על החשיבות של מודעות העובדים לזיהוי ומניעה של התקפות סייבר באמצעות הנדסה חברתית
שכיחות התקפות הסייבר הולכת ועולה, וההתקפות הללו גורמות נזק רב יותר, כספי ותדמיתי. הנדסה חברתית (Social Engineering) היא פעילות מרכזית שבאמצעותה מושגת "דריסת רגל" במערכות וברשתות הארגוניות. מאמצים אלה נעשים למשל באמצעות פישינג (Phishing) – ניסיון להשיג מידע רגיש באמצעות התחזות, בדרך כלל בדואר אלקטרוני; Spear Phishing – ניסיון להשיג מידע רגיש מאדם מסוים תוך שימוש במידע פרטי כדי להגביר את הסיכוי להצלחת המתקפה; או באמצעות מתקפות מתוחכמות יותר המכוונות לדרג ההנהלה בארגון ועושות שימוש בהודעות הכוללות נוזקה (Malware). בשנים האחרונות, פעילות ההנדסה החברתית של התוקפים עברה לאינטרנט באמצעות אתרים, רשתות חברתיות ואפליקציות להתקנים ניידים (טלפונים חכמים, טאבלטים).
מומחים בנושא מסכימים כי אנשים הם נקודת תורפה מהותית בניסיונות תקיפה של מערכות ורשתות בהנדסה חברתית. הבנה זו חיונית כדי לספק מידה רצויה של אבטחת מידע. פעולה, התעלמות, חוסר ידיעה או אי ציות של עובדים יכול להוביל לאירוע אבטחת מידע – למשל על ידי גילוי מידע רגיש (סיסמאות וכו') לגורם שאינו מורשה, התעלמות מפעילות חריגה או שימוש במידע רגיש על ידי עובד שלא לצורך ביצוע תפקידו תוך אי ציות לנהלים.
לתכנית מודעות והדרכת עובדים יש חשיבות רבה כחלק מאסטרטגיית אבטחת המידע הארגונית והיא המפתח לטיפול באיומי הנדסה חברתית. על העובדים להיות מודעים לאיומים הנפוצים, לאחריותם במניעת איומים אלה, לזיהויים ולדיווח עליהם.
בשנים האחרונות פותחו מתודולוגיות רבות בעניין בניית תכנית מודעות והדרכה באבטחת מידע בארגונים. לדוגמה, המכון האמריקאי הלאומי לתקנים וטכנולוגיה NIST פרסם תדריך מפורט בנושא (NIST SP 800-50[1]) עוד בשנת 2003. תדריך זה מתאר את הצעדים לבניית תכנית כזו, ובהם עיצוב תכנית המודעות וההדרכה (כולל סקר דרישות, פיתוח ואישור אסטרטגיית הדרכה וכו'), פיתוח משאבי הדרכה (תוכן ההדרכות, חומרי ההדרכה וכו'), יישום תכנית המודעות וההדרכה, קביעת דרכי תקשור התכנים ומעקב תמידי אחר אפקטיביות התכנית.
סקר שנעשה לאחרונה על ידי ה-SANS (Security Awareness Report 2016) מצביע על מספר אתגרים ביישום תכנית מודעות והדרכה. שלושת האתגרים העיקריים שעליהם מצביע הסקר הם: חוסר במשאבים, קשיים באימוץ התכנית וחוסר תמיכה של ההנהלה בתהליך.
ביקורת פנימית בנושא תכנית מודעות והדרכה עשויה להוסיף ערך רב לארגון, בדגש על הנושאים הבאים:
- הירתמות של ההנהלה היא חיונית להצלחתה. מומלץ לבחון את מידת המעורבות והאחריות של ההנהלה.
- יש לבדוק את מידת מעורבותם של גורמים מקצועיים בתהליך הבנייה והיישום של תכנית המודעות וההדרכה. למשל, מקובל שמחלקת אבטחת המידע אחראית על התכנים, ואילו אנשי מחלקת ההדרכה אחראים על דרכי ההנגשה ותקשור המסרים. כמו כן, חשוב לשלב גם את מחלקת הביטחון (שבדרך כלל אחראית על האבטחה הפיזית).
- יש לבחון כיצד נבנתה התכנית והאם קיים קשר מובהק למטרות הארגון, לתהליך ניהול הסיכונים, לתהליך ניהול אירועי אבטחת המידע (Incident Management) ולמגמות עולמיות.
- יש לבדוק את אופן תקשור התכנית לעובדים – האם המסר הרלוונטי הועבר לגורם הרלוונטי? מהם ערוצי התקשורת שנבחרו לשם כך?
- מומלץ לבדוק את אפקטיביות התכנית להשגת מטרותיה. ניתן לבדוק אפקטיביות באמצעות בדיקות פתע (שיחות טלפון המדמות תקיפה להשגת מידע רגיש, תרגילי התחזות ברשתות חברתיות, שליחת דואל ממקור לא ידוע למייל הפנימי של העובדים כדי לבחון את ערנותם למיילים זדוניים ובדיקה האם יפתחו את הקישורים הללו, וכו'), קביעת יעדים מדידים ובחינת עמידה בהם (למשל הורדת כמות המשתמשים שהקליקו על דואר אלקטרוני זדוני שנשלח אליהם, בחינת כמות הדיווחים על אירוע חריג, וכו'), שימוש בסקרים, סריקת הרשת החיצונית לארגון והפנימית של הארגון כדי לבדוק האם דלף מידע רגיש מהארגון ומאיזה מקור בארגון, ועוד.
- יש לבחון האם פעילות המודעות וההדרכה תוקצבה בצורה מספקת. תקציב זה יכול להיקבע כאחוז מתקציב ההדרכה הכללי, אחוז מתוך תקציב ה-IT הכללי, הקצאה תקציבית לעובד, ועוד.
- יש לבדוק האם מופו קהלי יעד בקרב העובדים ולדרגם על פי סיכון. בהתאם לסיכון יש לתעדף ולהדגיש נושאים ספציפיים (דוגמאות לאוכלוסיות רגישות הן: אנשי מערכות מידע ורשתות, הנהלה, אנשי כספים, עוזרות אישיות, עובדי קבלן, עובדים חדשים או עובדים ששינו תפקיד בארגון, וכו').
- כחלק מהתכנית, יש לבדוק האם ניתן דגש להגברת המודעות לדרכי הדיווח של העובדים בנוגע לחשד להתקפה. דיווח מיידי הוא קריטי לעצירת ההתקפה ולהפחתת הנזק.
נושאי בדיקה נוספים מופיעים בתדריך שפרסם ה-NIST. מומלץ לעיין בו בהרחבה.
[1] https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-50.pdf
