בכל הביקורות האקטיביות האחרונות שביצענו בארגונים וחברות שונות המסקנה העיקרית עסקה בחשיבות העובדים במערך האבטחה. כן, קראתם נכון, העובדים משולבים במערך האבטחה למרות שהייעוד המקצועי שלהם אינו קשור כלל לאבטחה ובנוסף אינם בעלי הכשרה לביצוע פעולות אבטחה בגזרתם.
מי שינתח בצורה מקצועית ונכונה את המתקן שלו בראיית התוקף, יגלה ויבין שהיריב שיצליח לעבור את מעגלי האבטחה הראשונים, יגיע למעגל האבטחה האחרון ויפגוש בו את העובדים ולא את המאבטחים, כך שבפועל במקום שבו היריב נמצא ביעד הפגיעה הסופי שלו בתוך המתקן מי שימצא בסביבתו הם העובדים. במצב הזה העובדים הם היחידים שיכולים לזהות את היריב כחריג ולפעול לחשיפתו בזמן אמת.
כשחושבים על זה, כל עובד הוא כמו מצלמה מתקדמת ומשוכללת. יש לו עיניים כדי לראות (העדשה), יש לו אוזניים כדי לשמוע (המיקרופון) ויש לו שכל וחשיבה כדי לעבד את הנתונים ולקבל החלטה (התכנה). עכשיו תתחילו להבין ולבדוק כמה "מצלמות" יש לכם במעגל האחרון ואיפה. הפער שהצבענו עליו בכל הביקורות האקטיביות שביצענו בכל הקשור לעובדים בארגון, חברה או עסק גילה את הסיבה לכך שהעובדים לא מצליחים לשמוע ולראות את היריב בסביבת עבודתם למרות שהוא עומד ומבצע את זממו קרוב מאוד אליהם – ה"תכנה" של העובדים לא הוזנה בהגדרות המתאימות להבנה שמדובר באדם חריג שמבצע פעילות חריגה. העובדים לא עברו מעולם הדרכה או הכשרה מקצועית שתכין אותם ותאפשר להם לאתר את היריב בסביבת עבודתם.
ארגונים, חברות ועסקים אשר הבינו שלא ניתן להציב מאבטח ומצלמה בכל מקום במתקן והשכילו לשלב את העובדים במערך האבטחה העלו את המענה נגד תקיפה פיזית בצורה מרשימה. דרושה לכך החלטה ניהולית להקצאת משאבים מקצועיים ונכונים שיהפכו כל עובד ל"מצלמה" איכותית וחכמה. סוג של מצלמה עם אנליטיקה בתוכה.
מדוע ישנם עדיין הרבה מאוד ארגונים, חברות ועסקים שלא עשו זאת?
חברה שלא נפגעה על ידי יריב ואינה מודעת לאיומים ולסכנות וכנראה שתפקח את עיניה רק לאחר שהתרחש אירוע חריג.
חברה שבמודע לא רואה לנכון להשקיע משאבים במערך האבטחה שלה מעבר לנדרש ממנה וגם וכנראה שתפקח את עיניה רק לאחר שהתרחש אירוע חריג.
חברה שרצה קדימה ומשקיעה משאבים ותקציבים רבים בהגנה על המידע כנגד תקיפות מבחוץ ומזניחה או שוכחת את האבטחה הפיזית.
לשתי החברות הראשונות אין לי יותר מידי מה להגיד חוץ מלאחל להם בהצלחה והלוואי שלא יותקפו אף פעם.
לעומתן, אומר לחברה השלישית שסביר להניח שנדבקה בתופעת הסייבר הפופולרית כמו הרבה חברות אחרות ואסביר שבשנים האחרונות ארגונים, חברות ועסקים רבים משקיעים כסף רב במתן מענה כנגד איומי סייבר ובצדק כי במידה ויתממשו יוכלו לגרום לנזק קשה ולעיתים לבלתי הפיך, אבל כאשר זה בא על חשבון המענה הפיזי ברור שהחשיפה לאיומים הקיימים נשארת גבוהה. בד בבד עם העליה בהשקעה בסייבר נושא ניהול הסיכונים השתכלל והשתפר וגרם לכך שיותר ויותר מנהלים ומנב"טים מצליחים להגדיר רשימת איומים ממוקדת שרלוונטית למתקן ולמאפייניו בלבד. אני חושב שכל רשימה כזו, עד כמה שתהיה מממוקדת חייבת תמיד תכלול איומים שקשורים לתקיפה פיזית של המתקן ולא רק תקיפה מרחוק.
ישנם יריבים בעלי יכולת חדירה לתוך המתקן בשעות הפעילות שלו שיודעים כיצד לעבור את מערך האבטחה בדרכם לחדר השרתים ולמשרדים/חדרים/מחסנים רגישים שכוללים מידע ו/או ציוד בעל ערך רב וכו'. כאמור, במקומות האלה בתוך המתקן, אם היריב פוגש אנשים אלה הם העובדים ולא המאבטחים.
עובד ללא מודעות לאיומים והסכנות קיימים בגזרתו וללא הכשרה וכלים כיצד להתמודד איתם, לא יצליח לזהות את היריב בזמן אמת ובטח שלא יידע להתמודד עמו, וגרוע מכך, בתמימותו יעזור לו להיכנס למקום אסור ואף ילווה אותו מבלי לדעת את כוונותיו הרעות.
יריב בעל יכולת בינונית ומעלה יודע לזהות תופעות בתוך הארגון שיוצרות פרצות ופערים במעגלי האבטחה ויודע כיצד לנצל אותן לטובתו תוך שהוא "מפעיל" את העובדים התמימים כדי שיעזרו לו מבלי שיידעו ויבינו שהם עושים זאת. היריב משטה בעובדים ללא הכשרה בקלות יחסית. לרוב זו לא אשמתם של העובדים מכיוון שלא הוכשרו לכך ולכן לא יידעו להיות ערניים לסכנות בגזרתם במקביל לביצוע עבודתם השגרתית.
עובדתית, עובד ללא הכשרה ייכשל ברוב הפעמים שבהם היריב יפעיל עליו מניפולציות ובמעמד המפגש עמו יתפתה לפתוח את הדלת למרות שכוללת מערכת בקרת כניסה, יאמין לדמות שהיריב עטה על עצמו ולתפקיד שייחס לעצמו, ישכח את הנהלים ויאבד אפילו את החשדנות הבסיסית הנמצאת בכל אדם. ישנם מצבים שבהם היריב כל כך משכנע כך שאפילו עובד שחושד שמשהו לא בסדר מרגיש חוסר ביטחון עצמי ויכולת לאזור את האומץ לעצור לרגע ולשאול את השאלות הנכונות או פשוט להזעיק את כוח האבטחה במתקן.
על מנת שעובד יהפוך להיות מעגל אבטחה אחרון מקצועי ויעיל צריך קודם להבין את הפער הקיים בנושא, לאחר מכן צריך להקצות לכך תקציב ומשאבים ובסוף צריך להעביר את העובדים הכשרה מתאימה. המטרה אינה להפוך את העובדים למאבטחים. המטרה הינה ללמד את העובדים לזהות חריגים בגזרתם תוך שהם מבצעים את תפקידם כנדרש וללא פגיעה בייעודם המקצועי. אפשר להגיע למצב שבו העובד רואה אדם בסביבתו ונדלקת לו נורה אזהרה.
העובדים הם המצלמה הכי טובה שלך באזורים שבהם אין מאבטחים ויתכן שגם אין מצלמות ולכן כל מה שצריך לעשות זה להרגיל את העובדים להרים את הראש ולהשתמש בעיניים (העדשה) על מנת לזהות מי נמצא לידם והאם הוא מוכר ובעל אישור לשהייה במקום, להקשיב לרעשים (המיקרופון) בסביבה כך שגם אם העובד עסוק בעבודתו השגרתית ועיניו למטה הוא לא יאבד את יכולת השמיעה שתסייע לו לדעת שמשהו חריג מתרחש לידו ובסוף חלה חובה לצייד את העובדים בהגדרות חד ערכיות וברורות שיהוו עבורו את התכנה שתחבר את מה שהעיניים רואות ואת מה שהאוזניים שומעות ליכולת לקבל החלטה האם מדובר באדם חריג שצריך להתייחס אליו עכשיו.
מי שיבצע את שכתבתי יצרף למערך האבטחה עשרות או מאות או אלפי מצלמות אנושיות וחכמות שיקשו על חייו של היריב וישפרו משמעותית את המענה כנגד האיומים שהוגדרו.