחתת הסיכון לתשישות אבטחה.
בחברה מסבירים, כי שחשוב מאד לקחת בחשבון את הנקודות הבאות:
- הקשיבו לעובדים כדי להבין טוב יותר כיצד האבטחה משפיעה על זרימת העבודה ומשבשת את היעילות. נסו לעצב מדיניות, שתאזן טוב יותר את הצרכים של העובדים עם הצורך למזער את סיכוני הסייבר.
- הגבילו את מספר החלטות האבטחה, שמשתמשים צריכים לקבל. זה יכול להיות התקנת טלאי אבטחה אוטומטי, התקנת תוכנות אבטחה מרחוק וניהול של מחשבים ניידים והתקנים. והפעלת מוצר הגנה המספק זיהוי ותגובה (EDR) ברקע כדי לזהות איומים כשהם מפרים את הגנות הרשת. תמכו באבטחה של התחברות משופרת תוך מזעור מאמץ, עם מנהלי סיסמאות, אימות רב שלבי מבוסס אימות ביומטרי וכניסה באמצעות סיסמה אחת לחשבון.
- הגבילו את מספר ההודעות הקשורות לאבטחה, שנשלחות לעובדים. פחות זה יותר.
- הפכו את התרגול להעלאת מודעות אבטחה למהנה יותר, באמצעות מפגשים קצרים יותר (10-15 דקות) המשתמשים בסימולציות בעולם האמיתי ובמשחקי הפעלה או לומדות, כדי לשנות התנהגות.
- כדי שהאבטחה תעבוד ביעילות, יש ליצור תרבות ארגונית, שבה כל עובד מבין את התפקיד המכריע, שהוא ממלא בשמירה על בטיחות הארגון, ורוצה באופן יזום למלא את חלקו. סוג כזה של תרבות יכול לקחת זמן לבנות. אבל זה מתחיל בהבנה והתמודדות עם הגורמים לתשישות אבטחה.