המעבר לעבודה מהבית בהיקפים הולכים וגדלים, הגביר את הסכנות לתקיפת סייבר על הרשת הארגונית.
ככל שגובר תחכומם של תוקפי הסייבר כך מנהלי משאבי אנוש נאלצים להתמודד עם יותר ויותר איומים של סוסים טרויאנים, פישינג ועוד.
אחת המתקפות היותר מסוכנות הן מתקפות בהן עובדים מקבלים באימייל מסמכים ש"מתחפשים" למסמכים לגיטימיים של חברות שהעובדים עובדים מולן באופן שוטף, וכדי להכנס אליהם יש להקליד שם משתמש וסיסמה.
במילים אחרות, ניסיונות פישינג אלה מחקים לעתים קרובות ישויות מהימנות, ומניעים את העובדים להקליד את שמות המשתמש והסיסמאות שלהם כדי 'לגשת' למה שנראה כמסמך חיוני.
האתגר הקריטי מבחינת מנהלי משאבי האנוש הוא ללמד את העובדים להבחין בין בקשה אמיתית לאישורים לבין מלכודת זדונית.
קו ההגנה הראשון הוא הכשרה מקיפה ומתמשכת לעובדים. לא מדובר בהרצאה חד פעמית אלא בתהליך מתמשך.
על מנהלי משאבי אנוש לשתף פעולה עם צוות ה-IT כדי לבצע סימולציות פישינג מדומים באופן קבוע.
סימולציות אלה, המשתמשות בדואר אלקטרוני, מדמות פישינג מציאותיים אך הן א מזיקות.
הן מלמדות את העובדים לזהות נורות אדומות בסביבה בטוחה. לאחר הסימולציה יש לבצע תחקירים לגבי התנהלות העובדים, ולהסביר להם למה אלמנטים מסוימים היו חשודים. נוהל זה מחזק התנהגויות נכונות.
להלן 5 מרכיבים מרכזיים של הכשרת עובדים לזיהוי התקפות סייבר בדמות מסמכים לגיטימיים:
1 בדיקת פרטי השולח:
יש ללמד את העובדים להסתכל מעבר לשם שמופיע באימייל. לכתובת הדואר האלקטרוני של השולח בפועל יש חשיבות עליונה.
על העובדים לבדוק האם האימייל הגיע מדומיין שכל פרטיו תואמים את כתובת החברה שממנה הוא הגיע, או שיש לו תוספות וסיומות שונים. גם שגיאת כתיב אחת באות אחת יכולה להצביע על שולח זדוני.
2 להעביר את הסמן מעל קישורים בלי ללחוץ עליהם:
לפני לחיצה על קישור כלשהו, יש להציב את סמן העכבר מעליו בלי ללחוץ עליו, כדי לראות מהי כתובת האתר בפועל, בפינה השמאלית התחתונה של תוכנת האימייל.
אם כתובת האתר המוצגת אינה תואמת את הדומיין הלגיטימי הצפוי, זהו אינדיקציה חזקה לניסיון פישינג.
3 בחינת בקשת המסמך:
מסמכים לגיטימיים הדורשים כניסה עם שם משתמש וסיסמה, מכוונים בדרך כלל את העובדים לפורטל חברה מאובטח וממותג.
מנגד, מסמכים זדוניים מציגים לעתים קרובות בקשת כניסה מיידית בתוך הודעת הדואר האלקטרוני, או בדף שאינו דומה במאה אחוזים לדף הכניסה הרשמי של החברה.
כלומר, הוא יכול להיות דומה מאוד לדף הכניסה לאתר של החברה, אבל מבט מקרוב יכול לחשוף הבדלים קטנים.
יש לאמן עובדים להיות חשדניים בכל בקשה לאישורים שאינה מובילה לפורטל כניסה מוכר ומאובטח.
4 מודעות לטקטיקות של איום ודחיפות:
הודעות אימייל שהן פישינג, יוצרות לעתים קרובות תחושה כוזבת של דחיפות או איום, כמו לדוגמה, 'החשבון שלך יושעה אם לא תפעל עכשיו!'.
יש ללמד את העובדים שעליהם לחשוד בניסוחים כאלה, שכן תקשורת לגיטימית כמעט אף פעם לא משתמשת בטקטיקות לחץ אלו.
5 בכל מקרה של ספק יש לאמת:
הצורך לאמת עם השולח בכל מקרה של ספק צריך להיות כלל זהב. אם עובד מקבל אימייל עם בקשת מסמך שנראית אפילו מעט מאוד שונה או לא מדויקת, עליו לאמת באופן עצמאי את אמיתותה.
המשמעות היא ליצור קשר עם השולח דרך ערוץ ידוע ולגיטימי, כמו למשל מספר טלפון מאומת או דואר אלקטרוני נפרד, ולא על ידי מענה לדואר האלקטרוני החשוד, כדי לאשר את הבקשה.
למנהלי משאבי אנוש יש גם תפקיד חיוני בטיפוח תרבות ארגונית של מודעות לתקיפות אבטחת סייבר.
המשמעות היא לעודד את העובדים לדווח על הודעות דואר אלקטרוני חשודות ללא חשש מזלזול מצד המנהלים או אף נזיפה.
חשוב מאוד ליצור מנגנון דיווח ברור וקל לשימוש, כמו למשל, כפתור ייעודי לדיווח פישינג בתוכנת הדואר האלקטרוני.
חינוך מתמיד של עובדים להיות ערים להבחנות קריטיות אלו, וטיפוח תרבות ארגונית של אבטחה פרואקטיבית, מאפשרים למנהלי משאבי אנוש לחזק משמעותית את הגנות הסייבר מפני התקפות פישינג מתוחכמות, להגן על נתונים רגישים ולשמור על תפעול הארגון.
