תשקיעו כמה שתרצו ב-Firewall, EDR ו-SIEM - עובד אחד שלוחץ על קישור פישינג הופך את כל זה לחסר ערך. הנתון לא משתנה: 91% מהמתקפות מתחילות מגורם אנושי. ובישראל ב-2025, פישינג ממוקד בעברית הפך לווקטור ההתקפה הנפוץ ביותר.
הדרכות חד-פעמיות לא עובדות
בואו נגיד את זה ישר: הדרכת "Cybersecurity Awareness" אחת בשנה, עם סרטון יוטיוב ושקפי PowerPoint - לא עובדת. מחקרים מראים שאחרי 90 יום, 80% מהתוכן נשכח. אנשים לא לומדים מהדרכות - הם לומדים מניסיון.
חברת יבוא בתל אביב, 85 עובדים. עברו הדרכת cyber awareness בינואר. במרץ - מנהל הכספים קיבל מייל מ"המנכ"ל" שביקש העברה דחופה של 180,000 ש"ח לספק חדש. אין זמן לאמת. תוך 4 שעות הכסף יצא. זה BEC (Business Email Compromise) - ושום הדרכה בודדת לא תמנע את זה.
מה כן עובד: Security Culture, לא Security Training
ההבדל בין חברה שעובדיה מגנים עליה לחברה שעובדיה חושפים אותה - לא בשעות הדרכה. הוא בתרבות. Security culture זה כשעובד מרים טלפון לאיש ה-IT לפני שהוא לוחץ על "קישור מעניין", כי הוא יודע שמותר לשאול.
תוכנית הדרכה שעובדת: 4 שכבות
שכבה 1: Phishing Simulation - בחנו לפני שהתוקף יבחן
שלחו מיילי פישינג מדומים לעובדים פעם בחודש. מי שלוחץ - מקבל הדרכה מיידית ואישית, לא שיעור לכל הקבוצה. כלים כמו KnowBe4 או Proofpoint עושים את זה אוטומטית. אחרי 12 חודשים, שיעור הלחיצה יורד מ-28% ל-4%.
שכבה 2: Micro-training - 5 דקות, פעם בשבועיים
שיעורים קצרים, ממוקדים, רלוונטיים. לא "כל מה שצריך לדעת על סייבר" - אלא "איך מזהים BEC?", "מה עושים עם USB שנמצא?", "מה זה MFA ולמה זה חשוב?". תוכן קצר שאפשר לצרוך בין ישיבות.
שכבה 3: Reporting Culture - קל לדווח, לא מביך
צרו ערוץ דיווח פשוט: כפתור דיווח ב-Outlook, קבוצת WhatsApp "חשדות סייבר", או פשוט מספר טלפון. והכי חשוב - לעולם אל תבזו עובד שדיווח על חשד. גם אם זה היה בסדר גמור.
שכבה 4: Privileged Users - ההגנה הכפולה
מנהלי כספים, מנכ"לים, HR - אלה היעדים המועדפים על תוקפים. צריכים הדרכה ספציפית לתפקיד: איך מאמתים בקשות דחופות, מה זה CEO Fraud, ולמה "אין זמן" לא סיבה לדלג על אימות.
5 דברים שכל עובד חייב לדעת
- MFA על הכל - אימות דו-שלבי. נקודה. הדבר הבודד שמונע 99% מהגישות הלא מורשות.
- לאמת לפני לשלם - כל בקשת תשלום, גם מ"המנכ"ל", מאומתת בטלפון למספר שאתה מכיר.
- סיסמאות ייחודיות לכל שירות - Password Manager. נקודה.
- לא ללחוץ על קישורים במיילים - גם אם המייל נראה לגיטימי. לגשת לאתר ישירות דרך הדפדפן.
- לדווח על חשדות - עדיף להרגיש טיפש פעם אחת מלהיות הסיבה לאירוע.
שאלות נפוצות
למה הדרכות סייבר שנתיות לא עובדות?
מחקרים מראים ש-80% מהתוכן נשכח אחרי 90 יום. הדרכה חד-פעמית לא משנה התנהגות. לפי המלצות NIST לעסקים קטנים, צריך גישה מתמשכת - סימולציות פישינג, הדרכות מיקרו, ותרבות דיווח.
מהי שיטת ההדרכה היעילה ביותר?
גישת 4 שכבות: סימולציות פישינג חודשיות (מורידות לחיצה מ-28% ל-4%), הדרכות מיקרו של 5 דקות כל שבועיים, ערוצי דיווח נגישים, והדרכה ייעודית למשתמשים עם הרשאות גבוהות.
איך מורידים את שיעור הלחיצה על פישינג?
באמצעות סימולציות פישינג חודשיות עם כלים כמו KnowBe4 או Proofpoint. לפי דוח IBM Cost of a Data Breach, הדרכת עובדים היא אחד הגורמים המשמעותיים ביותר בהפחתת עלות פריצה.
קריאה נוספת: מה לעשות כשמתקפת כופרה פוגעת | שירותי אבטחת המידע שלנו | העלות הנסתרת של IT עצמאי | בזבוז רישיונות Microsoft 365
רוצים לבדוק כמה העובדים שלכם פגיעים?
נשלח Phishing Simulation ללא עלות ונראה לכם את התוצאות. מבטיחים שיהיה מפתיע.
קבעו בדיקה חינמית ←