פורטינט, מובילה עולמית באבטחת סייבר המניעה את האיחוד בין ביצועי תקשורת ואבטחה, פרסמה את ממצאי הדוח הגלובלי בנושא מודעות והדרכה לאבטחת סייבר לשנת 2025, אשר נערך בקרב 1,850 מנהלי IT ואבטחה בכירים מ-29 מדינות ברחבי העולם, כולל ישראל. הדוח מראה כי ישנה התקדמות ברורה בנוגע למודעות העובדים לאבטחת סייבר, אך גם חושף את נקודות התורפה שעדיין קיימות בארגונים.
ה-AI מעלה מודעות, אך מוכנות העובדים עדיין לא אחידה
איומים מבוססי-AI שינו את האופן שבו עובדים ומנהלים חושבים על אבטחת סייבר. כמעט תשעה מתוך עשרה ארגונים טוענים כי שימוש התוקפים ב-AI הגביר את מודעות העובדים לחשיבות של הדרכה בנושא אבטחה. אך מודעות אינה זהה למוכנות. רק 40% מהמנהלים אומרים כי לעובדיהם יש את היכולת לזהות, להימנע ולדווח על איומי סייבר מבוססי-AI.
מרבית הארגונים מגיבים על ידי הדרכת עובדים לשימוש נכון בכלי GenAI, ניטור או הגבלת שיתוף נתונים רגישים והטמעת מדיניות אבטחת AI רשמית. כמעט כל המשיבים העידו כי כבר יש להם או שהם מטמיעים באופן פעיל מדיניות אבטחה עבור כלי AI ו-LLM.
איומים חיצוניים עדיין מניעים את השימוש בהדרכות סייבר, אך הסיכונים הפנימיים עולים במהירות
איומים חיצוניים, פרצות עבר ותקריות בתעשייה ממשיכים להוות את הסיבות העיקריות עבור ארגונים להשקיע בהדרכות מודעות לאבטחה, כאשר 41% מהמשיבים ציינו גורמים אלו כמניעים העיקריים. מה שהשתנה זוהי העלייה בחששות מפני סיכונים פנימיים. יותר מרבע מהארגונים מצביעים כיום על סיכונים פנימיים כסיבה לאימוץ הדרכות – מה שמהווה עלייה חדה לעומת השנה שעברה.
סדרי העדיפויות של ההדרכות משקפים את השינוי הזה. בעוד כי אבטחת נתונים (50%) ופרטיות נתונים (43%) נותרים הנושאים המרכזיים, כלים ואיומים מבוססי-AI אינם רחוק מאחור (42%). הנתונים מעידים על כך כי ארגונים מתחילים לקשר בין סיכונים מהעולם האמיתי למה שלומדים העובדים, במקום להתייחס להדרכה כאל תוכן תאימות כללי.
הדרכה למודעות סייבר מפחיתה אירועי אבטחה – וארגונים יכולים להוכיח זאת
ממצאי הדוח מראים כי ההדרכה עובדת, כאשר 67% מהארגונים מדווחים על ירידה מתונה או משמעותית בחדירות לארגון, תקריות ופרצות לאחר יישום מודעות והדרכה לאבטחת סייבר.
גם שיטות המדידה הופכות לבשלות יותר. המדדים הנפוצים ביותר כוללים הפחתת אירועי אבטחה (53%), משוב עובדים (52%) וביקורות אבטחה (50%). ארגונים רבים כיום משלבים הדרכה פרונטלית וממוחשבת עם סימולציות, הערכות וחיזוק מתמשך. הדבר משקף מעבר מהדרכה חד-פעמית לתוכניות שנועדו לשנות התנהגות ולהפחית סיכונים לאורך זמן.
שיעורי ההשלמה והעקביות נותרים נקודות התורפה
למרות מדידה ותוצאות טובות יותר, מרבית הארגונים עדיין מתקשים במעקב. רק אחוז קטן (6%) דיווח על סיום מלא של 100% מההדרכה. במקביל, 69% מהמנהלים העידו כי לעובדים עדיין חסרה מודעות אבטחה מספקת.
ממצאים אלו מסייעים להסביר את הפער בין ההשקעה לתוצאות. הדרכה שלא הושלמה ולא תורגלה כאשר נוף האיומים משתנה, אינה יכולה לספק את מלוא ערכה. הדוח מצביע על שיפורים מעשיים: מודולי הדרכה קצרים ותכופים יותר, אחריות ברורה יותר להשלמה, התאמה טובה יותר בין התוכן לאיומים הנוכחיים ותמיכה ניהולית ברורה. בנוסף, הצורך בהדרכות קבועות הופך לחשוב יותר כדי להתעדכן בהתקדמויות ב-AI.
מודעות לאבטחה הופכת לתרבותית, לא רק ניהולית
רוב המנהלים כיום רואים במודעות לאבטחה אחריות משותפת לכל הארגון ולא רק כפונקציה של IT או אבטחה. כמעט כולם פתוחים לשימוש במדיניות לניהול התנהגות בסיכון גבוה, במיוחד כאשר זו משולבת עם הדרכה שמסבירה את ההיגיון מאחורי אותה מדיניות. מדובר בשינוי חשוב שכן, הדרכה יעילה למודעות אבטחה אינה רק מעבר של מבחן בהצלחה. מדובר בעניין של עיצוב החלטות יומיומיות, חיזוק התנהגות חכמה והפחתת סיכונים במקום שבו העבודה מתרחשת.
לדברי מלוניה דה גאמה, מנהלת תוכנית הדרכה ולמידה בפורטינט, "הדרכה למודעות לאבטחת סייבר מפחיתה תקריות. ארגונים המשקיעים בה ומודדים אותה רואים תוצאות אמיתיות. ה-AI מאיץ הן את יכולות התוקפים והן את אימוץ העסקים. במקביל, הסיכונים הפנימיים גדלים ויותר מידי תוכניות עדיין מאבדות השפעה עקב שיעורי השלמה נמוכים או תוכן מיושן. כדי להיות יעילה, ההדרכה צריכה להיות רציפה, רלוונטית ומטופלת כבקרת ניהול סיכונים מרכזית ולא כפרויקט צדדי".
