מי 'הבא בתור' להתקפת סייבר ולמה צייתנות ועמידה בנוהלים, זו החלטה?
שוב ושוב אנחנו שומעים על התקפות סייבר נגד ארגונים בישראל ובכלל, למרות המשאבים המוסטים לתחום זה, שלל הבקרות ועל אף ההתקדמות הטכנולוגית וצמצום המעורבות האנושית בתפעול מערכות, מתקפות סייבר מתרחשות בקצב מתגבר ובעצימות עולה.
בהתחשב בהיקף הפגיעה עם התממשות הסיכון, ברור שאין ארגון המעוניין להסתכן ולהיות הבא בתור בהתקפת סייבר שהוא יכול היה למנוע. יחד עם זאת, נראה שמסמכי מדיניות מפוארים, שפע של נהלים, לומדות והדרכות לא מובילים להפחתת הסיכון ולהעלאת רמת העמידה בהנחיות בארגון.
למה? כי רוב הארגונים לא השכילו להבין שציות זו החלטה, ושאנשים אינם מחשב תפוח משוכלל. בהיעדר תרבות קבלת החלטות אמיצה ואפקטיבית, העומדת בכללי הרגולציה ומאפשרת ניהול עסקים ושגשוג, כל הנוהלים והבירוקרטיה לא מביאים לשינוי התנהגותי וביצוע בפועל.
בסופו של יום, מעורבות אנושית עדיין הכרחית בצמתים קריטיים בפעילות הארגון ורוב הכשלים הם תוצאה של טעות אנוש. בני אדם נבדלים באופן בו הם מקבלים החלטות, וארגון שלא מציב בחזית מאמציו להגברת העמידה בנוהלים את הפן ההתנהגותי, ימצא את עצמו עם אותם פתרונות - שלא עבדו בעבר - ועם עוד הפרות בעתיד.
במצב הנוכחי בו כל חברה חמישית עומדת מול מתקפת סייבר, אין מנוס מלהבין טוב יותר את הגורם האנושי, תהליך קבלת ההחלטות שלו וניווטו למקום הרצוי. אחרי שנים בתחום רגולציה ואתיקה, בשוק ההון, במערכת הבנקאית ובקוסמטיקה ובהתבסס על מחקר אקדמי על האפקטיביות של ניהול סיכונים כאמצעי של קבלת החלטות, אני אטען שיצירת תרבות קבלת החלטות אמיצה שעומדת בכללים, זה אפשרי. וזה יכול להיות WIN-WIN.
בעולם ניהול הסיכונים, סיכון סייבר נחשב אקוטי במיוחד. בנוסף לכך שהוא פוגע בחברה ומשתק את פעילותה, הוא פוגע בלקוחות ועלול לרסק את המוניטין של החברה. חברה שאינה כשירה להגן על לקוחותיה, עלולה לאבד את הלגיטימיות שלה לתפקד בשוק בו היא מנוהלת. מסיבות אלו בדיוק, ארגונים עושים מאמצים כבירים על מנת להיות ערוכים להתמודד עם איומי סייבר. הבעיה היא שרוב ההיערכות ממוקדת בפן הטכנולוגי, פחות בפן ההתנהגותי.
בעשור האחרון נערכו מחקרים רבים בהקשר של צייתנות להנחיות בכלל ובתחום אבטחת מידע וסייבר בפרט, כדי לנסות לאתר את המניע לפעול (או לא), בהתאם להנחיות בתחום זה.
מספר תיאוריות התנהגותיות נמצאו רלבנטיות במיוחד, להלן שלוש מרכזיות : TPB Theory of Planned Behavior ,PMT Protection Motivation TheoryRCT ו - Rational Choice Theory.