משרד המסחר הבריטי הקצה 4 מיליון לירות שטרלינג למחקר שמיועד לטיפול בגורם האנושי בתחום אבטחת המידע. כולם יודעים לצטט משפטים כמו "הגורם האנושי הוא החוליה החלשה", "אבטחת מידע אינה בעיה של טכנולוגיה, אלא בעיה של אנשים" וכדומה. מה שיפה באמרות שפר זה מרגע שאמרת אותן אתה פטור מלנסות לעשות איתן משהו (אבל זו רק הערה צדדית). אלא שנדמה שלמרות שברור לכולם כי חלק גדול מתקלות האבטחה מגיעות מעובדי הארגון, ארגונים אינם מצליחים להתמודד עם הסוגיה בצורה אפקטיבית.
לפני כחודש היה לי דיון נוקב עם מנהל אבטחת מידע באחד הגופים הפיננסיים בארץ. אני טענתי (ואני ממשיך לטעון) כי אנשים אינם בעיית אבטחת מידע אלא יש לראות בהם אילוץ שאינו משתנה ואילו הוא התעקש להתייחס אליהם כאל בעיית אבטחה. הוא לא לבד בסיפור, זה בטוח. הרבה מנהלי אבטחת מידע מתייחסים לגורם האנושי כאל "בעיה". הגישה הזו היא הסיבה שמנהלי אבטחת מידע אינם מצליחים לטפל בגורם האנושי. ההתייחסות לעובדי הארגון (למעשה לכל הארגון) כאל בעיה שקולה לאמירה שהמדינה בסדר, צריך רק להחליף את העם. זה נחמד בתור בדיחה, אך לא ניתן לבסס על טיעון כזה אסטרטגיה.
מאידך, ההתייחסות לעובדים כאל אילוץ במשוואת התכנון שלנו מובילה אותנו להכרה כי ישנם מנגנונים פסיכולוגיים בסיסיים המשותפים לכל העובדים אותם אנו לא יכולים לשנות. מאחר והעובדים הם הרוב ומאחר וניתן לאפיין את ההתנהגות שלהם, אך קשה מאוד לשנות אותה, כל שעלינו לעשות הוא לתכנן את מערך האבטחה סביב אילוצים אלה ולנסות לרתום אותם לטובתנו.
אתן דוגמא קטנה. משתמשים רבים מעבירים סיסמאות מאחד לשני. על פי הגישה הנפוצה העובדים הם בעיה ומעבירים סיסמאות כיוון שכעובדים בעייתיים הם נוטים לזלזל בנהלים. המסקנה המתבקשת היא אכיפה מוגברת. לדעתי, בבסיס תהליכי העברת סיסמאות בין עובדים ישנן הנחות מסוימות שצריך לחפש. ברוב המקרים אני מגלה כי עובדים מעבירים סיסמאות כיוון שאין להם ברירה אחרת או כיוון שמכל נקודת מבט זהו הצעד ההגיוני ביותר לעשות. הפתרון ברוב המקרים הוא לספק לעובדים כלים מתאימים כך שלא יזדקקו להעברת סיסמאות. לדוגמא (מאותו ארגון) עובדים מעבירים סיסמאות כי צוות הסיסטם לא מקים הרשאות מהר מספיק, כך שעובדים חדשים יכולים להיות חודש בעבודה ללא הרשאה לרשת. ברור שבמצב הזה עובדים חדשים יעשו שימוש בהרשאות של עובדים ותיקים. זה הצעד ההגיוני. הטיפול בבעיה הוא טיפול בתהליכי העבודה של הסיסטם ולא אכיפה משמעתית מול העובדים.
בכלל, אני מניח לצורך עבודתי שעובדים הם אנשים טובים בעלי כוונות טובות. מבחינת ניתוח אבטחתי גיליתי שפרספקטיבה כזו הרבה יותר אפקטיבית. הכי קל לנסות לאתר מה עובד בעל כוונת זדון יכול לעשות לארגון. הבעיה היא שזה לא יוביל אותנו רחוק כיוון שזה יגרום לנו להתמקד בתרחישי קיצון (לא חסרים כאלה) בעלי סבירות נמוכה למימוש. לעומת זאת, אם ננסה למצוא את הדרכים בהן העובד הטוב, שמחפש את טובת הארגון, עלול לפגוע באבטחת המידע, שלא מרצונו, נגיע לתרחישים מציאותיים שיחשפו בפנינו ליקויים בתהליכי העבודה בארגון.
בבלוג זה
בכל הבלוגים
