לפני כמה שבועות קיבלתי הודעה מחבר טוב, מנכ"ל של סטארטאפ מצליח. "אני צריך את העצה שלך דחוף," הוא כתב. "נפלנו על מתקפת פישינג מתוחכמת – העובד הכי מנוסה שלנו הקליק על לינק, ועכשיו הנתונים של הלקוחות שלנו בסכנה". נשמע מוכר? זה לא רק הוא. זה קורה כמעט לכולם.
בשנת 2024, 84% מהעסקים דיווחו על מתקפות פישינג שהשפיעו עליהם ישירות או על לקוחותיהם. רבות מהתקפות הסייבר המוצלחות מתחילות בדוא"ל של עובד תמים, שמקבל הודעה שנראית דחופה, אותנטית או מוכרת. וכשחושבים על כך שרוב העובדים מבלים יותר מ-85% מזמן העבודה שלהם בתוך הדפדפן, ברור למה הדפדפן הפך לשער הכניסה המרכזי של התוקפים.
הבעיה המרכזית היא לא רק טכנולוגית, אלא פסיכולוגית. מתקפות פישינג מצליחות כי הן משחקות על אמון, לחץ וחוסר תשומת לב. זה לא שהעובד פורץ את מערכות האבטחה, הוא פשוט מקליק על משהו שנראה לגיטימי. ארגונים משקיעים הון במערכות אבטחה, אך במקרים רבים מדובר בפתרונות מסובכים שמעמיסים על העובדים והופכים אותם לחוליה החלשה.
אחד הכלים האפקטיביים ביותר לצמצום האיום הוא חינוך נכון. ארגונים שמבצעים סימולציות תקופתיות של פישינג מצליחים להפחית את שיעור ההקלקות על קישורים זדוניים באופן משמעותי. ההבדל בין הדרכה יבשה לבין אימון מבוסס חוויות הוא קריטי. עובד שחווה מתקפה מדומה זוכר את התחושה, נזהר יותר ומגיב טוב יותר כשזה קורה באמת.
פשטות טכנולוגית היא מרכיב נוסף שיכול לשנות את חוקי המשחק. מערכות מורכבות מדי יוצרות שטחים מתים שמקשים על זיהוי מתקפות בזמן אמת. ככל שהמערכת פשוטה יותר לניהול ומספקת שקיפות ברורה, קל יותר לארגון להגיב לאיומים. שימוש בדפדפן ארגוני עם אבטחה מובנית הוא דוגמה מצוינת לכך – במקום להוסיף שכבות אבטחה נוספות שמשתמשים צריכים לזכור ולהפעיל, הדפדפן עצמו מזהה אתרים מתחזים, חוסם ניסיונות גניבת מידע ומוודא שכל התקשורת מאובטחת באופן אוטומטי. מחקרים מראים ששימוש בדפדפן כזה יכול להפחית את מקרי הפישינג המוצלחים בעשרות אחוזים.
אוטומציה של האבטחה היא מהלך מתבקש. במקום להסתמך על כך שהמשתמשים יזהו כל איום, הכלים בהם הם משתמשים צריכים לקחת אחריות. דפדפן שמזהה ומנטרל סכנות באופן עצמאי מונע מהמשתמשים לעשות טעויות מבלי שהם יצטרכו לשנות את הרגלי העבודה שלהם.
אנחנו חיים בעולם שבו כל עובד יכול להפוך להיות נקודת הכניסה הבאה של התוקפים. במקום לצפות שהמשתמשים ישתנו – יש לשנות את הכלים שבהם הם משתמשים. הדרכות מבוססות סימולציות, טכנולוגיה פשוטה לניהול, ואבטחה אוטומטית הם הדרך היחידה להגן על ארגונים מפני מתקפות פישינג ואיומי סייבר מתוחכמים יותר מתמיד. אם אתם רוצים שבשנה הבאה "אינטרנט בטוח" יהיה דבר ממשי – זה הזמן להתחיל לחשוב אחרת.
עופר בן נון הוא SASE CTO בפאלו אלטו נטוורקס
