שוב ושוב אנחנו שומעים על התקפות סייבר נגד ארגונים בישראל ובכלל, למרות המשאבים המוסטים לתחום זה, שלל הבקרות ועל אף ההתקדמות הטכנולוגית וצמצום המעורבות האנושית בתפעול מערכות, מתקפות סייבר מתרחשות בקצב מתגבר ובעצימות עולה.

בהתחשב בהיקף הפגיעה עם התממשות הסיכון, ברור שאין ארגון המעוניין להסתכן ולהיות הבא בתור בהתקפת סייבר שהוא יכול היה למנוע. יחד עם זאת, נראה שמסמכי מדיניות מפוארים, שפע של נהלים, לומדות והדרכות לא מובילים להפחתת הסיכון ולהעלאת רמת העמידה בהנחיות בארגון.

למה? כי רוב הארגונים לא השכילו להבין שציות זו החלטה, ושאנשים אינם מחשב תפוח משוכלל. בהיעדר תרבות קבלת החלטות אמיצה ואפקטיבית, העומדת בכללי הרגולציה ומאפשרת ניהול עסקים ושגשוג, כל הנוהלים והבירוקרטיה לא מביאים לשינוי התנהגותי וביצוע בפועל.

בסופו של יום, מעורבות אנושית עדיין הכרחית בצמתים קריטיים בפעילות הארגון ורוב הכשלים הם תוצאה של טעות אנוש. בני אדם נבדלים באופן בו הם מקבלים החלטות, וארגון שלא מציב בחזית מאמציו להגברת העמידה בנוהלים את הפן ההתנהגותי, ימצא את עצמו עם אותם פתרונות - שלא עבדו בעבר - ועם עוד הפרות בעתיד.

במצב הנוכחי בו כל חברה חמישית עומדת מול מתקפת סייבר, אין מנוס מלהבין טוב יותר את הגורם האנושי, תהליך קבלת ההחלטות שלו וניווטו למקום הרצוי. אחרי שנים בתחום רגולציה ואתיקה, בשוק ההון, במערכת הבנקאית ובקוסמטיקה ובהתבסס על מחקר אקדמי על האפקטיביות של ניהול סיכונים כאמצעי של קבלת החלטות, אני אטען שיצירת תרבות קבלת החלטות אמיצה שעומדת בכללים, זה אפשרי. וזה יכול להיות WIN-WIN.

בעולם ניהול הסיכונים, סיכון סייבר נחשב אקוטי במיוחד. בנוסף לכך שהוא פוגע בחברה ומשתק את פעילותה, הוא פוגע בלקוחות ועלול לרסק את המוניטין של החברה. חברה שאינה כשירה להגן על לקוחותיה, עלולה לאבד את הלגיטימיות שלה לתפקד בשוק בו היא מנוהלת. מסיבות אלו בדיוק, ארגונים עושים מאמצים כבירים על מנת להיות ערוכים להתמודד עם איומי סייבר. הבעיה היא שרוב ההיערכות ממוקדת בפן הטכנולוגי, פחות בפן ההתנהגותי.

בעשור האחרון נערכו מחקרים רבים בהקשר של צייתנות להנחיות בכלל ובתחום אבטחת מידע וסייבר בפרט, כדי לנסות לאתר את המניע לפעול (או לא), בהתאם להנחיות בתחום זה.

מספר תיאוריות התנהגותיות נמצאו רלבנטיות במיוחד, להלן שלוש מרכזיות : TPB Theory of Planned Behavior ,PMT Protection Motivation TheoryRCT ו - Rational Choice Theory.

המודל להתנהגות מתוכננת, קובע כי תפיסת השליטה בהתנהגות (האינדיבידואלית), משפיעה על הכוונה ועל ההתנהגות בפועל. מדובר בביטחונו של האדם בכשירותו לשלוט בהתנהגותו, להניע את עצמו, להשתמש במשאביו הקוגניטיביים ולבצע פעולות, בשילוב עם גישתו הפרטנית, עמדותיו והנורמות הסובייקטיביות שלו בנוגע לסוגיה ספציפית. (Ajzen, 1991).

מודל מוטיבציה להגנה, מסביר התנהגות שמטרתה התגוננות מפחד. במקרה זה מתבצעת הערכה בנוגע לאיום קיים ומהם אמצעי ההתמודדות ההגנתיים האפשריים, כדי לקבוע מה תהיה התגובה והאם נבחר לציית או לא. (Rogers, 1983). בהקשר זה, מעניין לציין כי קיימת זיקה בין הנטייה לציית לבין טכניקות התמודדות עם מצבי לחץ בכלל ומול גורמי סמכות בפרט. בזמן שישנם אלו אשר חווים את העולם כאיום ולכן גם יטו לציית לגורמי סמכות על מנת להימנע מעימותים, יש אלו אשר ינהגו בדיוק ההיפך.

מודל הבחירה הרציונלית, בוחן את העלות-תועלת של אי ציות. התפיסה של תועלת, כמו בכל קבלת החלטה רציונלית, הינה סובייקטיבית של מקבל ההחלטה בנוגע לתגמול ולעלות האפשריים(Becker, 1968) .

לדוג' - בזמן שעובד אחד יהיה בדעה שעדכון סיסמא בתכיפות גבוהה, היא בזבוז של זמן עבודה ולכן הוא יבחר בסיסמא פשוטה, יכתוב אותה על נייר וידביק אותו על צג המחשב, עובד אחר יראה בסיסמא ערך רב, לכן יבחר רמת קושי גבוהה וישנן אותה.

בחינה קצרה של המודלים מעלה, שבכל הקשור לרמת הציות בארגון המעסיק בני אנוש, עם תפיסות, נורמות, עמדות, צרכים וחשיבה פרטנית, אין 'פתרון אחד עבור כולם'. אני בדעה ששילוב נכון של הכלים יכול להוביל לשינוי התנהגותי, ולייצר מוטיבציה והנעה פנימית לפעול לטובת הארגון ולקוחותיו.

לאחר כ 20 שנה בתחום רגולציה וציות, כעורכת דין בעלת תואר שני במשפט ציבורי ותואר ראשון בסטטיסטיקה (חקר ביצועים), בניתי תהליך תלת שלבי, המבוסס על לימוד טרנספורמטיבי שמטרתו יצירת שינוי התנהגותי. מטרת התהליך להוביל את העובדים וההנהלה לקבלת החלטות אמיצות שעומדות בכללים. כי ניהול סיכונים ויצירתיות זה אפשרי.

למידע נוסף על התהליך בקישור:

מאחר והגורם האנושי - עובדי הארגון - נחשבים לחוליה החלשה בניהול איומי סייבר והיות והמשמעות של אירוע כשל והתקפת סייבר מוצלחת על הארגון היא קריטית להמשך פעילותו, ייטב לארגונים להתעורר לאוקיינוס בו הם שוחים, ולשים דגש על הפן ההתנהגות ולסייע לעובדיהם לקבל את החלטה הרצויה.

הכותבת עורכת דין, העוסקת בתחום הציות והרגולציה.

Pham, H-C., Brennan, L., & Richardson. J. (2017). Review of behavioral theories in security compliance and research challenges. Proceedings of the Informing Science and Information Technology Education Conference, Vietnam, pp. 65-76. Santa Rosa, CA: Informing Science Institute. Retrieved from http://www.informingscience.org/Publications/3722