בעולם שבו מנכ”לים משקיעים מיליונים בטכנולוגיות מתקדמות – מפלטפורמות סייבר ועד הגנות מבוססות בינה מלאכותית – הנתונים מספרים סיפור אחר לגמרי:
מרבית הפריצות ההרסניות לא נגרמות בגלל האקרים מתוחכמים או מתקפות זירו-דייי.
הן קורות בגלל אנשים.
דו”ח Verizon Data Breach Investigation 2024, שהתבסס על אלפי אירועים ברחבי העולם, קובע כי למעלה מ74% מהפריצות נגרמות ישירות מגורם אנושי: טעויות, רשלנות, תרבות ארגונית לקויה או מניפולציות חברתיות.
לא קוד. לא פיירוול. תרבות.
מקרים אמיתיים – כשהתרבות קורסת
בנק אמריקאי גדול איבד 80 מיליון רשומות לקוחות – לא בגלל חולשה טכנית, אלא מפני שעובד זוטר העלה קובץ לSharePoint ציבורי ללא תהליך בקרה וללא תחושת אחריות.
חברת תרופות אירופית הושמה על ברכיה בעקבות קמפיין פישינג שבו מנהל בכיר לחץ על קישור זדוני – כי התרבות הארגונית גרמה לו להאמין שאבטחת מידע היא “בעיה של הIT”, לא שלו.
סטארטאפ טכנולוגי קרס לאחר שעובד מתוסכל הדליף החוצה מידע רגיש – הנהלה שלא השקיעה בבניית אמון ושקיפות שילמה את המחיר היקר ביותר.
ומה המשותף לכולם?
הטכנולוגיה עבדה. האנשים – לא.
הבעיה: תרבות של "זה לא אני"
ברוב הארגונים יש חלוקה ברורה: הCIO והCISO “אחראים” על האבטחה, וכל השאר רואים בזה עניין טכני.
זה יוצר תרבות של העברת אחריות, ובדיוק שם התוקפים מנצלים את הפתח.
מחקר של ENISA משנת 2023 מצא כי ב86% מהארגונים שנפרצו, העובדים ידעו שהפעולה שהם עושים מסוכנת – אבל התרבות גרמה להם להתעלם:
“זה לא התפקיד שלי,”
“זה יאט אותי,”
“לא נעים לדבר.”
המסקנה: אפשר להשקיע מיליונים בטכנולוגיה, אבל כל עוד ההנהלה לא בונה תרבות של אחריות משותפת – הכסף אבוד.
המנכ"ל הוא קו ההגנה הראשון – לא צופה מהצד
מנהלים צריכים להפנים: הפער הוא לא טכנולוגי, אלא מנהיגותי.
השינוי מתחיל בשפה של חדר הישיבות. לא בהוספת עוד מערכת, אלא בהוספת משקל תרבותי.
שלושה עקרונות שמנהיגים חזקים מיישמים כדי לסגור את פרצת האנוש:
1. שקיפות שמביאה אמון
תרבות שבה מותר לטעות בלי פחד. כשהעובד מדווח שלחץ על קישור חשוד במקום להסתיר – הוא מציל את הארגון. מחקרים מראים שבתרבויות פתוחות זיהוי אירועים מתבצע פי 3 מהר יותר
2. בעלות משותפת על הסיכון
האחריות על האבטחה היא לא רק של הIT. זו מטרה עסקית. מנכ”לים מתקדמים משנים את השיח מ“אבטחת טכנולוגיה” ל“אבטחת התנהגות”.
3. אימון מתמשך – לא קמפיין שנתי
סדנת פישינג פעם בשנה לא בונה תרבות. תרבות נבנית באימונים קצרים, תכופים ורלוונטיים לשגרה. חברות שמיישמות זאת מצליחות להקטין ב60% את שיעור ההקלקות על קישורים זדוניים (נתוני SANS).
סיפור של שינוי – דוגמה אמיתית
ב2022, חברת ייצור בינלאומית עם 5,000 עובדים חטפה מתקפת כופרה.
לאחר ההלם, המנכ”ל בחר כיוון אחר:
במקום להוסיף עוד טכנולוגיות, הוא השקיע 70% מהתקציב במהפכה תרבותית – מפגשים פתוחים בין הנהלה לעובדים, תגמול על דיווחי סיכון, והטמעת ערך “אחריות דיגיטלית” בכל שיחה.
18 חודשים אחר כך – החברה דיווחה על אפס דליפות משמעותיות, ירידה של 80% בטעויות אנוש, ובונוס לא צפוי:
עלייה ברמת האמון ובשיתוף הפעולה בין המחלקות.
המסקנה? תרבות מגינה עליך יותר מכל פיירוול.
המהלך הבא שלך כמנכ"ל
השאלה האמיתית היא לא “איזו מערכת קנינו?”
השאלה היא: “האם אני מוביל תרבות שבה כל עובד מרגיש שותף להגנה על הארגון?”
אם התשובה שלך אינה “כן” ברור – סימן שיש פרצה. והיא רחבה יותר מכל פורט פתוח.
השורה התחתונה:
האיום הגדול ביותר על הארגון שלך אינו הטכנולוגיה.
האיום האמיתי – וגם ההזדמנות הגדולה – היא התרבות.
מנהיגות שמבינה זאת לא רק מגינה על המידע – אלא בונה ארגון חסין, מהיר ועמיד בעולם שבו ההתקפה הבאה היא רק עניין של זמן.
