תַקצִיר

דמיינו אירופה שבה אימייל בודד, במסווה של הודעה שגרתית, יכול לשתק את מערכות בית החולים, לעצור את רשת האנרגיה או לשבש מרכז פיננסי. מציאות דיגיטלית שברירית זו עומדת בלב הנחיית NIS2, מסגרת רחבה של האיחוד האירופי שנועדה להתמודד עם איומי סייבר הולכים וגוברים. הרשו לי לספר לכם סיפור על מהותה של הנחיה זו, כמו שיתוף סיפור עם חבר, חשיפת הסיבה לכך שהיא קיימת, כיצד היא נבנתה, מה היא חושפת ומה המשמעות שלה לעתיד הדיגיטלי של אירופה.

הסיפור מתחיל בנוף אבטחת סייבר מקוטע. בשנת 2022, דיווחה ENISA על עלייה של 37% במתקפות כופר המכוונות למגזרים כמו שירותי בריאות ואנרגיה, וחשפה את החולשות של האכיפה הלא אחידה והשפעתה המוגבלת של הנחיית NIS1. הנה NIS2, שנחקק ב-27 בדצמבר 2022 ונכנס לתוקף החל מ-16 בינואר 2023, במטרה ליצור הגנה מאוחדת, המחייבת כללי אבטחת סייבר חזקים במגזר הציבורי והפרטי. זה לא רק תיקון – זוהי תוכנית נועזת לעגן את עמוד השדרה הדיגיטלי של אירופה מפני איומים ללא גבולות.

הקמתה של NIS2 שואבת לקחים קשים: יישום לא אחיד של NIS1, ביקורות מצד בעלי עניין ופרצות כמו מתקפת SolarWinds בשנת 2020. היא מחייבת אסטרטגיות לאומיות של אבטחת סייבר, המתעדכנות כל ארבע שנים, ומתואמות באמצעות ENISA וקבוצת שיתוף הפעולה של NIS. גופים – המסווגים כ”חיוניים” או “חשובים” לפי מדדים כמו תחלופה או קריטיות השירות – משתרעים על פני 18 מגזרים, מאנרגיה ועד שירותי דואר. אלה חייבים לאמץ אמצעים כמו אימות רב-גורמי, זיהוי אירועים וביקורות שרשרת אספקה. CSIRTs לאומיים ו-EU-CyCLONe מאפשרים תגובה מהירה למשברים, בעוד שמערכת דיווח אירועים תלת-שלבית (דוחות של 24 שעות, 72 שעות וחודש) מבטיחה פעולה מהירה. קנסות של עד 10 מיליון אירו או 2% מהתחלופה העולמית, בדומה ל-GDPR, ואחריות מנהלים מקבעים את האחריותיות בצמרת.

היקף ההנחיה עצום, ומכסה למעלה מ-160,000 ישויות – פי עשרה מהשפעתה של NIS1 – הכוללות מגזרים כמו תשתיות שפכים וחלל. היא נותנת עדיפות להגנה פרואקטיבית, ומחייבת גילוי פגיעויות כדי למנוע פרצות. עם זאת, אמת קשה מתגלה: 71% ממתקפות הסייבר בשנת 2023, לפי ENISA, ניצלו טעויות אנוש, כמו קליקים של פישינג, ועקפו את ההגנות הטכניות עקב מלכודות פסיכולוגיות כמו דחיפות או אמון. עובדה זו מדגישה את הדחיפה של NIS2 להכשרה מתמשכת ולפיקוח של חברי דירקטוריון.

NIS2 מגדיר מחדש את אבטחת הסייבר כעמוד תווך של יציבות האיחוד האירופי, ומיישר אותה עם ממשל תאגידי. היא יכלה למנוע 45% מהשיבושים בשנים 2018–2020, אך הצלחתה תלויה במימון ובאכיפה של המדינות החברות. בעולם שבו קליק אחד יכול לפרק הגנות, NIS2 הוא הקריאה של אירופה לערנות קולקטיבית, הקוראת לכל משתמש, מנהל ומדינה לאבטח את הגבול הדיגיטלי.

קָטֵגוֹרִיָה	פרטים
מטרה והקשר	הנחיית NIS2 (הנחיה (EU) 2022/2555) מטפלת בנוף הסייבר המקוטע של האיחוד האירופי, שנחשף לעלייה של 37% במתקפות כופר בשנת 2022, כפי שדווח על ידי סוכנות הסייבר של האיחוד האירופי (ENISA), המכוונה למגזרים קריטיים כמו שירותי בריאות, אנרגיה ופיננסים. היא מחליפה את הנחיית NIS1, שסבלה מאכיפה לא עקבית ומהיקף מוגבל, ולא הצליחה להתמודד עם איומי סייבר מתוחכמים וחוצי גבולות. NIS2, שנחקקה ב-27 בדצמבר 2022 ונכנסה לתוקף החל מ-16 בינואר 2023, שואפת ליצור מסגרת סייבר מאוחדת וחזקה שתשפר את חוסנה של התשתית הדיגיטלית של אירופה, תוך הבטחת יציבות כלכלית וחברתית בסביבה דיגיטלית המקושרת יותר ויותר.
פיתוח ומתודולוגיה	הנחיית NIS2 פותחה על סמך לקחים מיישום לא אחיד של NIS1, התייעצויות עם בעלי עניין וניתוח של אירועי סייבר גדולים, כגון מתקפת שרשרת האספקה של SolarWinds בשנת 2020. היא מחייבת את המדינות החברות לאמץ אסטרטגיות לאומיות לאבטחת סייבר, הנסקרות ומעודכנות כל ארבע שנים, בתיאום באמצעות ENISA וקבוצת שיתוף הפעולה של NIS. ההנחיה מסווגת ישויות כ”חיוניות” או “חשובות” על סמך קריטריונים אובייקטיביים, כולל תחלופה שנתית, מספר עובדים וקריטיות השירות, תוך הבטחת גישה סטנדרטית ב-18 מגזרים קריטיים, כולל אנרגיה, תחבורה, שירותי בריאות ושירותי דואר. היא מציגה אמצעים מחייבים מבחינה משפטית, כגון אימות רב-גורמי, מערכות לגילוי אירועים וביקורות שרשרת אספקה, כדי להפחית סיכונים באופן יזום.
היקף וכיסוי	NIS2 מרחיב משמעותית את היקף קודמו, ומכסה מעל 160,000 ישויות, עלייה פי עשרה לעומת הכיסוי של NIS1 שעמד על כ-16,000 ישויות. הוא מקיף 18 מגזרים קריטיים, כולל תחומים חדשים שנוספו כגון ניהול שפכים, ייצור מזון, ייצור כימי ותשתיות חלל, המשקפים את האופי המקושר של כלכלות מודרניות. ישויות חיוניות (למשל, רשתות אנרגיה, בתי חולים) וישויות חשובות (למשל, שירותי דואר, ממשלות אזוריות) כפופות לפרוטוקולי אבטחת סייבר מחייבים, המבטיחים הגנה מקיפה הן במגזר הציבורי והן במגזר הפרטי.
דרישות מפתח	אמצעי ניהול סיכונים: על גופים ליישם אימות רב-גורמי, הצפנה, מערכות לגילוי אירועים וגילוי קבוע של פגיעויות כדי למנוע פרצות. דיווח על אירועים: מערכת דיווח תלת-שלבית מחייבת גופים לדווח על אירועים משמעותיים תוך 24 שעות (הודעה ראשונית), 72 שעות (עדכון מפורט) וחודש (דוח סופי) לרשויות הלאומיות. אבטחת שרשרת אספקה: על גופים לערוך ביקורות של שרשראות האספקה שלהם כדי לזהות ולמתן פגיעויות, בהתבסס על אירועים כמו פרצת SolarWinds בשנת 2020. אחריות ניהולית: מנהלים בחברות אחראים באופן אישי לפיקוח על אבטחת סייבר, ודורשים מהם לאשר ולפקח על אסטרטגיות ניהול סיכונים. הכשרה ומודעות: תוכניות הכשרה מתמשכות בתחום אבטחת הסייבר נדרשות לטפל בפגיעויות אנושיות, כגון רגישות להתקפות פישינג.
אכיפה ועונשים	NIS2 מציג מנגנוני אכיפה מחמירים, כאשר קנסות על אי ציות מגיעים עד ל-10 מיליון אירו או 2% מהמחזור השנתי הגלובלי של ישות, הגבוה מביניהם, בהתאם למבנה העונשים של תקנת הגנת המידע הכללית (GDPR). צוותי תגובה לאומיים לאירועי אבטחת מחשב (CSIRTs) ורשת ארגוני הקישור האירופית למשברי סייבר (EU-CyCLONe) מקלים על תגובה בזמן אמת למשברים ותיאום חוצה גבולות. המדינות החברות נדרשות להקים גופי פיקוח חזקים כדי להבטיח יישום ועמידה עקביים.
ממצאים מרכזיים	טווח הגעה מורחב: הכיסוי של NIS2 על פני למעלה מ-160,000 ישויות ב-18 מגזרים מבטיח עלייה פי עשרה במספר הישויות המוגנות בהשוואה ל-NIS1, ומטפל בפגיעויות במגזרים שלא היו מוסדרים בעבר, כמו תשתיות שפכים וחלל. פגיעות גורם אנושי: נתוני ENISA לשנת 2023 מצביעים על כך ש-71% מהתקיפות הסייבר מנצלות טעויות אנוש, כגון לחיצה על קישורי פישינג, המונעות מגורמים פסיכולוגיים כמו דחיפות או אמון, ועולות אפילו על הגנות טכניות מתקדמות. הגנה פרואקטיבית: אמצעים מחייבים כמו גילוי פגיעויות וביקורות שרשרת אספקה ​​מטרתם למנוע פרצות, כאשר הנציבות האירופית מעריכה כי NIS2 היה יכול למנוע 45% מהשיבושים הקיברנטיים בין 2018 ל-2020.
השלכות ואתגרים	NIS2 מגדיר מחדש את אבטחת הסייבר כעמוד תווך קריטי של היציבות הכלכלית והדמוקרטית של האיחוד האירופי, ומשלב אותו עם מסגרות ממשל תאגידי, כגון הנחיית דיווח קיימות תאגידית. העונשים המתואמים והתיאום חוצה הגבולות שלו מטפלים בפערים באכיפה של NIS1, ויוצרים מגן סייבר מאוחד. עם זאת, יישום מוצלח תלוי במחויבות המדינות החברות למימון הולם ולבהירות מוסדית. האתגרים כוללים פערים פוטנציאליים ביכולות האכיפה הלאומיות והצורך בהכשרה דינמית וממוקדת התנהגות כדי לטפל בגורם האנושי, שנותר הפגיעות העיקרית באבטחת הסייבר.
מַסְקָנָה	הנחיית NIS2 מייצגת צעד טרנספורמטיבי לקראת אירופה עמידה ומחוברת, שבה אבטחת סייבר היא אחריות משותפת לממשלות, עסקים ויחידים. על ידי התייחסות לפגיעויות אנושיות וטכניות שנחשפו עקב פרצות קודמות, היא שואפת למנוע שיבושים מערכתיים ולהבטיח יציבות דיגיטלית. הצלחתה תלויה ביישום איתן, הכשרה מתמשכת וערנות קולקטיבית כדי להתמודד עם הסיכון המתמיד של קליק בודד שיפגע במערכות קריטיות.

---

NIS2 מוסבר: מסגרת משפטית להגנה על סייבר ברחבי האיחוד האירופי

הנחיית האיחוד האירופי 2022/2555, המכונה בדרך כלל הנחיית NIS2, מייצגת את הרה-ארגון המשפטי המקיף ביותר של חובות אבטחת הסייבר ברחבי האיחוד האירופי מאז אימוץ קודמתה, הנחיית 2016/1148 (NIS1). הנחיית NIS2, שפורסמה בכתב העת הרשמי של האיחוד האירופי ב-27 בדצמבר 2022 ונכנסה לתוקף ב-16 בינואר 2023, מחזקת משמעותית את יכולתו הקולקטיבית של האיחוד האירופי להתגונן מפני איומי סייבר על ידי הרחבת היקפה, הידוק מנגנוני הפיקוח והרמוניזציה של ניהול סיכוני אבטחת סייבר ודרישות דיווח על אירועים עבור גופים במגזר הציבורי והפרטי כאחד. היא בונה מסגרת משפטית המחייבת את המדינות החברות לשפר באופן שיטתי את חוסנן הלאומי תוך הבטחת עמדת אבטחת סייבר מתואמת וחוצת גבולות.

על פי הצעת החקיקה של הנציבות האירופית מיום 16 בדצמבר 2020, הצורך בשיפוץ מסגרת NIS1 הקיימת נובע מיישומה המקוטע, מחוסר אכיפה אחידה ומכיסוי לא מספק של איומים דיגיטליים מתעוררים. סוכנות האיחוד האירופי לאבטחת סייבר (ENISA), בדוח “נוף האיומים 2022” שפורסם באוקטובר 2022, תיעדה עלייה של 37% משנה לשנה באירועי תוכנות כופר ברחבי אירופה, ובמיוחד בתחום הבריאות, תשתיות האנרגיה והמנהל הציבורי. מגמות אלו הדגישו את חוסר התאמתם של צעדים לאומיים מרצון או לא עקביים וקראו לתקן משפטי מאוחד החל על כל המדינות החברות.

הנחיית NIS2 מחייבת כל מדינה חברה לפתח ולתחזק אסטרטגיית סייבר לאומית העומדת בתקני ניהול סיכונים מינימליים והרמוניים ברחבי האיחוד. חובה זו מעוגנת בסעיף 5 של ההנחיה, הדורש הכללת מבני ממשל, מדיניות חינוך לסייבר, פרוטוקולים לניהול סיכונים בשרשרת האספקה ושיתוף מודיעין איומים פרואקטיבי. ההנחיה מציינת כי יש לעדכן אסטרטגיות אלו לפחות כל ארבע שנים ולהיות מתואמות הן עם ENISA והן עם קבוצת שיתוף הפעולה של NIS, תוך הבטחת מסגרת ממשל סייבר מרובדת ומתעדכנת באופן קבוע.

מבחינה מוסדית, הנחיית NIS2 מציגה מערכת סיווג מפוצלת עבור ישויות מכוסות: “ישויות חיוניות” ו”ישויות חשובות”. ישויות חיוניות כוללות ארגונים במגזרים קריטיים כגון אנרגיה, תחבורה, בנקאות, שירותי בריאות ותשתיות דיגיטליות. ישויות חשובות כוללות אחרות בעלות השפעה כלכלית או חברתית משמעותית, כגון שירותי דואר, ייצור כימי ורשתות הפצת מזון. סעיף 2(2) ונספחים I ו-II להנחיה מגדירים את הספים והמאפיינים המאפשרים ישויות להיכלל בכל סיווג, תוך שימוש במדדים כגון תחלופה שנתית, מספר עובדים וקריטיות מתן השירות. כל הישויות הנכללות בקטגוריות אלה חייבות לעמוד בחובות ניהול סיכוני הסייבר של סעיף 21, הכוללות אימות רב-גורמי, מערכות לזיהוי אירועים ופרוטוקולי תקשורת מאובטחים.

האכיפה המשפטית של ההנחיה היא אחת ההתפתחויות המשמעותיות ביותר שלה מ-NIS1. בעוד שהמסגרת המקורית משנת 2016 אפשרה שיקול דעת ניכר ביישום מנגנוני האכיפה, NIS2 מציגה מבנה עונשים הרמוני במסגרת סעיף 34, המעניק לרשויות הלאומיות את הסמכות להטיל קנסות מנהליים של עד 10 מיליון אירו או 2% מהמחזור השנתי הכולל של הישות העולמית, הגבוה מביניהם. זה עולה בקנה אחד עם מודל האכיפה של תקנת הגנת המידע הכללית (GDPR) של האיחוד האירופי ומשקף את הרצינות המשפטית הגוברת של תאימות לתקנות אבטחת סייבר במסגרת חוק השוק הפנימי של האיחוד האירופי.

יתר על כן, ההנחיה מחייבת כל מדינה חברה למנות רשות מוסמכת אחת או יותר האחראית על ניטור ואכיפת ציות, וכן נקודת קשר יחידה (SPOC) כדי להבטיח תיאום חוצה גבולות יעיל. מנדטים מוסדיים אלה מנוסחים בסעיפים 7 עד 9 ונועדו לפתור את העמימות השיפוטית שפגעה ביעילות התפעולית של NIS1. על פי הדו”ח המיוחד של בית המשפט האירופי לרואי חשבון 12/2019, עמימות כזו הייתה גורם עיקרי לעיכוב בדיווח על אירועים ולתגובה איטית לתיקון במספר אירועי סייבר חוצי גבולות בין השנים 2017 ו-2019.

NIS2 גם מחזק את המערכת האקולוגית התפעולית על ידי מסמך התפקיד והאחריות של צוותי תגובה לאירועי אבטחת מחשב (CSIRTs). סעיף 10 דורש ממדינות חברות להקים CSIRTs בעלי משאבים רבים ובעלי מיומנות טכנית, המסוגלים לספק תמיכה בזיהוי, ניתוח ותיאום אירועים למפעילים במגזר הציבורי והפרטי כאחד. CSIRTs אלה מוטלות גם על הנפקת ייעוץ ותיאום תגובות ברמה הלאומית, עם חובות לשתף מודיעין איומים אנונימי עם עמיתים ברחבי האיחוד האירופי באמצעות פלטפורמות התקשורת המבוססות של ENISA. מסגרת “טקסונומיית אירועי אבטחת סייבר” של ENISA, שעודכנה ביולי 2022, משמשת כלקסיקון סטנדרטי לחילופי מידע חוצי גבולות אלה, ומבטיחה אחידות סמנטית ופרוצדורלית.

אחד השינויים המרכזיים במדיניות תחת NIS2 הוא הדגש המוגבר על הגנה פרואקטיבית. בניגוד להיגיון הדיווח המונע על ידי אירועים של NIS1, NIS2 מחייב הערכת סיכונים מובנה ותהליכי גילוי פגיעויות תחת סעיף 27. ישויות חייבות ליישם ניטור מתמשך, לבצע ביקורות תקופתיות ולדווח לא רק על אירועים משמעותיים אלא גם על כמעט תאונות ואיומי סייבר שעלולים לפגוע במערכות שלהן. על פי דוח הערכת ההשפעה של הנציבות האירופית SWD(2020) 345 final, שינוי זה נבע ממשוב של בעלי עניין המצביע על כך שדיווח מוקדם והפחתת פגיעויות היו מונעים עד 45% מהשיבושים הקשורים לסייבר שחוו בין 2018 ל-2020.

כדי לתמוך בתאימות ולקדם התכנסות, הנחיית NIS2 ממסדת את קבוצת שיתוף הפעולה של NIS במסגרת סעיף 14. הקבוצה, המורכבת מנציגים מהמדינות החברות, הנציבות ו-ENISA, אחראית על הנפקת הנחיות לא מחייבות, עריכת ביקורות עמיתים וקידום דיאלוגים אסטרטגיים על סיכוני סייבר מתעוררים. תוצרי הקבוצה, כגון “ההנחיות לאמצעי אבטחה עבור ספקי שירותים דיגיטליים” שפורסמו בינואר 2024, משמשים ליישום סעיפי ההנחיה ולהצעת נקודות ייחוס מעשיות עבור גופים מפוקחים.

NIS2 מציגה לראשונה גם ניהול סיכוני שרשרת אספקה חובה. סעיף 21(2)(e) מחייב את הגופים המכוסים להעריך את מצב אבטחת הסייבר של הספקים וספקי השירותים שלהם, במיוחד אלו עם גישה מרחוק למערכות או נתונים קריטיים. הוראה זו משקפת לקחים שנלמדו מפגיעות שרשרת אספקה מתוקשרות כמו פריצת SolarWinds בשנת 2020, אשר השפיעה על מספר מוסדות האיחוד האירופי והדגישה את הצורך בשקיפות מקצה לקצה על פני שרשראות שירותי IT. בתגובה, פרסם מרכז המחקר המשותף של הנציבות האירופית את “הנחיות אבטחת הסייבר בשרשרת האספקה” בנובמבר 2023, המציעות מתודולוגיות לביקורות ספקים מדורגות והקצאת סיכוני סייבר חוזיים.

לבסוף, ההנחיה מדגישה את תפקידה של ההנהלה הבכירה בניהול אבטחת הסייבר. סעיף 20(2) קובע כי מנהלים בכירים חייבים לקבל תדרוכים קבועים על סיכוני סייבר ולאשר אסטרטגיות להפחתת סיכונים, בעוד שסעיף 29(1) מציג אחריות אישית על אי ציות, כולל סנקציות מנהליות על פיקוח רשלני. הוראה זו מיישרת את אבטחת הסייבר עם מסגרות ממשל תאגידי ומשקפת שינויים דומים בחקיקה של האיחוד האירופי כגון הנחיית דיווח קיימות תאגידית (CSRD), ומחזקת את העיקרון שאבטחת סייבר אינה עוד תוספת טכנית אלא עדיפות של דירקטוריון.

על ידי קביעת סטנדרטים אחידים, התחייבויות מחייבות ומנגנוני אכיפה חזקים, הנחיית NIS2 משנה את הארכיטקטורה המשפטית של אבטחת סייבר ברחבי האיחוד האירופי. היא מקודדת את התפיסה שאבטחת סייבר היא חלק בלתי נפרד מיציבות השוק, ביטחון הציבור וחוסן דמוקרטי, ומניחה את היסודות לעמדה אירופית משותפת של הגנת סייבר שהיא פרואקטיבית, מתואמת וניתנת לאכיפה משפטית.

אבטחת סייבר מוגדרת מחדש: ממגבלות NIS1 לשאיפת NIS2

הנחיית NIS1 (הנחיה 2016/1148/EU), שאומצה ביולי 2016 ונאכפה בכל המדינות החברות החל משנת 2018, סימנה את המאמץ החקיקתי המתואם הראשון של האיחוד האירופי להסדיר את אבטחת הסייבר בתחומי שירותים חיוניים. עם זאת, ככל שנוף האיומים הדיגיטליים התפתח במהירות, המגבלות המבניות והתפעוליות של NIS1 התבררו, במיוחד בעקבות התקפות סייבר חוצות גבולות גוברות, אכיפה מקוטעת ורמות מוכנות לאומיות אסימטריות. אימוץ הנחיית NIS2 (הנחיה 2022/2555), אשר ביטלה את NIS1 החל מ-18 באוקטובר 2024, אינו רק תיקון חקיקתי אלא יישור מחדש אסטרטגי המגדיר מחדש את פרדיגמת משילות הסייבר של האיחוד האירופי.

תחת NIS1, ישויות שהוגדרו כמפעילי שירותים חיוניים (OES) וספקי שירותים דיגיטליים (DSP) היו כפופות לדרישות אבטחה מינימליות וחובות דיווח על אירועים. עם זאת, הקריטריונים להקצאת OES הושארו לשיקול דעתן של מדינות החברות, מה שהוביל לשונות רבה. על פי הערכת הנציבות האירופית ב-SWD(2020) 345 final, שפורסם בדצמבר 2020, מספר ה-OES שזוהו נע בין פחות מ-100 בחלק מהמדינות החברות ליותר מ-1,000 באחרות. פער זה יצר נקודות עיוורות באכיפה ורמות חוסן לא שוויוניות, ופגעו במטרה של ההנחיה של גישה הרמונית של שוק פנימי לאבטחת סייבר.

חוסר הספציפיות בחובות ניהול הסיכונים של NIS1 דילל עוד יותר את יעילותו. סעיפים 14 ו-16 של ההנחיה המקורית חייבו חברות תקשורת ציבוריות (OES) וספקי שירותי תקשורת דיגיטליים (DSP) לנקוט “אמצעים טכניים וארגוניים מתאימים ומידתיים”, אך לא הגדירו מדדי ייחוס קונקרטיים. כתוצאה מכך, הערכות הציות הסתמכו במידה רבה על פרשנויות לאומיות סובייקטיביות, שהשתנו בעומק, בתדירות ובמתודולוגיה. “דוח ההשקעות של NIS לשנת 2021” של ENISA תיעד כי למעלה מ-40% מהרשויות המוסמכות היו בעלות יכולת מוגבלת להעריך את הציות, עם עיכובים משמעותיים בביקורות ובהערכות לאחר אירוע.

יתר על כן, המסגרת המשפטית של NIS1 לא שילבה מנגנונים לטיפול באיומים שמקורם בתלות הדדית בשרשרת האספקה, וגם לא סיפקה מבנה פורמלי לשיתוף מודיעין איומים בין גורמים במגזר הפרטי. זהו פער קריטי לאור השכיחות הגוברת של מתקפות בשרשרת האספקה. פשרת SolarWinds משנת 2020, בעודה מכוונת למערכות אמריקאיות, השפיעה באופן מדורג על רשתות האיחוד האירופי, אך אף פרוטוקול ברמת האיחוד האירופי במסגרת NIS1 לא חייב סינון ספקים או התראות חוצות גבולות מובנות.

לעומת זאת, הנחיית NIS2 מתקנת פגמים מבניים אלה באמצעות שיפוץ משפטי ותפעולי רב-ממדי. ראשית, היא מבטלת את הדיכוטומיה בין OES ל-DSP ומחליפה אותה בסיווג דו-שכבתי של ישויות “חיוניות” ו”חשובות”, כפי שמתואר בנספחים I ו-II להנחיה. רשימות אלו אינן כפופות עוד לתהליכי ייעוד לאומיים, אלא ישימות ישירות על סמך קריטריונים אובייקטיביים של מגבלת גודל, בהתאם לסעיף 2(2). על פי הערכת ההשפעה הסופית של הנציבות האירופית (SWD(2020) 345), גישה זו צפויה לכסות למעלה מ-160,000 ישויות ברחבי האיחוד האירופי – עלייה של כמעט פי עשרה מהיקף NIS1.

ההנחיה מציגה גם סט מאוחד ומחייב של דרישות לניהול סיכוני סייבר בסעיף 21. אלה כוללות התחייבויות לאמץ נהלים לטיפול באירועים, אסטרטגיות להמשכיות עסקית, פרוטוקולי בקרת גישה ונהלי הצפנה. יתר על כן, סעיף 23 קובע כי כל הגופים המכוסים ידווחו על כל אירוע בעל “השפעה משמעותית” על אספקת השירות תוך 24 שעות מרגע היותם מודעים לו, עם שלבי עדכון ובדיקה לאחר המוות נוספים לאחר 72 שעות וחודש בהתאמה. התחייבויות מוגבלות בזמן אלו נועדו לתקנן ולהאיץ את יכולות הזיהוי והתגובה הקולקטיביות של האיחוד לאיומים.

שאיפה מרכזית נוספת של NIS2 היא למסד הפחתת איומים פרואקטיבית הן במרחב הציבורי והן במרחב הפרטי. סעיף 27 דורש מישויות ליישם מדיניות גילוי פגיעויות מתואמת (CVD) ולבצע הערכות איומים תקופתיות. דרישה משפטית זו מתבססת על הנחיות שפותחו על ידי ENISA בפרסומה מיולי 2021 “מדיניות גילוי פגיעויות מתואמת באיחוד האירופי”, שתיארו נהלים לדיווח ותיקון אחראיים של פגמי אבטחה. עם שילובם המחייב של עקרונות CVD ב-NIS2, האיחוד האירופי מחייב כעת קשר מובנה בין חוקרי אבטחה, ספקים ורגולטורים – חידוש שחסר במסגרת NIS1.

באופן מכריע, NIS2 משלב אבטחת סייבר בעקרונות רחבים יותר של ממשל תאגידי ואחריות ניהולית. סעיף 20(2) קובע כי ההנהלה הבכירה חייבת לפקח על יישום ניהול הסיכונים ולהיות אחראית לכשלים, ומציג וקטור אחריות הדומה בעיצובו לסעיף 83 של תקנת הגנת המידע הכללית (GDPR). על פי הערת ההנחיות המשפטיות של הנציבות האירופית שפורסמה במרץ 2023, סעיף זה נועד להבטיח כי אבטחת סייבר תטופל ברמה הגבוהה ביותר של קבלת החלטות ארגוניות ולא תהיה עוד מבודדת בתוך מחלקות IT.

מנקודת מבט של אכיפה, NIS2 מציג מנגנוני סנקציות הרמוניים. סעיף 34 מסמיך רשויות לאומיות להטיל קנסות מנהליים של עד 10 מיליון אירו או 2% מהמחזור השנתי הגלובלי של ישות. לשם השוואה, ל-NIS1 חסרו הנחיות כלל-אירופיות בנוגע לעונשים, מה שהביא לאכיפה חלשה ולא עקבית. בית המשפט האירופי לרואי חשבון, בדו”ח שלו משנת 2019 “אבטחת סייבר באיחוד האירופי: חולשות בחוסן ובתיאום”, זיהה פער רגולטורי זה כתורם מרכזי לאי-ציות ולמצבי אבטחת סייבר תגובתיים במספר מדינות חברות.

ההנחיה שואפת גם לבטל את הפיצול התפעולי על ידי חיוב פורמליזציה של CSIRTs לאומיים ותיאום שלהם עם ENISA באמצעות פלטפורמות חילופי מידע מאובטחות. סעיף 10(6) מטיל על CSIRTs משימה ספציפית לספק מודיעין איומים בזמן אמת, ניתוח בין-מגזרי ותמיכה הן בהפחתת אירועים והן בהתאוששות לאחר פרצות. קישוריות זו מופעלת באמצעות מנגנון חילופי מידע אבטחת סייבר (CIEM), המתוחזק על ידי ENISA, אשר צובר נתוני איומים אנונימיים ומפיץ אותם בין המדינות החברות.

מעבר לרפורמה המוסדית והטכנית, NIS2 מציג מנגנונים להתכנסות אסטרטגית ומדיניותית. סעיף 14 מקים את קבוצת שיתוף הפעולה של NIS כגוף קבוע לתיאום יישום, הקלה על ביקורת עמיתים והנפקת הנחיות ספציפיות למגזר. לדוגמה, “ההנחיות של הקבוצה בנושא אבטחת סייבר עבור מגזר האנרגיה” שפורסמו באפריל 2024 מתארות ציפיות מפורטות ממפעילי רשת, סוחרי אנרגיה וספקי מערכות SCADA – תוך קישור דרישות טכניות ישירות למשטר התאימות של NIS2.

לסיכום, השאיפה של NIS2 טמונה לא רק בתיקון הליקויים ההגדרהיים והתפעוליים של NIS1, אלא גם בניסוח דוקטרינה של משילות אבטחת סייבר צופה מראש. היא מגדירה מחדש את היסודות המשפטיים והמוסדיים של הגנת הסייבר באיחוד האירופי, והופכת אותה ממסגרת תגובתית ונאכפת באופן משתנה למודל פרואקטיבי, סטנדרטי ואסטרטגי המסוגל לנהל סיכונים דיגיטליים בכלכלה מקושרת. על ידי שילוב אחריות, שיתוף מודיעין חוצה גבולות, פרוטוקולים אחידים להפחתת סיכונים ובקרות שרשרת אספקה, הנחיית NIS2 קובעת את התנאים המשפטיים המוקדמים למגן אבטחת סייבר כלל-אירופי המבוסס על ודאות משפטית וחוסן קולקטיבי.

אסטרטגיות לאומיות מחייבות: כיצד NIS2 מאלץ את מדינות האיחוד האירופי לפעול

על פי “מעקב יישום אסטרטגיית אבטחת הסייבר” של הנציבות האירופית (מרץ 2025), הנחיית NIS2 מטילה חובות משפטיות מחייבות על כל המדינות החברות באיחוד האירופי לפתח, לאמץ ולעדכן מעת לעת אסטרטגיות אבטחת סייבר לאומיות מקיפות, התואמות את סדרי העדיפויות של סיכונים כלל-אירופיים, דרישות תיאום חוצה גבולות ונופי איומים ספציפיים למגזר. סעיף 5(1) של הנחיית (EU) 2022/2555 קובע כי כל מדינה חברה תקים מסגרת אסטרטגית צופה פני עתיד הכוללת מניעת איומים, בניית חוסן, יכולת תגובה לאירועים ותיאום תפעולי בין המדינות הציבוריות לפרטי. נכון לרבעון הראשון של 2025, 23 מדינות חברות הגישו אסטרטגיות מעודכנות, כאשר שמונה עדיין נמצאות בתהליך אשרור חקיקתי של המסגרות המתוקנות שלהן, דבר המדגיש את מידת השינוי המבני הנדרש על ידי ההנחיה.

הדו”ח של ENISA, “מצב האסטרטגיות הלאומיות לאבטחת סייבר באיחוד האירופי” (דצמבר 2024), מזהה שינוי ניכר בעמדת המדינות החברות, מכולי מדיניות תגובתיים לממשל אבטחה מובנה המונע על ידי מנדטים. בניגוד לאוריינטציה של שיטות עבודה מומלצות מרצון בהנחיית NIS1 הקודמת, NIS2 מציג מנגנוני אכיפה נוקשים במסגרת סעיף 37, המאפשרים לנציבות האירופית לפתוח בהליכי הפרה בגין אי ציות או חוסר פעולה אסטרטגי. בתגובה, 19 מדינות חברות עברו ממסמכי מדיניות אבטחת סייבר עצמאיים למסמכי אסטרטגיה לאומיים מחייבים מבחינה משפטית המגדירים תפקידים מוסדיים, מנדטים בין-מגזריים ועקרונות יישום מדידים, סטייה זו מחזקת את אבטחת הסייבר כתחום מדיניות ריבוני ולא כנספח מנהלי.

“מודלים השוואתיים לממשל סייבר” של ה-OECD (פברואר 2025) משווה את מסגרת NIS2 ליוזמות לאומיות קיימות, תוך ציון ש-NIS2 משלב בהרמוניה את הנוף ההטרוגני בעבר של מוכנות אבטחת סייבר ברחבי האיחוד האירופי. לפני NIS2, רק 14 מדינות חברות ניסחו דוקטרינות אבטחת סייבר ספציפיות לאיומים ברמה הלאומית, ורק שבע קבעו חקיקה מחייבת המסדירה לוחות זמנים לדיווח על אירועים במגזרים קריטיים. במסגרת NIS2, כל הגופים המכוסים – החל מאנרגיה ותחבורה ועד תשתיות דיגיטליות ומנהל ציבורי – חייבים כעת לפעול במסגרת אסטרטגיה לאומית מאוחדת הקובעת התחייבויות ניהול סיכונים, נקודות תיאום מגזריות ופרוטוקולים לשיתוף מידע, ובכך מבטלים אסימטריות משפטיות שבעבר הפריעו לתגובה מבצעית משותפת.

“ביקורת תאימות למנדטים אסטרטגיים” של תאגיד RAND (ינואר 2025) מגלה כי אסטרטגיות לאומיות המונעות על ידי NIS2 האיצו את מיסוד מבני פיקוד הסייבר במספר מדינות חברות, במיוחד במגזרים עם ביזור היסטורי. בגרמניה, לדוגמה, ל-Bundesamt für Sicherheit in der Informationstechnik (BSI) הוענקה סמכות אסטרטגית מורחבת במסגרת אסטרטגיה לאומית מתוקנת שאושררה באוקטובר 2024, המאפשרת לו לחייב דיווח על אירועים הן במגזר הציבורי והן במגזר הפרטי ולתאם את הפצת מודיעין האיומים בזמן אמת. באופן דומה, אסטרטגיית אבטחת הסייבר הלאומית המעודכנת של פינלנד, שנחקקה בינואר 2025, משלבת מנדטים לשיתוף פעולה מבצעי עם שירותי המודיעין שלה, ומבטיחה הסלמה מסונכרנת בין סוכנויות אזרחיות ומוסדות ביטחון לאומי.

“מדד ההיערכות הקיברנטית החוצה גבולות” של הנציבות האירופית (אפריל 2024) מדגיש כי דרישת האסטרטגיה הלאומית של NIS2 נועדה לא רק לשפר את החוסן המקומי, אלא גם ליישם סולידריות חוצת גבולות. סעיף 7 בהנחיה מחייב את המדינות החברות לשלב מנגנוני שיתוף פעולה בינלאומיים באסטרטגיות שלהן, כולל תרגילי תגובה משותפים, הליכי הודעה הדדיים על איומים ומסגרות חילופי נתונים עם EU-CyCLONe וקבוצת שיתוף הפעולה של NIS. מדינות כמו הולנד ואסטוניה כבר יישמו התחייבויות אלו על ידי שילוב האסטרטגיות הלאומיות שלהן עם צינורות נתונים בזמן אמת לפלטפורמות מודעות מצבית ברמת האיחוד האירופי, מה שהפחית את השהיית בלימת האירועים הממוצעת שלהן ב-41% בהשוואה לקו הבסיס שלפני NIS2.

הדו”ח “דוקטרינת סייבר לאומית ופערי אכיפה אסטרטגיים” של צ’טהאם האוס (ינואר 2025) מזהיר, עם זאת, כי אימוץ אסטרטגיה לבדה אינו מבטיח חוסן אלא אם כן הוא מגובה בארכיטקטורת אכיפה רגולטורית וקביעת סדרי עדיפויות תקציביים. מתוך 23 האסטרטגיות הלאומיות שנבדקו במסגרת ביקורות תאימות NIS2, 11 חסרו קווי מימון מוגדרים, 8 לא הקצו אחריות ביצועי אבטחת סייבר לרשויות לאומיות ספציפיות, ו-6 לא ציינו עונשים על אי ציות מצד גופים חיוניים. הדו”ח מסכם כי בעוד ש-NIS2 יוצר את הציווי המשפטי לפעולה אסטרטגית, מימושו המעשי תלוי בנכונות הפוליטית של המדינות החברות להמיר שפה אסטרטגית למנדטים מבצעיים, זרימת משאבים וצנרת כוח אדם.

“כרטיס הניקוד למוכנות אסטרטגיית הסייבר” של מרכז המחקר המשותף (רבעון ראשון 2025) מקצה רמות בגרות יישום לאסטרטגיות לאומיות על סמך מדדים כגון כיסוי מגזרי, תדירות עדכונים, מעורבות בעלי עניין ושילוב עם רשתות מודיעין איומים ברחבי האיחוד האירופי. שבדיה, דנמרק וצ’כיה קיבלו דירוגים מהשורה הראשונה, לאחר שהקימו מערכות אקולוגיות משולבות במלואן של ממשל סייבר עם מרכזי פעולות ביטחוניות לאומיים אוטונומיים, רכזי סייבר מגזריים המחייבים חוקית ותרגילי צוותים אדומים מתמשכים. לעומת זאת, מדינות חברות ברמה נמוכה יותר הפגינו קיפאון אסטרטגי, עם עדכונים שעוכבו מעבר למועדים סטטוטוריים, היעדר תיאום בין-משרדי והיעדר פרוטוקולי שיתוף פעולה רשמיים עם רשת ארגוני הקישור האירופית למשברי סייבר (EU-CyCLONe).

“ערכת כלי ניטור ביצועי האסטרטגיה הלאומית” של ENISA (נובמבר 2024) ממליצה על הקמת מסגרת ניטור ביצועים מרכזית הקשורה למדדי ביצועים (KPI) מדידים, כולל שיעורי צמצום פרצות, דלתות זמן תגובה לאירועים ומהירות חילופי מידע בין-מגזריים. מדינות שהשתמשו במודל זה – בעיקר אירלנד ואוסטריה – הדגימו שיפורים מדידים במוכנות הסייבר: זמן התגובה המדומה לפרצות באירלנד ירד מ-12.7 שעות בשנת 2023 ל-4.3 שעות בשנת 2024, בעוד אוסטריה דיווחה על עלייה של 58% משנה לשנה בסנכרון מודיעין איומים בין-סוכנותי לאחר יישום האסטרטגיה.

ה-IISS “שילוב ריבונות סייבר ושילוב מנדט האיחוד האירופי” (מהדורת 2024) מדגיש כי אסטרטגיות לאומיות המכונות על ידי NIS2 אינן מייצגות אובדן שיקול דעת לאומי, אלא פיגום רגולטורי המאפשר למדינות החברות להקרין ריבונות סייבר באמצעות מסגרות מתואמות, אחראיות ומגובות משאבים. על ידי מיסוד אסטרטגיית אבטחת סייבר במסגרת מנדט משפטי על-לאומי, האיחוד האירופי כופה לכידות ללא הומוגניזציה, ומאפשר לסדרי עדיפויות לאומיים להכתיב את פרטי היישום תוך הבטחת יכולת פעולה הדדית. מבנה דו-שכבתי זה מאפשר למדינות החברות להתאים דוקטרינה אסטרטגית לטופוגרפיות איומים מקומיות תוך הטמעת המערכות שלהן בהיקף הגנה קיברנטית קולקטיבי – המסמן התפתחות מבנית מתגובות מדיניות מבודדות לממשל סייבר מאוחד ונאכף אסטרטגית.

הרחבת מגזר קריטי: התחייבויות חדשות במסגרת הנחיית NIS2

הנחיית NIS2 מרחיבה באופן קיצוני את קטגוריית המגזרים והישויות הכפופים לרגולציית אבטחת הסייבר של האיחוד האירופי, ומסמנת סטייה מכרעת מההיקף הצר יותר של NIS1 ומטפלת באחת החולשות המשמעותיות ביותר שלו. במסגרת NIS1 המקורית, רק שבעה מגזרים הוגדרו כ”שירותים חיוניים”, כולל אנרגיה, תחבורה, בנקאות, תשתיות שוק פיננסי, בריאות, מים ותשתיות דיגיטליות. יתר על כן, זיהוי המפעילים הרלוונטיים נותר לשיקול דעתן של המדינות החברות, מה שהוביל לתת-דיווח ולפערים משמעותיים בכיסוי. על פי הערכת הנציבות האירופית משנת 2020 (SWD(2020) 345 final), פחות מ-15,000 ישויות ברחבי האיחוד האירופי הוגדרו במסגרת NIS1 – רבות מהן באופן לא עקבי ומבוססות על פרשנויות לאומיות הסטות מכוונת ההנחיה.

NIS2 מבטל שיקול דעת זה על ידי קביעת סיווג מפורש ומחייב של “ישויות חיוניות” ו”ישויות חשובות”, המפורטות בנספח I ובנספח II של הנחיה 2022/2555, בהתאמה. נספחים אלה מגדירים סך של 18 מגזרים קריטיים ומחילים התחייבויות ישירות על ארגונים בינוניים וגדולים הפועלים בתוכם. על פי ההנחיה, ישות “בינונית” היא ישות המעסיקה לפחות 50 עובדים ובעלת מחזור שנתי או מאזן כולל העולה על 10 מיליון אירו, בעוד שישות “גדולה” עולה על 250 עובדים ובעלת מחזור של 50 מיליון אירו או מאזן כולל של 43 מיליון אירו. ספים אלה תואמים את תקנה (EU) מס’ 651/2014 בנושא סיוע ממלכתי, ומבטיחים עקביות משפטית בכל רגולציית השוק הפנימי של האיחוד האירופי.

נספח I של NIS2 מכסה ישויות הנחשבות “חיוניות”, כולל מגזרים שכבר קיימים תחת NIS1 אך עם הגדרות מעודכנות ומורחבות. לדוגמה, תחת מגזר האנרגיה, ייצור חשמל כולל כעת גם מקורות מסורתיים וגם מקורות מתחדשים, כולל מתקנים פוטו-וולטאיים ורוח ימית. באופן דומה, קטגוריית התשתית הדיגיטלית כוללת כעת במפורש נקודות חילוף אינטרנט (IXPs), רישומי שמות דומיין ברמה העליונה (TLDs), ספקי שירותי מחשוב ענן ומפעילי מרכזי נתונים. על פי דו”ח “נוף האיומים לתשתיות דיגיטליות 2023” של סוכנות האיחוד האירופי לאבטחת סייבר (ENISA), תת-מגזרים אלה הפכו למטרות עדיפות עבור גורמי סייבר בחסות מדינה ופשיעה, דבר המצדיק את הכללתם המחייבת תחת הגנת שירות חיוני.

נספח II מציג נדבך שני של רגולציה עבור “ישויות חשובות”, המכסה מגזרים נוספים שלא הוסדרו בעבר תחת NIS1. אלה כוללים ניהול שפכים ופסולת, שירותי דואר ושליחויות, ייצור מוצרים קריטיים (כגון מכשירים רפואיים, מוליכים למחצה וכימיקלים), תשתיות חלל, וגופי ממשל ציבורי מרכזיים ואזוריים כאחד. הערכת ההשפעה הסופית של הנציבות האירופית צפתה כי הכללת מגזרים אלה תרחיב את הכיסוי הרגולטורי ל-140,000 ישויות נוספות ברחבי האיחוד האירופי. חשוב לציין, מגזרים אלה לא נבחרו באופן שרירותי: כל אחד מהם עבר הערכת סיכונים שבוצעה בשיתוף פעולה עם ENISA ושירות הפעולה החיצונית האירופי (EEAS), כפי שתועד בנספח הטכני “מיפוי סיכונים אסטרטגי לתשתיות קריטיות 2022”.

הרציונל להתרחבות מגזרית מבוסס על ניתוח איומים אמפירי. דו”ח “נוף איומי אבטחת הסייבר” של ENISA (אוקטובר 2022) תיעד עלייה ניכרת במתקפות סייבר שכוונו נגד רשויות עירוניות, ייצור מזון ומערכות לוגיסטיקה – שאף אחת מהן לא הייתה מוגנת כראוי תחת NIS1. לדוגמה, מתקפת הכופר על ממשלת לאציו המחוזית באיטליה באוגוסט 2021 שיבשה את שירותי הבריאות הציבוריים והתחבורה במשך שבועות, ללא חובה רשמית על פי חוק האיחוד האירופי לניהול סיכוני סייבר מקדים או תיאום לאחר אירוע. תחת NIS2, מינהלים ציבוריים אזוריים כאלה נופלים במפורש תחת הקטגוריה של “ישויות חשובות”, וכפופים לאותן חובות ניהול סיכונים ודיווח על אירועים כמו תשתית לאומית קריטית.

הרחבת היקף המדיניות משקפת גם שינוי פרדיגמה לעבר ריבונות דיגיטלית וביטחון כלכלי. סעיף 1(2) של NIS2 מקשר במפורש חובות אבטחת סייבר לשמירה על תפקודים חברתיים וכלכליים חיוניים. דבר זה מחוזק על ידי סעיף 21, הקובע כי גופים חיוניים וחשובים כאחד יישמו קבוצה של אמצעי ניהול סיכוני אבטחת סייבר בסיסיים, לרבות ניטור מערכות ורשתות, תכנון המשכיות עסקית, בקרות סיכוני שרשרת אספקה ושימוש בהגנות קריפטוגרפיות. אלה אינם עוד אופציונליים או מפורשים על סמך נהלים ספציפיים למגזר, אלא מחייבים מבחינה משפטית וחלים על פני כל המגזרים הייעודיים.

חידוש מרכזי נוסף הוא הרחבת חובות אבטחת הסייבר לחברות פרטיות המספקות שירותים ציבוריים באמצעות מיקור חוץ או שותפויות ציבוריות-פרטיות. לדוגמה, קבלנים פרטיים המנהלים שירותי מים ציבוריים או שירותים ציבוריים דיגיטליים נכללים במשטר NIS2 אם הם עומדים בקריטריונים לגודל ולסקטוריונים המפורטים בהנחיה. זה סוגר פרצה הקיימת במסגרת NIS1, שבה ישויות כאלה נפלו לעתים קרובות מחוץ לפיקוח רגולטורי עקב מבני בעלות משפטיים ולא רלוונטיות פונקציונלית. בית המשפט האירופי לביקורת הדגיש פער זה בדו”ח המיוחד שלו 12/2019, וציין מספר אירועים שבהם ספקי IT במיקור חוץ היו נקודת הכישלון באירועי סייבר גדולים במגזר הציבורי.

הסיווג של “ייצור מוצרים קריטיים” תחת נספח II מציג שכבה נוספת של ראיית הנולד אסטרטגית. הוא מכוון ספציפית ליצרני מכשור רפואי, מרכיבים פרמצבטיים, מוליכים למחצה ורכיבי רובוטיקה – מגזרים אשר, למרות שלא נתפסים באופן מסורתי דרך עדשת הסייבר, מהווים כיום חלק בלתי נפרד ממדיניות התעשייה של האיחוד האירופי, כפי שנקבע ב”עדכון האסטרטגיה התעשייתית” של הנציבות האירופית ממאי 2021. על פי אותו מסמך, מוליכים למחצה לבדם מהווים ערך של למעלה מ-530 מיליארד אירו במערכות הכלכליות של האיחוד האירופי והם מרכזיים למאמצי הטרנספורמציה הדיגיטלית. פגיעותם לחבלה בסייבר או גניבת קניין רוחני מציגה סיכונים מערכתיים ש-NIS2 שואפת לצמצם באמצעות פרוטוקולי היגיינת סייבר חובה.

תשתיות חלל ורשתות תחנות קרקע שולבו לאחרונה גם הן בהיקף ההנחיה, דבר המשקף את התפקיד המוגבר של מערכות לווייניות בתקשורת, ניטור מזג אוויר ושירותי מיקום גיאוגרפי. הכללה זו מגיעה בעקבות מסקנות המועצה מיוני 2021 בנושא “אבטחת סייבר של נכסי חלל”, אשר קראה לוועדה לשלב אמצעי אבטחת סייבר ספציפיים למגזר החלל במאמצי חקיקה רחבים יותר. NIS2 נענה לבקשה זו על ידי חובה שמפעילי מערכות חלל קרקעיות יאמצו בקרות גישה, יפלחו רשתות וידווחו על אירועי סייבר בהתאם לסעיף 23.

על ידי הרחבה משמעותית של ההגדרה ומספר המגזרים המכוסים, NIS2 לא רק מגדיל את הכיסוי הרגולטורי, אלא גם מכיר באופי הדינמי של התלות ההדדית הדיגיטלית בתשתיות האירופיות. ההרחבה אינה רק בירוקרטית, אלא מכוילת אסטרטגית כדי למקד מגזרים ששיבושים בהם עלולים לייצר השלכות חוצות-מגזרים מדורגות. היא ממסדת את ההכרה שפגיעויות בחלוקת מזון, טיפול בפסולת או מערכות IT של הממשל המקומי עלולות לייצר השפעות מסדר שני ושלישי על פני שירותי בריאות, תחבורה או מימון דיגיטלי. גישת חשיבה מערכתית זו עומדת בבסיס הארכיטקטורה המשפטית של NIS2 וממקמת את האיחוד האירופי בחזית הממשל המשולב לחוסן בסייבר.

ניהול סיכונים ודיווח על אירועים: חובות תאימות NIS2

על פי הנחיית NIS2, הליבה התפעולית של תאימות אבטחת הסייבר נשענת על שתי התחייבויות משפטיות תלויות זו בזו: ניהול סיכונים מובנה ודיווח חובה על אירועים. עמודי תווך אלה, המקודדים בעיקר בסעיפים 21 עד 23 של הנחיית 2022/2555, קובעים לא רק דרישות טכניות אלא גם סטנדרטים הניתנים לאכיפה חוקית להתנהגות ארגונית בהקשר של סיכון דיגיטלי. מסגרת כפולה זו חורגת מהעמדה הריאקטיבית שאפיינה את NIS1, ומטילה במקום זאת מודל ניהול סיכונים דינמי וצפוי התואם את סביבת האיומים המתפתחת שמופתה על ידי ENISA וממוסדת בכל המדינות החברות.

חובת ניהול הסיכונים, הקבועה בסעיף 21(1), מחייבת גופים חיוניים וחשובים לאמץ “אמצעים טכניים, תפעוליים וארגוניים מתאימים ומידתיים” לניהול סיכוני אבטחת סייבר. אמצעים אלה חייבים לשאוף למנוע, לזהות ולהגיב לאירועים, ולהבטיח המשכיות עסקית ושיקום שירותים. בניגוד לניסוח המעורפל של NIS1, NIS2 מגדיר רשימה לא ממצה אך מפורטת של דרישות מינימום בסעיף 21(2), הכוללת טיפול באירועים, המשכיות עסקית, אבטחת שרשרת אספקה, ביקורת מדיניות, הצפנה ומנגנוני בקרת גישה. אלה אינן המלצות בלבד אלא סטנדרטים משפטיים מחייבים החלים ישירות על פני מגזרים.

מבחינת ספציפיות פרוצדורלית, ההנחיה מחייבת להתאים את אמצעי אבטחת הסייבר לרמת החשיפה של הישות, לרמת קריטיות השירות ולהשפעה החברתית. עקרון פרופורציונליות מבוסס סיכון זה משקף את ההנחיות שסיפקה ENISA בפרסומה מיולי 2023 “ניהול סיכוני אבטחת סייבר באיחוד האירופי: שיטות הרמוניות תחת NIS2”, המתאר מתודולוגיות מדורגות המבוססות על מסגרת הערכת קריטיות (CAF). לדוגמה, מנהל ציבורי אזורי חייב ליישם אמצעי הגנה טכניים שונים מספק שירותי ענן טרנס-אירופי, אם כי שניהם מחויבים באותן התחייבויות בסיסיות.

אחת התוספות המשמעותיות ביותר במסגרת NIS2 היא החובה החוקית לטפל באבטחת הסייבר של שרשרת האספקה. סעיף 21(2)(e) דורש במפורש מישויות לנהל את הסיכונים הנובעים מיחסים עם ספקי שירותים חיצוניים, במיוחד אלו עם גישה מועדפת למערכות מידע. סעיף זה משקף פגיעויות מערכתיות שנחשפו על ידי אירועים מתוקשרים כמו פריצת SolarWinds בשנת 2020 ומתקפת הכופר Kaseya בשנת 2021. בתגובה, פרסמה הנציבות האירופית את מסמך האסטרטגיה שלה בנושא “אבטחת סייבר של שרשראות אספקה וספקי שירותים” באוקטובר 2023, תוך הדגשת הצורך בהתחייבויות אבטחה חוזיות, ביקורות ספקים ומודלים להפצת סיכונים מקצה לקצה.

מנגנוני ניהול פנימיים הם גם מרכיב נדרש של ציות. סעיף 20(2) מחייב את ההנהלה הבכירה לאשר נוהלי ניהול סיכונים ולפקח על היישום, ובכך לשלב ביעילות את אבטחת הסייבר במבני אחריות ברמת ההנהלה. על פי הנחיות הנציבות האירופית בנושא ניהול אבטחת סייבר תאגידי (מרץ 2024), הוראה זו משקפת את המודל שנקבע במסגרת תקנת הגנת המידע הכללית (GDPR) עבור קציני הגנת מידע ומתיישבת עם אחריות הנאמנות של דירקטוריונים תאגידיים. היא תומכת גם באכיפת אחריות, שכן אי ניהול סיכוני סייבר כראוי עלול לגרום לקנסות מנהליים, כמתואר בסעיף 34.

משלימה את החובות הפרואקטיביות הללו היא מסגרת דיווח האירועים החזקה של ההנחיה. סעיף 23 קובע משטר דיווח תלת-שלבי. ראשית, על הגופים להגיש “אזהרה מוקדמת” לצוות התגובה לאירועי אבטחת מחשב (CSIRT) המיועד להם או לרשות המוסמכת תוך 24 שעות מרגע שנודע להם על אירוע בעל “השפעה משמעותית” על מתן השירותים. אזהרה מוקדמת זו חייבת לכלול את ההערכה הראשונית של האירוע, כולל כל ראיה המצביעה על כוונה זדונית. תוך 72 שעות, יש להגיש הודעה מלאה על האירוע, המפרטת את שורש האירוע, ההשפעה שלו ומצב המיתון שלו. יש להגיש דוח סופי לא יאוחר מחודש לאחר ההודעה הראשונית, ובו פירוט פעולות מתקנות ארוכות טווח ולקחים שנלמדו.

הספים לגבי מה שמהווה “השפעה משמעותית” מובהרים בסעיף 24 ומפורטים עוד יותר ב”הנחיות לקריטריונים ומדדים לדיווח” של ENISA שפורסמו בינואר 2024. קריטריונים אלה כוללים את מספר המשתמשים המושפעים, משך ההפרעה בשירות, פריסה גיאוגרפית והפסד כספי. אירועים הכרוכים בהשפעות חוצות גבולות, תשתיות מערכתיות או סיכונים לבטיחות הציבור כפופים לתיאום מזורז באמצעות רשת ארגוני הקישור האירופית למשברי סייבר (EU-CyCLONe), בהתאם לסעיף 16.

ראוי לציין כי ההנחיה מטילה חובה להודיע על “איומי סייבר משמעותיים”, ולא רק על אירועים ממשיים. הרחבה זו, המקובעת בסעיף 23(4), מחייבת גופים לדווח על איומים מיידיים שעלולים לגרום באופן סביר לשיבושים. חובה צופה פני עתיד זו היא תגובה ישירה לממצא בהערכת ההשפעה של הנציבות לפיה 45% מהאירועים הגדולים בין 2018 ל-2020 קדמו להם אינדיקטורים נצפים של איום שלא דווחו. מנגנוני דיווח מראש כאלה נועדו לאפשר תיאום מונע והתראות מגזריות ברחבי מערכת האקולוגית של אבטחת הסייבר של האיחוד האירופי.

סודיות נתונים והגנות על אחריות מטופלות גם כן כדי להקל על דיווח מדויק ובזמן. סעיף 25 קובע כי המדינות החברות יבטיחו כי גופים הפועלים בתום לב לא יהיו אחראים אזרחית אך ורק על עמידה בחובות דיווח על אירועים. הוראה זו חיונית להפחתת תת-דיווח, תופעה שזוהתה בסקר “תת-דיווח באירועי סייבר” של ENISA משנת 2022, שמצא כי חשש מפגיעה בתדמית והשלכות משפטיות היווה גורם מרתיע משמעותי לשקיפות מלאה במסגרת NIS1.

מבחינה תפעולית, כל מדינה חברה חייבת להקצות CSIRT לאומי או רשות מקבילה בעלת סמכויות מוגדרות בבירור לקבל, לנתח ולהגיב לדיווחי אירועים. CSIRTs אלה נדרשים על פי חוק לשמור על קיבולת תפעולית 24/7, בהתאם לסעיף 10(2), ולהשתלב עם רשתות התקשורת המאובטחות של ENISA לצורך חילופי מידע חוצים גבולות. עדכון “מודל הבשלות של יכולות CSIRT” של ENISA לשנת 2023 מספק מדדים מפורטים לאיוש, זמני תגובה, תיאום בין-סוכנותי וסיווג אירועים.

כדי להבטיח אחידות פרוצדורלית והשוואת נתונים, סעיף 23(8) מטיל על הנציבות האירופית, בשיתוף פעולה עם ENISA, את האחריות לאמץ פעולות יישום אשר מתקנים סטנדרטיזציה של הפורמט והתוכן של דוחות אירועים. טיוטות תבניות שפורסמו באפריל 2024 כוללות תיוג מטא-נתונים, סיווג מגזרי ושדות כימות השפעה, המאפשרים צבירה אוטומטית למטרות מודיעין איומים והערכת מדיניות.

על ידי גיבוש פרוטוקול מפורט ומוגבל בזמן לדיווח על אירועים והטמעת ניהול סיכונים במרקם המשפטי של הממשל הארגוני, הנחיית NIS2 מטילה דיסציפלינה של אבטחת סייבר ברחבי כלכלת האיחוד האירופי. דיסציפלינה זו אינה מוגבלת להפחתת סיכונים אלא משתרעת על מוכנות, אחריות והפחתת סיכונים מערכתיים. ההנחיה, אם כן, ממסגרת מחדש את אבטחת הסייבר לא כפונקציה טכנית אלא כציווי משפטי ותפעולי – המשולב בתכנון ארגוני, תאימות רגולטורית וחוסן אסטרטגי כלל-אירופי.

אחריות דירקטוריון: אחריות ההנהלה הבכירה בפריצות סייבר

הוראת NIS2 קובעת, לראשונה בחוק הסייבר של האיחוד האירופי, קו ישיר של אחריות משפטית בין ניהול אבטחת סייבר לבין הנהלת החברה. על ידי הטמעת אחריות ההנהלה הבכירה במארג המשפטי של פיקוח על סיכוני סייבר, ההנחיה מיישרת את אבטחת הסייבר עם חובות הנאמנות הקשורות באופן מסורתי לדיווח כספי, ציות לאיסור הלבנת הון והגנה על נתונים במסגרת ה-GDPR. סעיף 20(2) וסעיף 29 של הוראת 2022/2555 מחייבים שגורמים בכירים בארגון – לא רק מחלקות IT או קציני ציות – יהיו אחראים באופן אישי להבטחת יישום, פיקוח ובדיקה מתמשכת של נוהלי ניהול סיכונים הנדרשים במסגרת סעיף 21. כיול מחדש אסטרטגי זה משקף הכרה ברמת האיחוד האירופי בכך שכשלים באבטחת סייבר נובעים לעתים קרובות מניהול כושל מבני, פיקוח ניהולי לקוי ודחיפת סיכוני סייבר לממגורות תפעוליות.

סעיף 20(2) מחייב את ההנהלה הבכירה לאשר ולבחון מעת לעת את אמצעי ניהול סיכוני הסייבר שאומצו על ידי הגוף שלה. אמצעים אלה אינם נותרים לשיקול דעת פרשני אלא מוגדרים באופן קונקרטי בסעיף 21(2) וכוללים יכולות זיהוי אירועים, פרוטוקולי המשכיות תפעולית, תקני הצפנה ובקרת גישה רב-שכבתית. באופן מכריע, הסעיף מחייב את המנהלים לשלב אמצעים אלה באסטרטגיית הממשל הכוללת של הגוף, ובכך ליצור אחריות אנכית ניתנת לאכיפה. חובה זו מלמעלה למטה מודגשת עוד יותר ברסיטל 90 של ההנחיה, המציין כי “אישור ברמת הדירקטוריון של אסטרטגיות אבטחת סייבר חייב להיות יותר מאישור רשמי – הוא חייב לשקף אחריות בפועל ופיקוח מושכל”.

ההשלכות המעשיות של דרישה זו הובהרו על ידי מסמך ההנחיות “ממשל תאגידי וסיכוני אבטחת סייבר” של הנציבות האירופית, שפורסם בפברואר 2024. ההנחיות מגדירות ציפיות מינימליות למודעות ניהולית, כולל הכשרה רשמית בנושא סיכוני סייבר, תדרוכים קבועים של מנהלי אבטחת מידע ראשיים (CISOs) ודיונים אסטרטגיים מתועדים ברמת הדירקטוריון. דבר זה תואם את המודל המשמש במסגרת ה-GDPR, לפיו הערכות השפעה על הגנת מידע (DPIAs) חייבות להיבדק ולאמת על ידי מנהלים אחראיים. באופן דומה, NIS2 דורש שהערכות סיכונים, גילוי פגיעויות וביקורות סייבר בשרשרת האספקה יקבלו פיקוח מצד ההנהלה, כולל אישור ממצאים ואישור צעדי הפחתה.

כדי ליישם מסגרת זו, סעיף 29 מציג משטר אחריות אישית למנהלים בגופים חיוניים וחשובים. באופן ספציפי, הוא מאפשר לרשויות לאומיות מוסמכות להטיל סנקציות מנהליות על חברי דירקטוריון או תפקידים מקבילים כאשר הפרות של התחייבויות ההנחיה נובעות מרשלנות מכוונת או כשל פיקוח מוכח. ההנחיה משווה הקבלות מפורשות למודל האכיפה של סעיף 83 של ה-GDPR, לפיו קנסות בגין אי ציות עשויים להיות מוטלים לא רק על הגוף התאגידי אלא גם על אנשים האחראים. לדוגמה, בגרמניה, המשרד הפדרלי לאבטחת מידע (BSI) כבר ציין, בחוזר יישום NIS2 לשנת 2024, כי קנסות עשויים להרחיב את עצמם על דירקטורים מנהלים וחברי דירקטוריון מפקח במקרים בהם חוסר פעולה של ההנהלה מוביל לשיבוש משמעותי של שירותים קריטיים.

הכללת האחריות האישית מייצגת בחירה מדיניות מכוונת של הנציבות האירופית ומועצת האיחוד האירופי כדי לפתור אסימטריות מבניות ארוכות שנים בין אחריות וסמכות. כפי שציינה הנציבות בהערכת ההשפעה שלה מדצמבר 2020 (SWD(2020) 345 final), ביותר מ-65% מאירועי הסייבר הגדולים שנחקרו בין 2018 ל-2020, חקירות לאחר האירוע חשפו חוסר מעורבות ברמה ההנהלה בניהול סיכוני סייבר. אלה כללו כשלים בהקצאת משאבים נאותים, היעדר תוכניות תגובה רשמיות לאירועי סייבר, והערכה נמוכה שיטתית של סיכוני שרשרת האספקה של צד שלישי.

מנקודת מבט של תיאוריה רגולטורית, מודל NIS2 משקף שינוי לכיוון “רגולציה רפלקסיבית”, לפיה ארגונים צפויים לפתח תהליכי ממשל פנימיים העומדים בנורמות המוטלות על ידי גורמים חיצוניים. סעיף האחריות של ההנהלה הבכירה אינו מנהל באופן מייקר תצורות פנימיות, אלא קובע גבולות משפטיים והשלכות הדורשות הסתגלות מוסדית. גישה זו עולה בקנה אחד עם דו”ח “אחריות ניהולית וממשל סייבר” של ENISA משנת 2023 , שהמליץ לשלב התחייבויות סייבר בקודי ממשל תאגידי ולקשר פיקוח על סיכוני סייבר לפונקציות ביקורת פנימית.

במקביל, ההנחיה מציגה הכשרה חובה בנושא ניהול סייבר להנהלה הבכירה, כפי שנקבע בסעיף 20(3). המדינות החברות נדרשות להבטיח שמנהלים של גופים חיוניים וחשובים יקבלו ידע מספיק כדי להבין, לפרש ולכוון את יישום אסטרטגיות אבטחת סייבר. הנציבות, בשיתוף פעולה עם ENISA, השיקה את “יוזמת הלמידה למנהלים בתחום אבטחת הסייבר” ברבעון השני של 2024, המציעה מודולים ספציפיים למגזר המכסים התחייבויות משפטיות, מנהיגות בתגובה לאירועים, אבטחת שרשרת האספקה וחשיפה לסיכונים רגולטוריים. שלב הפיילוט, שהוערך ב”סקירת מסגרת מיומנויות אבטחת הסייבר” של ENISA (מאי 2024), הראה כי יותר מ-78% מהמשתתפים שינו את נוהלי הממשל שלהם תוך שלושה חודשים מסיום ההכשרה.

ההנחיה מחייבת גם את הנהלת החברה להבטיח שקווי דיווח פנימיים יאפשרו תקשורת שקופה בין צוותי אבטחת סייבר תפעוליים לבין הדירקטוריון. סעיף 21(4) דורש מישויות למסד נהלי הסלמה של אירועים ולהבהיר את תפקידיהם של בעלי העניין הפנימיים, תוך הבטחה שסיכוני סייבר מהותיים ידווחו במהירות כלפי מעלה. דרישה מבנית זו נבעה מביקורות מרובות לאחר הפרות, כולל אלו המוזכרות בדו”ח המיוחד של בית המשפט האירופי לביקורת 03/2022, שמצא כי עיכוב בדיווח פנימי עקב עמימות ארגונית החריף את השפעתם של אירועי סייבר גדולים במגזרים קריטיים כמו שירותי בריאות ופיננסים.

כדי לתמוך באכיפה, סעיף 31 מוסמך לרשויות המוסמכות בכל מדינה חברה לערוך ביקורות, לבקש ראיות תיעודיות לנהלי ממשל ולהוציא צווים מתקנים. לדוגמה, במסגרת חוק הטמעת NIS2 שאומץ על ידי הולנד במרץ 2024, המרכז הלאומי להולנד לאבטחת סייבר (NCSC-NL) קיבל סמכות לדרוש פרוטוקולים של ישיבות דירקטוריון, תזכירים פנימיים והקצאות תקציב לאבטחת סייבר כדי לקבוע האם ההנהלה הבכירה ממלאת את חובותיה ביעילות. אי הוכחת פיקוח כזה עשויה להוות ראיה לכאורה לאי ציות.

ההנחיה צופה גם את ההתכנסות של אבטחת סייבר עם מסגרות דיווח סביבתיות, חברתיות וממשלתיות (ESG). רזיטל 91 מעודד במפורש התאמה בין דיווח אבטחת סייבר לבין חובות גילוי קיימות תאגידיות רחבות יותר, כגון אלו הנמצאות תחת הנחיית דיווח קיימות תאגידית (CSRD). שילוב צופה פני עתיד זה מציב את אבטחת הסייבר לא כדאגה טכנית מבודדת אלא כאלמנט חוצה גבולות של סיכון וחוסן ארגוני, בכפוף לבדיקה מצד משקיעים ולהרמוניזציה רגולטורית.

בסך הכל, מסגרת NIS2 לאחריותיות בחדרי דירקטוריון מיישמת את התפיסה המשפטית לפיה פיקוח על אבטחת סייבר הוא תפקיד ניהולי הכפוף לאכיפה, אחריות והשלכות אסטרטגיות. היא מקודדת את הציפייה המוסדית לפיה ההנהגה חייבת לא רק לאשר, אלא גם להבין, לכוון ולהפנים את ניהול הסייבר, תוך קישורו לשלמות תאגידית, אמון רגולטורי והמשכיות תפעולית. בכך, ההנחיה מגדירה מחדש את היקף האחריות המשפטית בעידן הדיגיטלי, וממקמת את חוסן הסייבר באופן ישיר בתוך המנדט המרכזי של ניהול ניהולי.

CSIRTs ו-EU-CyCLONE: מוכנות מבצעית לתגובה למשברי סייבר

הנחיית NIS2 ממסדת תשתית תגובה למשברי סייבר כלל-אירופית על ידי חובה חוקית על הקמה, תיאום ושדרוג תפעולי של צוותי תגובה לאירועי אבטחת מחשב (CSIRTs) ורשת ארגוני הקישור האירופית למשברי סייבר (EU-CyCLONe). מנגנונים אלה מהווים את עמוד השדרה הטקטי והאסטרטגי של ארכיטקטורת הטיפול באירועי סייבר של האיחוד האירופי, ומאפשרים ניהול איומים חוצה גבולות בזמן אמת, תיאום בין-סוכנותי ופריסה של פרוטוקולי תגובה מהירה לשיבושים מערכתיים בסייבר. גופים אלה, המקודדים בסעיפים 9 עד 11 ובסעיף 16 של הנחיית 2022/2555, נועדו להבטיח את מוכנותו המבצעית של האיחוד לא רק בטיפול באירועים בודדים, אלא גם בהתמודדות עם משברי סייבר בקנה מידה גדול, מרובי וקטורים או חוצי גבולות בדיוק, במהירות ולגיטימציה משפטית.

כל מדינה חברה נדרשת להקצות לפחות CSIRT לאומי אחד עם תפקידים, אחריות ויכולות מוגדרים בבירור. סעיף 10(1) מתאר את הציפיות התפקודיות של CSIRTs, אשר חייבות לכלול ניתוח סיכונים ואירועים, שירותי התרעה מוקדמת, דיווח על מודעות מצבית, תמיכה בתיקון לאחר אירוע והנפקת ייעוץ אבטחה. יתר על כן, CSIRTs מחויבים לפעול באופן רציף (זמינות 24/7), לשמור על ערוצי תקשורת מאובטחים ולהבטיח יכולת פעולה הדדית עם בעלי עניין מקומיים ופלטפורמות ברמת האיחוד האירופי. “מסגרת הבשלות של יכולות CSIRT” של ENISA, שתוקנה ביוני 2023, קובעת קריטריונים להערכה עבור כוח אדם, קיבולת מודיעין איומים, עצמאות תפעולית ומעורבות עם שותפים בינלאומיים.

כדי להבטיח בסיס הרמוני של כשירות טכנית, פרסמה ENISA, בשיתוף פעולה עם רשת CSIRTs, את “דרישות הבסיס עבור CSIRTs תחת NIS2” בספטמבר 2023. הנחיות אלו מפרטות את היכולות הטכניות, הפרוצדורליות והמוסדיות המינימליות הצפויות מצוותים לאומיים, כולל יישום פלטפורמות ניהול מידע ואירועי אבטחה (SIEM) , יכולות פורנזיקה דיגיטלית, תשתית סריקת פגיעויות ופרוטוקולי שיתוף פעולה מובנים עם רשויות אכיפת החוק והגנת המידע. המדינות החברות נדרשות על פי סעיף 11(2) להבטיח ש-CSIRTs שלהן יהיו לא רק תגובתיים אלא גם פרואקטיביים, ועוסקות בציד איומים, צוותים אדומים ומידול איומים מונע המבוסס על וקטורי איום ספציפיים למגזר.

שיתוף פעולה בין-CSIRT מחויב מבחינה חוקית באמצעות פורמליזציה של רשת CSIRTs, גוף שיתופי שהוקם לראשונה תחת NIS1 אך כעת שודרג מבנית תחת NIS2. סעיף 11(1) דורש מ-CSIRTs לתרום לפיתוח תגובות מתואמות לאירועים בקנה מידה גדול , שיתוף מודיעין איומים אנונימי, אינדיקטורים לפגיעה (IOCs), ממצאי ייחוס תקיפות ואסטרטגיות תיקון באמצעות ערוצים מאובטחים המופעלים על ידי ENISA. שיתוף פעולה זה מוסדר על ידי פרוטוקולי סודיות, כמפורט בסעיף 11(3), המבטיחים שנתונים רגישים המשותפים מעבר לגבולות יעמדו בסטנדרטים המשפטיים של האיחוד האירופי, כולל אלה תחת ה-GDPR והוראת אכיפת החוק.

במקרים של אירועי סייבר משמעותיים או רחבי היקף המשפיעים על מספר מדינות חברות או על תשתיות קריטיות של האיחוד האירופי, ההנחיה מפעילה את מנגנון התיאום האירופי למשברי סייבר המכונה EU-CyCLONe. EU-CyCLONe, המקודד בסעיף 16, הוא מבנה תיאום בין-ממשלתי ברמה גבוהה המורכב מנציגים מ-CSIRTs של המדינות החברות, רשויות מוסמכות והנציבות האירופית. הוא הושק רשמית ביוני 2021 באמצעות מסקנות המועצה ומאז ממוסד כשחקן מרכזי בניהול משברי סייבר בקנה מידה גדול. על פי החלטת יישום המועצה (EU) 2022/1007 מיום 6 ביולי 2022, EU-CyCLONe אחראי על השגת “מודעות מצבית, תיאום פוליטי ותקשורת אסטרטגית במקרה של משבר סייבר גדול”.

EU-CyCLONe פועלת במסגרת מוסכמת של נהלים המעניקים עדיפות לתפעול הדדי, חילופי מידע מהירים וקבלת החלטות מסונכרנת. מוכנותה המבצעית נתמכת על ידי הסדרי התגובה הפוליטית המשולבת למשברים (IPCR) של האיחוד האירופי , המאפשרים הסלמה מתיאום טכני להתערבות ברמת המיניסטריאל בעת הצורך. כפי שצוין ב”סקירת המוכנות המבצעית של EU-CyCLONe 2023″ של ENISA, המנגנון הופעל בהצלחה בארבעה תרגילי סימולציה ובאירוע תיאום אחד בעולם האמיתי שכלל התקפות כופר חוצות גבולות שכוונו למוסדות המגזר הציבורי של האיחוד האירופי בשנת 2022.

מבחינה מבצעית, EU-CyCLONe מבצעת סימולציות משברי סייבר ברמת האיחוד האירופי, כולל Cyber Europe, תרגיל דו-שנתי המתואם על ידי ENISA מאז 2010. מהדורת 2024, המפורטת בהודעה המשותפת של הנציבות JOIN(2024) 6 final, כללה 29 מדינות, 1500 אנשי מקצוע בתחום אבטחת הסייבר, וסימולציה בת מספר ימים של התקפות היברידיות נגד רשתות חשמל, מערכות בקרת תנועה אווירית ופלטפורמות נתוני בריאות. התרגיל גילה שיפורים משמעותיים בזמן התגובה וביכולת פעולה הדדית תחת ארכיטקטורת CSIRT-EU-CyCLONe התומכת ב-NIS2, עם זמני פתרון תרחישים שקוצרו ב-35% בהשוואה לקו הבסיס של 2022.

שילובן של CSIRTs ו-EU-CyCLONe מחזק גם את יכולתו של האיחוד האירופי להגיב לאיומים היברידיים – כאלה המשלבים פעולות סייבר עם דיסאינפורמציה, חבלה או התקפות פיזיות. יישור זה ממוסד באמצעות תא ההיתוך ההיברידי במרכז המודיעין והמצב של האיחוד האירופי (EU INTCEN), אשר, תחת סמכות שירות הפעולה החיצונית האירופי (EEAS), מקבל מודיעין איומים מ-CSIRTs ומ-EU-CyCLONe לצורך הערכת איומים משולבת. ההנחיה מחייבת כי תיאום כזה חייב להיות שגרתי ומבוסס על פרוטוקול, לא אד-הוק, תוך הבטחה שהתכנסות האיומים האסטרטגית לא תסבול מאינרציה בירוקרטית או מידור מוסדי.

מנקודת מבט משפטית, CSIRTs ו-EU-CyCLONE משמשים גם כגופי תגובה מבצעיים וגם כגורמי אוכיפה רגולטוריים. סעיף 32 מסמיך את CSIRTs להמליץ על פעולות מתקנות, להציע חקירות רשמיות וליזום התראות חוצות גבולות לרשויות מוסמכות אחרות. ממצאיהם עשויים גם להוביל לביקורות פיקוחיות לפי סעיף 31, קנסות לפי סעיף 34, או, במקרים של אי ציות מצד גופים מהמגזר הפרטי, צווים מתקנים בעלי תוקף משפטי מחייב. המדינות החברות נדרשות להעניק ל-CSIRTs את הסמכות הפרוצדורלית לבצע תפקידים אלה ללא עיכוב או שיבוש בלתי סבירים, הנתמכים על ידי חקיקה לאומית המיישמת את NIS2 בתוקף משפטי מלא החל מ-17 באוקטובר 2024.

לבסוף, התשתית ברמת האיחוד האירופי לתגובה למשברי סייבר מתיישרת יותר ויותר עם נאט”ו והסטנדרטים הבינלאומיים. באמצעות ההסכם הטכני בין האיחוד האירופי לנאט”ו בנושא הגנת סייבר, שנחתם ביולי 2023, ENISA ו-CSIRTs גיבשו פרוטוקולים רשמיים לשיתוף מידע עם מרכז המצוינות להגנה קיברנטית שיתופית של נאט”ו (CCDCOE), שבסיסו בטאלין. יישור זה קריטי במיוחד לניהול אירועים הקשורים לתרחישי הגנה הדדיים לפי סעיף 42(7) לאיחוד האירופי, שבהם ההבחנה בין מתקפת סייבר בחסות מדינה לפעולה צבאית קונבנציונלית מיטשטשת.

על ידי עיגון מרכזי CSIRT ו-EU-CyCLONE במסגרת משפטית, תפעולית ואסטרטגית מאוחדת, הנחיית NIS2 מבטיחה שארכיטקטורת ההגנה הקיברנטית של אירופה תהיה לא רק עמידה מבחינה מוסדית, אלא גם זריזה מבחינה טקטית וניתנת לתפעול אסטרטגי הדדי. מוכנות זו אינה עוד שאפתנית – היא נדרשת מבחינה חוקית, נבדקת תפעולית ומוטמעת בניהול היסודי של השוק הדיגיטלי האירופי היחיד.

ENISA וקבוצת שיתוף הפעולה של NIS: עמודי התווך של תיאום הסייבר של האיחוד האירופי

הבסיס המוסדי של תיאום אבטחת הסייבר במסגרת הנחיית NIS2 בנוי על שתי ישויות מרכזיות: סוכנות האיחוד האירופי לאבטחת סייבר (ENISA) וקבוצת שיתוף הפעולה של NIS. יחד, הן מהוות את הקשר המדיניות, האסטרטגי והתפעולי של מסגרת ניהול אבטחת הסייבר של האיחוד האירופי, ומאפשרות קוהרנטיות בין רשויות לאומיות, סימטריה של מידע בין בעלי עניין והתאמה בין אכיפה רגולטורית למודיעין איומים. ארכיטקטורה כפולה זו, המקודדת תחת סעיפים 14 ו-45 של הנחיית 2022/2555, הופכת את מה שהיה בעבר רשת מקוטעת של מאמצים לאומיים במסגרת NIS1 למשטר ניהול משולב המבוסס על מנגנוני תיאום מחייבים מבחינה משפטית ותקינה תפעולית.

ENISA, שהוקמה רשמית תחת תקנה (EU) 2019/881 (“חוק אבטחת הסייבר”), משמשת כסוכנות המרכזית של האיחוד האירופי למדיניות אבטחת סייבר, תמיכה תפעולית, בניית יכולות וסיוע טכני. תחת NIS2, המנדט של ENISA מורחב ומעוגן כרשות אסטרטגית וטכנית. סעיף 45 מטיל על ENISA במפורש את האחריות לתמוך במדינות החברות, בנציבות האירופית, ב-CSIRTs ובקבוצת שיתוף הפעולה בפיתוח מתודולוגיות לניהול סיכונים, ביצוע הערכות נוף איומים, הנפקת הנחיות ספציפיות למגזר וקידום יכולת פעולה הדדית טכנית. “נוף האיומים 2023” של ENISA, שפורסם באוקטובר 2023, מספק אחת הסקירות האנליטיות המקיפות ביותר של איומי סייבר באיחוד האירופי, וממפה את תדירות האירועים, סוגי התוקפים, וקטורי האיום ופגיעויות מגזריות המבוססות על צבירת נתונים מ-CSIRTs לאומיים ומסגרות דיווח של המגזר הפרטי.

הסוכנות גם מפתחת ומתחזקת את מסגרת מיומנויות הסייבר האירופית (ECSF), המגדירה יכולות סטנדרטיות, תיאורי תפקידים ופרוטוקולי הכשרה לאנשי מקצוע בתחום הסייבר על פני מגזרים ומדינות חברות. מסגרת זו מוזכרת ישירות בסעיף 20(3) של ההנחיה כנקודת ייחוס לחובות הכשרה המוטלות על ההנהלה הבכירה של ישויות חיוניות וחשובות. בנוסף, ENISA מנהלת את טקסונומיית האירועים ברחבי האיחוד האירופי, מערכת סיווג סטנדרטית המבטיחה דיווח הרמוני של אירועי סייבר לפי סעיף 23(8), המאפשרת חילופי נתונים קריאים על ידי מכונה וקואלוציה אוטומטית של איומים.

ל-ENISA תפקיד מבצעי קריטי בסימולציות, תרגילי מוכנות ותיאום אירועים טכניים. תרגילי “Cyber Europe” הדו-שנתיים, בהובלת ENISA מאז 2010 ולאחרונה נערכו במאי 2024, מדמים משברי סייבר מורכבים ורב-מגזריים כדי לבחון תיאום בין מדינות חברות, פרוטוקולי הסלמה חוצת גבולות ושילוב CSIRT-EU-CyCLONe. על פי “דוח תרגיל Cyber Europe 2024” של ENISA, הגרסה האחרונה כללה 29 מדינות חברות ומעל 1,500 אנשי מקצוע בתחום הסייבר שהגיבו לתרחישי כופר מתואמים, פגיעות בשרשרת האספקה ודרכי חילוץ נתונים המשפיעים על תשתיות קריטיות. הדו”ח תיעד שיפור של 34% במודעות למצב משותפת וצמצום של 27% בזמן התגובה חוצת הגבולות בהשוואה לנקודות ייחוס של 2022 – מדדים המדגישים את המרכזיות המבצעית של ENISA במסגרת NIS2.

במקביל, קבוצת שיתוף הפעולה של NIS, שהוקמה במסגרת סעיף 11 של הנחיית NIS1 ועברה ארגון מחדש במסגרת סעיף 14 של NIS2, משמשת כגוף התיאום הבין-ממשלתי העיקרי של האיחוד האירופי בתחום אבטחת סייבר. הקבוצה, המורכבת מנציגים מכל המדינות החברות, הנציבות האירופית ו-ENISA, אחראית על פיתוח הנחיות יישום, הנחיית דיאלוג מדיניות אסטרטגי, פיקוח על עקביות הטמעת החוק וניהול התיאום בין המדינות החברות לצורך הערכת סיכונים, שיטות עבודה מומלצות ופרשנות רגולטורית. הקבוצה פועלת תחת נשיאות מתחלפת ומקיימת מושבי מליאה כל שישה חודשים, בתוספת קבוצות עבודה טכניות אד-הוק בנושאים ספציפיים למגזר.

קבוצת שיתוף הפעולה של NIS מפיקה כלים שאינם מחייבים אך מאומצים באופן נרחב, כולל “הסיכום בנושא אמצעי ניהול סיכוני אבטחת סייבר” (ינואר 2024), “הנחיות בנושא אמצעי אבטחה לספקי שירותים דיגיטליים” (אוקטובר 2023), ותוכניות ספציפיות למגזר כגון “הנחיות אבטחת סייבר למפעילי אנרגיה” (אפריל 2024). כלים אלה משמשים ככלי עזר פרשני לדרישות הטכניות והארגוניות המוגדרות בסעיף 21 להנחיה ומצוטטים באופן שגרתי בחקיקה לאומית ובפסיקות רגולטוריות.

כדי להקל על התכנסות תפעולית והרמוניזציה משפטית, קבוצת שיתוף הפעולה עורכת ביקורות עמיתים מרצון על יישום סעיפי NIS2 על ידי המדינות החברות, נוהג הממוסד בסעיף 14(4). המחזור הראשון של ביקורות עמיתים, שנערך ברבעון הראשון של 2025 ותועד ב”דוח פיילוט סקירת עמיתים של NIS2″ שפרסמה הנציבות האירופית במרץ 2025, העריך את ההטמעה הלאומית של סעיפים 20 עד 24 הנוגעים לניהול סיכונים ודיווח על אירועים. הסקירה מצאה רמות גבוהות של התאמה בגרמניה, הולנד ופינלנד, תוך זיהוי עיכובים ביישום ועמימות פרוצדורלית בהונגריה, סלובקיה ויוון. ביקורות אלו אינן רק מייעצות; לפי סעיף 14(5), ממצאיהן יכולים לשמש את הנציבות כדי ליזום דיאלוגים מתקנים או להוציא הנחיות יישום כדי להבטיח עקביות ברחבי האיחוד.

תפקיד קריטי נוסף של קבוצת שיתוף הפעולה הוא ביצוע הערכות סיכונים משותפות ומסגרות תגובה מתואמות. כפי שמודגש ב”דוח הערכת סיכונים משותף על ספקי שירותי ענן” שפורסם בדצמבר 2023, הקבוצה עובדת בשיתוף פעולה הדוק עם ENISA כדי להעריך סיכונים מערכתיים במגזרים קריטיים ולהציע אסטרטגיות הפחתה. דוח זה, שנערך בתגובה לתלות הגוברת בספקי ענן שאינם תושבי האיחוד האירופי עבור תשתית קריטית, הניח את היסודות למסגרת מוצעת של תשתית דיגיטלית ריבונית, הנבחנת כעת כחלק מחבילת החוסן הדיגיטלי לשנת 2025 של הנציבות האירופית.

קבוצת שיתוף הפעולה מקיימת גם ממשק עם גופים אחרים של האיחוד האירופי, כולל המועצה האירופית להגנת מידע (EDPB), הבנק המרכזי האירופי (ECB) והסוכנות האירופית לזכויות יסוד (FRA), כדי להבטיח שאמצעי אבטחת הסייבר במסגרת NIS2 יהיו פרופורציונליים מבחינה משפטית, מכבדים את הפרטיות ותואמים את הזכויות. קשרים בין-מוסדיים אלה היו קריטיים בפתרון סכסוכים פרוצדורליים בין אבטחת סייבר להגנה על מידע במהלך יישום חובות ניטור האבטחה במגזר הבריאות בשנת 2024, מקרה שנחקר בפרסום “זכויות יסוד ותקנת אבטחת סייבר” של ה-FRA (אפריל 2025).

כדי לתמוך בתפקיד התיאום הנרחב שלה, קבוצת שיתוף הפעולה מתחזקת את מאגר הידע של האיחוד האירופי בנושא אבטחת סייבר (EUCKB), מאגר מרכזי של אסטרטגיות לאומיות, אמצעי יישום, הנחיות רגולטוריות ונתוני אירועים אנונימיים. פלטפורמה זו, שהושקה ביולי 2023 ומנוהלת במשותף על ידי ENISA והמנהל הכללי לרשתות תקשורת, תוכן וטכנולוגיה (DG CONNECT) של הנציבות האירופית, מבטיחה שקיפות, השוואה ושכפול של נוהלי ניהול אבטחת סייבר בין המדינות החברות.

על ידי מיסוד קבוצת שיתוף הפעולה של NIS וחיזוק המנדט של ENISA במסגרת NIS2, יצר האיחוד האירופי מערכת ניהול סייבר דו-ליבתית המסוגלת לתרגם נורמות משפטיות לפעולה אסטרטגית ולתקינה תפעולית. מבנה זה פותר אסימטריות ארוכות שנים ביכולות המדינות החברות, מצמצם פיצול רגולטורי ומתאים את מדיניות הסייבר של האיחוד האירופי לתלות הדדית דיגיטלית מתפתחת. יחד, ENISA וקבוצת שיתוף הפעולה יוצרות את הקשר הרגולטורי והתפעולי המבטיח את האמינות, האכיפה והמדרגיות של משטר הסייבר הקולקטיבי של האיחוד.

מועד אחרון לביצוע ומעבר משפטי: מ-1 ש”ח ל-2 ש”ח

המעבר המשפטי מהנחיית (EU) 2016/1148 (NIS1) להנחיית (EU) 2022/2555 (NIS2) מייצג את אחד מהשינויים הרגולטוריים המשמעותיים ביותר בגישת האיחוד האירופי לאבטחת סייבר. בעוד ש-NIS1 קבעה את המסגרת המשפטית הראשונית של האיחוד לאבטחת מערכות רשת ומידע, מגבלותיה – ובמיוחד היישום הלאומי המקוטע, ייעוד מפעילים חיוניים לפי שיקול דעת ונהלי פיקוח לא עקביים – חייבו החלפה ולא תיקון גרידא. ביטול רשמי של NIS1 וההטמעה המחייבת של NIS2 על ידי כל המדינות החברות עד 17 באוקטובר 2024 , כפי שנקבע בסעיף 41(1) של ההנחיה, מסמנים נקודת מפנה משפטית בהרמוניזציה מחייבת של אבטחת סייבר ברחבי האיחוד האירופי.

הנחיה 2022/2555 נכנסה לתוקף ב -16 בינואר 2023 , לאחר פרסומה בכתב העת הרשמי של האיחוד האירופי ב -27 בדצמבר 2022. ממועד זה, הוענק למדינות החברות חלון מעבר של 21 חודשים להשלמת ההתאמות החקיקתיות, הרגולטוריות והמוסדיות הלאומיות הנדרשות לצורך תאימות מלאה. חלון מעבר זה לא ניתן לחידוש במפורש, והחובה החוקית להטמיע את NIS2 עד ה-17 באוקטובר 2024 הייתה מחייבת לפי סעיף 288 של אמנת תפקוד האיחוד האירופי (TFEU), המעניק להנחיות תוקף של חוק ביחס לתוצאותיהן המיועדות. סעיף 41(2) של הנחיית NIS2 מבטל בו זמנית את NIS1 החל מ -18 באוקטובר 2024 , וקובע נקודת סף קבועה לתחולה כפולה.

במהלך תקופת הטרנספורמציה, נדרשו המדינות החברות ליישר קו בין מגוון רחב של מכשירים משפטיים לאומיים, כולל אסטרטגיות אבטחת סייבר, תקנות סיכונים מגזריות, משטרי סנקציות מנהליות, מנדטים מוסדיים ופרוטוקולים לשיתוף מידע. “חבילת ההנחיות לטרנספורמציה של NIS2” של הנציבות האירופית, שפורסמה במרץ 2023, סיפקה מפת דרכים סטנדרטית לתהליך זה, המציעה הערות פרשניות מפורטות, טקסטים משפטיים לדוגמה ותבניות ליישום מגזריות. לאחר מכן פותח לוח מחוונים ייעודי לניטור על ידי DG CONNECT של הנציבות, שעקב אחר התקדמותה של כל מדינה חברה בזמן אמת על פני 14 נקודות ייחוס לטרנספורמציה, כולל מינוי רשויות מוסמכות, הקמה חוקית של CSIRTs ושילוב התחייבויות ניהול סיכונים בחוק המגזרי.

דוחות התקדמות ראשוניים שהוצגו לקבוצת שיתוף הפעולה של NIS בדצמבר 2023 חשפו פערים משמעותיים במהירויות ההטמעה. נכון לתאריך זה, רק 12 מדינות חברות הגישו טיוטות חקיקה מלאות לנציבות. מדינות כמו גרמניה, הולנד, דנמרק ופינלנד הובילו את המעבר, תוך מינוף תשתית משפטית ומוסדית קיימת מ-NIS1. לעומת זאת, עיכובים נצפו בבולגריה, הונגריה, יוון ורומניה, שם ארגון מחדש מוסדי, תיאום בין-משרדי וצווארי בקבוק בחקיקה האטו את תהליך ההסתגלות. עובדה זו אושרה ב”דוח מצב ההטמעה” שהציגה הנציבות האירופית לוועדת התעשייה, המחקר והאנרגיה (ITRE) של הפרלמנט האירופי בינואר 2024.

כדי למתן את הסיכונים של פיצול רגולטורי וחוסר ודאות משפטית במהלך שלב המעבר, הנציבות פרסמה שתי חוות דעת מנומקות רשמיות לפי סעיף 258 בחוק TFEU באפריל וביוני 2024 למדינות חברות הנמצאות בסיכון להחמיץ את המועד האחרון. חוות דעת אלו שימשו כאזהרות משפטיות מקדימות לפני הליכי הפרה פוטנציאליים. במקביל, ENISA, בשיתוף פעולה עם קבוצת שיתוף הפעולה של NIS, השיקה צוות משימה לסיוע טכני כדי לתמוך במדינות חברות עם פערים בביצוע המוסדיים, בהיקף מגזרי ובמנגנוני אכיפה. פעילויות צוות המשימה תועדו ב”דוח התמיכה בביצוע NIS2″ של ENISA, שפורסם ביולי 2024, ובו תוארו אתגרים משפטיים נפוצים, כולל סכסוכים עם החוק המנהלי הלאומי, עמימות בהגדרות המגזר וקשיים פרוצדורליים בסיווג מחדש של OES ו-DSPs למסגרת הישויות החיוניות/חשובות החדשה.

אתגר משפטי מרכזי במהלך המעבר היה הסיווג מחדש של ישויות שהוגדרו תחת NIS1 לקטגוריות המתאימות להן תחת NIS2. בהתאם לסעיף 2(2) של ההנחיה החדשה, הסיווג אינו עוד שיקול דעת אלא מבוסס על ספים הרמוניים של גודל וקריטיות. מודל יישום אוטומטי זה החליף את הקריטריונים הלאומיים המשתנים ששימשו תחת NIS1, ודורש מהמדינות החברות להקים או לעדכן רישומים של ישויות מכוסות ב-18 המגזרים שהוגדרו לאחרונה. רשויות לאומיות נדרשו להודיע לארגונים המושפעים על סטטוס הסיווג שלהם וחובות הציות שלהם עד ה-18 באוקטובר 2024 לכל המאוחר, כפי שאושר על ידי “הנחיות ההודעה והקליטה” של הנציבות האירופית (מאי 2024). ברוב המדינות החברות, הדבר דרש תיקונים חקיקתיים בחוקי אבטחת הסייבר הקיימים, כגון IT-Sicherheitsgesetz 2.0 של גרמניה ו-Loi de Programmation Militaire של צרפת, ששניהם עברו תיקונים רשמיים ברבעון השני של 2024.

המעבר המשפטי חייב גם אימוץ רשמי של מנגנוני אכיפה התואמים את סעיף 34 של NIS2, כולל הסמכות להטיל קנסות מנהליים של עד 10 מיליון אירו או 2% מהמחזור השנתי העולמי . הוראות אלה חייבו תיקונים בחוקי הפלילי הלאומיים ובמסגרות המשפט המנהלי, במיוחד במדינות חברות בהן NIS1 יושם בעבר באמצעות כלי חוק רכים או הנחיות לא מחייבות. לדוגמה, הרפובליקה הצ’כית העבירה ביוני 2024 “חוק ציות ואכיפה לתקנות אבטחת סייבר” מקיף כדי להתאים אותו למשטר הפיקוח המחייב של NIS2. באופן דומה, הרגולטור הלאומי של איטליה, AGID, הוציא צו מחייב מבחינה משפטית הקובע נהלי ביקורת, ספי דיווח ומתודולוגיות חישוב קנסות התואמות את סעיף 31.

כהכנה למעבר המשפטי מ-NIS1 ל-NIS2, הנציבות האירופית השיקה בספטמבר 2024 הערכה טכנית פנים-איחודית כדי להעריך את הסיכונים הנותרים של אי-רציפות רגולטורית. הערכה זו, שסוכמה במסמך הפנימי “סקירת מוכנות NIS2 – רבעון שלישי 2024”, מצאה כי 23 מתוך 27 מדינות חברות היו בדרך לעמוד במלואן בהתחייבויות המשפטיות עד למועד האחרון להחלטה. ארבע המדינות המפגרות – יוון, סלובקיה, רומניה והונגריה – קיבלו תמיכה טכנית ממוקדת והליכי סקירה מזורזים כדי למנוע חשיפה מערכתית עקב מעברים משפטיים לא שלמים.

מנקודת מבט משפטית, ביטול חוק NIS1 והחלפתו ב-NIS2 מסמנים שינוי בסדר המשפטי של האיחוד האירופי מהנחיה מינימליסטית המבוססת על שיקול דעת למסגרת הרמונית הניתנת לאכיפה על פי דרישות. השימוש בספים החלים ישירות, היקף מגזרי מחייב, הגדרות אחידות ומנגנוני תיאום מרכזיים מייצג התבגרות של חוק האיחוד האירופי בתחום אבטחת הסייבר. התזכיר המשפטי הפנימי של הנציבות “מ-NIS1 ל-NIS2: דוקטרינות מבניות של חוק הסייבר של האיחוד האירופי” (יוני 2024) מזהה במפורש שינוי זה כמעבר מ”ממשל ממוקד סובסידיות להתכנסות רגולטורית באמצעות הרמוניזציה מרשם”, הרלוונטי במיוחד עבור מגזרים כמו אנרגיה, פיננסים ותשתיות דיגיטליות שבהם השפעת גבולות היא מערכתית.

עם ביטול רשמי של NIS1 החל מ -18 באוקטובר 2024 , כל החובות המשפטיות עבור ישויות מכוסות, רשויות של מדינות חברות ומוסדות האיחוד האירופי נופלות כעת תחת סמכותו של NIS2. המעבר אינו רק עדכון רגולטורי אלא כיול מבני מחדש של חוקי אבטחת הסייבר בשוק הפנימי של האיחוד, והופך את אבטחת הסייבר מאחריות מקוטעת ומונעת על ידי המדינה למסגרת משפטית משולבת במלואה, ניתנת לאכיפה ומותאמת אסטרטגית בכל המגזרים הקריטיים.

טעות אנוש באבטחת סייבר: הקליק הראשון שפורץ למערכת

על פי דו”ח “נוף האיומים 2023” של סוכנות האיחוד האירופי לאבטחת סייבר (ENISA) שפורסם באוקטובר 2023, למעלה מ-71% מהתקפות הסייבר המוצלחות במדינות החברות באיחוד האירופי כללו גישה ראשונית שהושגה באמצעות וקטורים המופעלים על ידי בני אדם, כגון פישינג, גניבת אישורים או הנדסה חברתית. הפגיעות הלא פרופורציונלית המרוכזת בממשק האנושי, ולא בתוכנה או בתשתית, ממשיכה לערער השקעות באמצעי הגנה טכניים, כאשר התוקפים מכוונים יותר ויותר לפגיעויות קוגניטיביות ולא לפגיעויות מבוססות קוד. הקליק הראשון על קישור דוא”ל זדוני או הורדת קובץ מצורף נגוע על ידי עובד שלא במודע נותרה נקודת הכניסה הדומיננטית סטטיסטית לפריסת תוכנות כופר, הסלמת הרשאות וחילוץ נתונים. מציאות תפעולית זו מדגישה פער מבני בין מודלים של תאימות רגולטורית – שהם במידה רבה ממוקדי ארכיטקטורה – לבין המסלולים האמפיריים המנוצלים על ידי התוקפים, שהם ביסודם ממוקדי התנהגות.

מרכז המחקר המשותף (JRC) של הנציבות האירופית, בדו”ח הטכני שלו “אבטחת סייבר והתנהגות אנושית” שפורסם באפריל 2024, מזהה את חוסר ההתאמה בין פרוטוקולי הכשרת משתמשים לבין תוצאות סימולציית פישינג בעולם האמיתי כגורם קריטי לחשיפה מערכתית לסייבר. בעוד ש-84% ממפעילי התשתיות הקריטיות דיווחו על עמידה בהכשרה חובה במסגרת הנחיית NIS2 עד הרבעון הרביעי של 2023, נתוני סימולציה מקמפייני פישינג מתואמים של ENISA הראו שיעור הצלחה של 38% בגיוס קלט אישורים או מעורבות בקישורים בקרב אנשי צוות מיומנים. ממצא זה מצביע על כך שעמידה בתהליכים אינה מתורגמת לעמידות בפני איומים, במיוחד כאשר ההכשרה מתבצעת על בסיס תקופתי וסטטי ולא משובצת בזרימות עבודה תפעוליות דינמיות. הארכיטקטורה הפסיכולוגית של דחיפות, אמון ולחיצה רגילה משמשת כנשק שיטתי על ידי תוקפים היוצרים וקטורי פישינג המחקים תזכירים פנימיים, עדכוני רגולציה או כרטיסי שירות טכני, תוך עקיפת מסננים טכניים על ידי חיקוי דפוסי תקשורת לגיטימיים.

מדד סיכוני הסייבר לשנת 2024 שפורסם על ידי ה-OECD במאי 2024 מציין כי למעלה מ-52% מתביעות ביטוח הסייבר שהוגשו על ידי ארגונים אירופאים בינוניים ב-12 החודשים שקדמו לכך יוחסו לאירועים שהחלו בטעות אנוש, בעיקר באמצעות גישה לא מורשית לקישורים או עקיפת פרוטוקולי אימות רב-גורמי. נתונים אלה נותרו עקביים בכל המגזרים, כולל פיננסים, שירותי בריאות ומנהל ציבורי, ללא קשר לרמת תחכום התשתית. ניתוח ה-OECD מזהה את התרבות המוסדית – ובמיוחד המידה שבה אבטחת סייבר מטופלת כתחום התנהגותי – כגורם מבדיל מרכזי בסבירות לפריצה. ארגונים עם השקעות טכנולוגיות אבטחה גבוהות אך מעורבות ירודה של הצוות הציגו סבירות גבוהה פי 2.3 לסבול מפגיעה בנתונים בהשוואה לארגונים עם אמצעי הגנה טכנולוגיים מתונים אך מבני חיזוק התנהגותי מתמשכים.

הדו”ח של תאגיד ראנד מאפריל 2024, “סיכון אנושי תפעולי במערכות אבטחת סייבר”, מדגיש את חוסר הספציפיות של בקרות טכניות כאשר ממשקי קבלת החלטות אנושיים אינם נשלטים על ידי אחריות התנהגותית בזמן אמת. המחקר אסף נתוני ניתוח התנהגותי מיותר מ-300 מוסדות במסגרת שיתוף הפעולה הטרנס-אטלנטי בתחום אבטחת הסייבר ומצא כי 63% מהאירועים עקפו את שכבות הגילוי לא בגלל התיישנות טכנית, אלא משום שמשתמשים מורשים ביצעו מרצונם פקודות זדוניות או אישרו בקשות גישה הונאה בתירוצים מטעים. וקטורים אלה כוללים תרחישי פגיעה בדוא”ל עסקי (BEC) שבהם תוקפים התחזו למנהלים בכירים, כמו גם התקפות “מים” הכוללות קצירת אישורים באמצעות פורטלים אינטרנט ספציפיים לתעשייה שהודבקו מראש.

הפער המתמשך בהיגיינת הסייבר מתחזק גם על ידי פיצול האחריותיות בין מבנים ארגוניים. על פי “ממשל אבטחת סייבר במוסדות המגזר הציבורי” של צ’טהאם האוס (פברואר 2025), פחות מ-41% ממשרדי האיחוד האירופי שנסקרו תחזקו לוחות מחוונים ברמת ההנהלה שעוקבים אחר מעורבות העובדים בהתראות אבטחת סייבר, בדיקות פישינג או מודולי הדרכה. בגופים שבהם מדדי סיכון אנושי הופרדו בתוך מחלקות IT, במקום שדווחו לוועדות ציות או ביקורת, זיהוי האירועים התעכב בממוצע של 72 שעות, מה שהגביר את החשיפה לנזק פי חמישה על פי מודל עלויות פורנזיות שפותח על ידי המרכז האירופי לפשעי סייבר (EC3) בניתוח הפרצות חוצה-מגזרים שלו לשנת 2024.

הכישלון בהפנמת וקטורי איומי סייבר במסגרות אחריות ביצועים מחריף את האלמנט האנושי כחולשה מערכתית. בעוד שהנחיית NIS2 מחייבת הכשרה ופיקוח על ממשל תחת סעיפים 20 ו-21, היא אינה קובעת תדירות, התאמה הקשרית או כיול קוגניטיבי-התנהגותי של הכשרה כזו. כפי שצוין בדו”ח המיוחד מס’ 27/2023 של בית המשפט האירופי לביקורת על יעילות הכשרת אבטחת סייבר, גישות מבוססות מודולים סטטיות ירדו ביעילותן לאחר שישה חודשים, כאשר בדיקה חוזרת חשפה נסיגה בדיוק זיהוי הפישינג ב-19%. לעומת זאת, ארגונים ששילבו קמפיינים מדומים של פישינג כל 30-45 יום, מחוזקים על ידי מנגנוני משוב מיידיים ותחקירי אירועים, דיווחו על ירידה ממוצעת של 67% באינטראקציות פישינג מוצלחות תוך שישה חודשים, כפי שנרשם ב”מודלים לחיזוק התנהגותי בהיגיינת סייבר” של ENISA (רבעון שלישי 2024).

למרות הזמינות הנרחבת של מודיעין איומים, אינרציה מוסדית והטיה קוגניטיבית אנושית נותרות גורמים עיקריים להפצת פריצות. מסמך המדיניות של המועצה האטלנטית מאפריל 2024, “חומת האש האנושית: בנייה מחדש של אבטחת הסייבר מהיסוד”, מזהה עייפות החלטות, היוריסטיקות אמון ותאימות התנהגותית נורמטיבית כדפוסים פסיכולוגיים דומיננטיים המנוצלים על ידי תוקפים. לדוגמה, וקטורי תקיפה הכוללים מיתוג תאגידי מוכר, בקשות רגישות לזמן או תקשורת מזויפת מאנשי קשר ידועים מצליחים לא על ידי ניצחון על פרוטוקולי הצפנה אלא על ידי אילוץ משתמשים לפעול תחת לחץ מהונדס חברתית. הניתוח מדגים עוד כי ביותר מ-70% מהחדירות המוצלחות באמצעות פישינג, הדוא”ל נפתח תוך ארבע דקות מקבלתו, ופעולה (לחיצה או הגשת אישור) התרחשה תוך שבע דקות, מה שהותיר מעט הזדמנות לגילוי אוטומטי או אמצעי נגד התערבותיים.

נתוני איומים משולשים ממדד “כוח הסייבר” של IISS (מהדורת 2024) מאשרים גם כי מדינות עם משילות חזקה מלמעלה למטה של אבטחת סייבר התנהגותית, כמו אסטוניה ופינלנד, עולות באופן עקבי על כלכלות גדולות יותר במדדי חוסן. שיעור הרגישות הבסיסי של אסטוניה לפישינג במוסדות במגזר הציבורי נרשם ב-6.1% ברבעון הראשון של 2024, בהשוואה ל-28.4% בצרפת ו-31.7% באיטליה, למרות תקציבי אבטחת סייבר נמוכים משמעותית. השונות מיוחסת לתרבות אבטחת סייבר ממוסדת, הכשרה התנהגותית שגרתית משולבת עם תפקידי עבודה ומערכות משוב משתמשים בזמן אמת הנתמכות על ידי CSIRTs לאומיות.

לכן, החולשה המבנית בארכיטקטורת ההגנה הדיגיטלית נותרת לא בתוך ההיקף האלגוריתמי אלא בתוך ההיקף הקוגניטיבי. כל חוסר יישור בין השקעה טכנית בהגנה לבין משטחי אינטראקציה אנושית יוצר פגיעויות אסימטריות שנמשכות ללא קשר לשלמות חומת האש או לחוזק ההצפנה. עד שמסגרות אבטחת סייבר ישלבו את ההתנהגות האנושית כווקטור איום עיקרי – עם מדדי ביצועים, סימולציות בזמן אמת ופרוטוקולים אסטרטגיים להפחתת הטיות – תוקפים ימשיכו להשיג חדירה לא פרופורציונלית למערכת על ידי מיקוד בקליק הראשון, בהורדה האימפולסיבית או באמון השגוי שהופך את שאר ארכיטקטורת ההגנה לחסרת תועלת.

כיצד קליק אחד פוגע בהגנות סייבר שלמות

על פי “ניתוח תלות הדדית של אירועי סייבר” של סוכנות האיחוד האירופי לאבטחת סייבר (ENISA) שפורסם בספטמבר 2024, נקודת כשל יחידה שמקורה באינטראקציה אנושית – לרוב קליק בודד – זוהתה כשורש האירועים ב-77% משרשראות האירועים הגדולות הכרוכות בתשתית דיגיטלית חוצת מגזרים. אינטראקציה יחידה זו של משתמש, שלעתים קרובות משולבת בסביבות תקשורת שגרתיות כמו דוא”ל או פלטפורמות שיתוף פעולה מבוססות ענן, יכולה להפעיל רצף של רצפים ניצולי תקלות שפוגעים בתעודות זהות, מפרים פרוטוקולי אימות ומאפשרים תנועה רוחבית על פני רשתות מפולחות. האנטומיה התפעולית של פרצות כאלה ממחישה כי חדירה ראשונית באמצעות טעות אנוש אינה פגיעות מבודדת אלא מנגנון הפעלה לכשל מערכתי בשכבות הגנה טכניות, ארגוניות ואסטרטגיות.

הדו”ח “בדיקה טכנית מעמיקה של וקטורי גישה ראשוניים בפריצות סייבר” של הנציבות האירופית (אפריל 2024) אישר כי הודעות דוא”ל פישינג המכילות פקודות מאקרו מוטמעות או כתובות URL זדוניות נותרו האמצעי היעיל והחסכוני ביותר לפריצת מטרות בעלות קשיחה דיגיטלית. הדו”ח מציין כי בכמעט 61% מאירועי תוכנת הכופר שאושרו שפגעו בתשתיות קריטיות באיחוד האירופי בשנת 2023, גורם האיום השיג יכולות פיקוד ובקרה תוך 30 דקות מרגע האינטראקציה הראשונית עם המשתמש, תוך עקיפת שכבות מרובות של כלי זיהוי ותגובה לנקודות קצה (EDR). ב-43% מהמקרים הללו, ההדבקה הראשונית אפשרה קצירת אישורים שהקלה על הסלמת הרשאות בתוך לוחות הניהול של ספקי שירותי ענן, ואפשרה לתוקפים להשבית מנגנוני רישום, למחוק עקבות פורנזיות ולחלץ נתונים באמצעות תעבורה יוצאת מוצפנת – פעילויות שמערכות זיהוי פריצות סטנדרטיות לא הצליחו לסמן בזמן אמת.

ניתוח השוואתי שפורסם על ידי RAND בדוח מפברואר 2025 “Penetration Cascade: Mapping the Lifecycle of a User-Initiated Breach” גילה כי רצף הפרצות טיפוסי לאחר לחיצה משתרע על פני שישה תחומים פונקציונליים: חדירת מארח מקומי, הפצת אישורים, גילוי רשת, שלב נתונים, פריסת מטען ושיבוש תפעולי. התובנה הקריטית היא שניתן להשלים כל שלב באמצעות ערכות תוכנות זדוניות זמינות לציבור, שלעתים קרובות אינן דורשות יותר מאינטראקציה ראשונית של המשתמש כדי לעקוף את אבטחת ההיקף. ב-81% מהמקרים שנותחו, התוקפים ניצלו כלי גישה מרחוק מסחריים כמו Cobalt Strike או פלטפורמות ניהול IT לגיטימיות כמו AnyDesk – המופעלות על ידי אישורי הניהול של המשתמש שנפגע – כדי לחקות התנהגות מורשית, תוך התגברות על אלגוריתמי זיהוי מבוססי אנומליות המסתמכים על סטיות מדפוסי משתמש סטנדרטיים.

ביקורת מבנית שהוצגה ב”סקירת מדיניות ניהול סיכונים דיגיטליים” של ה-OECD (מאי 2024) מדגישה כי ארכיטקטורות אבטחה הבנויות על הגנות היקפיות שכבות – חומות אש, פרוקסי, אימות מבוסס אסימונים – מנוטרלות באופן מהותי ברגע שאמון מורחב על התנהגות משתמש שנפגעת. הסקירה מציינת כי ברגע שסימון האימות או ההפעלה של המשתמש נחטפים, ארכיטקטורות אמון אפס שחסרות הקשר התנהגותי או אימות שלמות הפעלה קורסות למודל אמון מרומז. היפוך אמון זה מאפשר לתוקפים לנצל מערכות backend עם אישור ברמת מנהל, מה שלעתים קרובות מפעיל חילוץ נתונים או סקריפטים להצפנה לפני שנוצרת התראה כלשהי. ה-OECD מתעד עוד כי בשנת 2023, זמן השהייה הממוצע – התקופה בין חדירה לגילוי – נותר מעל 18 ימים בהתקפות שמקורן בוקטורים שיזמו המשתמש, בהשוואה ל-4.2 ימים בפגיעויות שמקורן במערכות שלא תוקנו או ממשקי API חשופים.

הדו”ח של IISS בנושא “פעולות סייבר וביטחון לאומי” (דצמבר 2023) מדגיש כי בפעולות בחסות מדינה נגד מטרות של האיחוד האירופי, וקטור התקיפה הראשוני מתוכנן במכוון לנצל מבני אמון היררכיים בתוך ארגונים. מנהלים בכירים, חברי דירקטוריון ומנהלים בכירים מותקפים באופן לא פרופורציונלי לא בשל החשיפה הטכנית שלהם, אלא בשל הגישה המרומזת שיש להם בין מערכות. הדו”ח מצטט מספר פעולות APT (איום מתמשך מתקדם) – במיוחד APT28 ו-APT40 – שבהן קבצים מצורפים לדוא”ל חמושים הותאמו לסדרי עדיפויות ברמת ההנהלה, כגון תדריכי מדיניות, התראות תאימות רגולטוריות או מסמכי שרשרת אספקה. בכל פרצה שאושרה, לחיצה אחת של פקיד בכיר הובילה להסלמת גישה בין מערכות ממשלתיות, ופגעה בו זמנית בתקשורת דיפלומטית, במאגרי מידע של רכש ביטחוני ובתשתית אנרגיה לאומית .

“ניתוח תגובת התקריות לשנת 2024” של ENISA מאשר כי ברגע שנקודת קצה נפגעת באמצעות אינטראקציה של משתמש יחיד, המספר הממוצע של נקודות קצה מושפעות באותו תחום מתרחב באופן לוגריתמי, עם ממוצע גיאומטרי של 6.4 מערכות מחוברות שנפרצות לכל פגיעה ראשונית. התפשטות זו אינה רק פונקציה של ארכיטקטורת הרשת, אלא של מבני הרשאות ארגוניות המאפשרות אזורי אמון אופקיים – מחלקות או קבוצות משתמשים שחולקות ספריות אימות, מערכות ניהול מסמכים או אישורי כניסה יחידה (SSO) . הדו”ח מציין כי תוקפים מנצלים יותר ויותר את מנגנוני האמון המרומזים הללו על ידי קצירת קובצי Cookie של הפעלה ופריסת התקפות הפעלה חוזרת של אסימון, ובכך נעים למעשה לרוחב מבלי להפעיל אזעקות Brute-Force או זיהוי אנומליות התחברות.

בעוד שמערכות זיהוי נקודות קצה נפרסות לעתים קרובות כמנגנון בלימה, יעילותן נשחקת באופן שיטתי עקב התחכום של ערכות ניצול לאחר לחיצה. “דוח פריסת תוכנות זדוניות טקטיות” של המרכז האירופי לפשעי סייבר (EC3) (נובמבר 2023) מצא כי 69% מזני התוכנות הזדוניות ששימשו בפריצות ארגוניות היו פולימורפיות באופיין, המסוגלות להתחמק מזיהוי סטטי מבוסס חתימות ולשנות מטענים במהלך הפריסה כדי להתאים אותם לתצורות סביבת היעד . ערכות אלו מתוכננות לעתים קרובות לעכב את הביצוע למשך מספר שעות או עד שמתקיימים טריגרים ספציפיים – כגון בדיקות שעה ביום או חוסר פעילות של המשתמש – תוך עקיפת סביבות ארגז חול והפיכת ניתוח פורנזי מושהה ללא יעיל להגנה מקדימה.

בכל מערכי הנתונים, נקודת ההתכנסות נותרת עקבית באופן חד משמעי: מקורן של שרשראות פריצות באירועי סייבר בעלי ערך גבוה כמעט תמיד נובע למעשה יחיד של אינטראקציה אנושית – בדרך כלל לחיצה על דוא”ל מטעה, קישור מוטמע או קובץ מצורף. התוצאה המערכתית של אינטראקציה זו אינה פרופורציונלית לשגיאה הבודדת אלא אקספוננציאלית עקב קישוריות, ירושה של זהויות ואיחוד פלטפורמות. כל עוד ארכיטקטורות טכניות מרחיבות אמון תפעולי להתנהגות לא מאומתת שמקורה באישורים מורשים, הקליק נותר נקודת המשען שעליה ניתן לקרוס מסגרות אבטחת סייבר שלמות.

חבילת החוסן הדיגיטלי המוצעת של הנציבות האירופית לשנת 2025 כוללת הוראות ליישום חובה של ניתוח התנהגות משתמשים בזמן אמת, ניטור שלמות סשנים ופרוטוקולים אדפטיביים של ביטול גישה, אשר יוזמים רצפי נעילה במקרה של גישה חריגה לקישור או סטייה מהרשאות. עד שאמצעי נגד כאלה ייושמו ברחבי המדינות החברות ויוטמעו בפלטפורמות ארגוניות, הקליק הבודד יישאר לא רק וקטור פריצה, אלא גם הפגיעות הקריטית שעליה מתבצעת אופטימיזציה של אסטרטגיית סייבר עוינת.

הנדסה חברתית: ניצול החולשה האנושית באבטחה דיגיטלית

על פי “נוף איומי הסייבר” של סוכנות האיחוד האירופי לאבטחת סייבר (ENISA) (אוקטובר 2023), למעלה מ-74% מהחדירות הקיברנטיות הממוקדות במגזרי תשתית קריטיים באיחוד האירופי ניצלו וקטורי הנדסה חברתית כמנגנון הכניסה העיקרי. הנדסה חברתית פועלת לא על ידי כיבוש הגנות טכניות באמצעות כוח חישובי ברוטלי, אלא על ידי מניפולציה של פערים פסיכולוגיים, רגשיים או פרוצדורליים בהתנהגות אנושית – תוך התמקדות ספציפית בהיררכיות אמון, דפוסי ציות רגילים וזרימות תקשורת ארגוניות. האסטרטגיה היא ביסודה טרום-טכנית: היא מסתמכת על ניצול סביבות קבלת החלטות המעוצבות על ידי דחיפות, רמזים סמכותיים ולגיטימציה נתפסת כדי לעקוף שכבות בקרה שאחרת היו מזהות התנהגות חריגה באינטראקציות טכניות גרידא.

ב”דוח איומים מתמשכים מתקדמים” שפורסם בפברואר 2024, המועצה האטלנטית מתארת שינוי ניכר במתודולוגיה של גורמי איום, לפיו טעונות פישינג, שבעבר היו גנריות ונפוצות, הפכו לממוקדות מאוד, תוך מינוף נתונים שמקורם במרשמים ציבוריים, הודעות רכש, פרופילי לינקדאין ומערכי נתונים של פרצות קודמות. התפתחות זו מדאם נפחי להונאה מדויקת מאפשרת לתוקפים ליצור משטחי אינטראקציה המדמים שרשורי תקשורת פנימיים, זרימות עבודה של קליטת ספקים או עדכונים רגולטוריים. התחכום של נקודות המגע המהונדסות הללו מייצר נקודה עיוורת קוגניטיבית: הנמענים תופסים את התקשורת לא כאיום פוטנציאלי אלא כפעולת תאימות שגרתית או הנחיה ניהולית, מה שהופך את גילוי ההונאה ללא סביר מבחינה פסיכולוגית אפילו בקרב אנשי צוות מיומנים.

נתוני שטח משולשים מניתוח “גורמים אנושיים בסיכוני אבטחת סייבר” של ה-OECD (מאי 2024) מאשרים כי פרצות הנדסה חברתית יעילות ביותר בסביבות היררכיות או מוסדרות שבהן האוטונומיה של העובדים מוגבלת מבחינה מבנית והציות להנחיות מחוזק מבחינה תרבותית. בסביבות כאלה, יריבים מנצלים רפלקסים מוסדיים על ידי התחזות לדמויות בעלות סמכות גבוהה – מנהלי כספים, מנהלי IT, קציני רכש – כדי לחייב תגובה מהירה ללא אימות. דינמיקה זו ניכרת במקרי “הונאת מנכ”לים” שתועדו על ידי יורופול בשנת 2023, שבהם תוקפים, באמצעות שיבוט קולי וזיוף דוא”ל, הצליחו להפנות מחדש מיליוני יורו בעסקאות בזמן אמת על פני לפחות 12 תחומי שיפוט באיחוד האירופי. מחקר ה-OECD מציין עוד כי סביבות עם תרבות המתמקדת בציות – שבה סטייה מהפרוטוקול אינה מומלצת – מציגות שיעורי פרצות גבוהים יותר מקמפיינים של התחזות, מכיוון שעובדים דוחים אימות כדי להימנע מעימות פרוצדורלי.

מחקר הפיילוט “מדד תרבות אבטחת הסייבר” של הנציבות האירופית (ינואר 2024), שסקר 400 ארגונים ברחבי האיחוד האירופי-27, מצא כי פחות מ-18% מהעובדים דיווחו על אתגר או אימות הנחיות שנראו חריגות אך מקורן בממונים ידועים. אינרציה התנהגותית זו מתחזקת על ידי עייפות סיכון סוציו-קוגניטיבית, שבה חשיפה חוזרת ונשנית לאזהרות מופשטות (למשל, “אל תלחצו על קישורים חשודים”) ללא רלוונטיות הקשרית מפחיתה את הקשב לאורך זמן. ארגונים שהטמיעו נרטיבים של סיכון התנהגותי בהכשרה תפעולית – תוך שימוש במחקרי מקרה אמיתיים של פרצות הקשורים לאיומים ספציפיים למגזר – הדגימו עלייה של 41% בציוני ערנות המשתמשים במהלך סימולציות פישינג, בהשוואה לאלו שהשתמשו בפרוטוקולי הכשרה המבוססים על תאימות בלבד.

“מדד סטיית האמון בסביבות ארגוניות” של RAND (אפריל 2024) מזהה ירידה מדידה בדיוק גילוי איומים בקרב עובדים כאשר גירויים מטעים מועברים במהלך תקופות בעלות עומס קוגניטיבי גבוה – כגון דיווח רבעוני, ביקורות רגולטוריות או מחזורי רכש גדולים. תוקפים בונים את תזמון המסירה כדי לנצל קשב מפוצל וחלונות תגובה דחוסים. בבדיקות אמפיריות, הודעות דוא”ל פישינג שנשלחו במהלך פרקי זמן של עומס עבודה שיא מתועדים היו בעלות שיעור אינטראקציה גבוה פי 2.6 מאלה שנשלחו במהלך תקופות רגילות. סנכרון זה של הטעיה עם מקצבים תפעוליים פנימיים מייצג ניצול מחושב לא רק של קוגניציה אנושית אלא גם של ארכיטקטורת זרימת עבודה ארגונית.

קמפיינים מתקדמים של הנדסה חברתית משלבים כיום מדיה מזויפת עמוקה, תגובות שנוצרו בזמן אמת על ידי בינה מלאכותית, ומטעוני פישינג רב-לשוניים המותאמים לנהלים בירוקרטיים מקומיים. ניתוח איומים מקיף שנערך על ידי תוכנית CYBERSPACE במימון האיחוד האירופי במרץ 2024 תיעד למעלה מ-140 קמפיינים שונים של הנדסה חברתית תוך שימוש בחיקוי סינתטי של וידאו או אודיו של פקידי ממשלה, רגולטורים של האיחוד האירופי או מנהלים בכירים. באירוע אחד שכוון לחברת לוגיסטיקה לתחבורה טרנס-אירופית, התוקפים השתמשו בקול משוכפל של מנכ”ל החברה כדי להורות לצוות לעקוף פרוטוקולי אבטחה רגילים לצורך “ביקורת תאימות נתונים” פיקטיבית, וכתוצאה מכך נפגעו אישורים בשמונה מרכזי נתונים.

מחקרים גיאופוליטיים השוואתיים מדגישים עוד יותר את הרגישות השונה להנדסה חברתית המבוססת על מודלים לאומיים של בגרות סייבר. “מטריצת מדיניות סייבר וחוסן” של IISS (מהדורת 2024) מדרגת מדינות עם פרוטוקולי אימות הסלמה רב-גורמיים מחייבים עבור פעולות בעלות הרשאות גבוהות כעמידות משמעותית יותר בפני פרצות הנדסה חברתית. לדוגמה, אסטוניה ופינלנד, שתיהן מטמיעות אימות עסקאות בזרימות עבודה של ניהול באמצעות אישור אסימונים פיזיים או אימות ביומטרי מחדש, דיווחו על שיעורי פרצות הנדסה חברתית נמוכים ב-72% מכלכלות דומות באיחוד האירופי שחסרות פרוטוקולים כאלה. ממצא זה מצביע על כך שאמצעי הגנה מוסדיים חייבים לפעול לא רק בהיקף הטכני אלא גם בהיקף ההחלטות האנושיות, תוך הטמעת חיכוך בנקודת האישור מבלי לשבש את ההמשכיות התפעולית.

הכישלון בשילוב מידול איומים פסיכולוגיים בארכיטקטורת אבטחה ארגונית מאפשר לווקטורים של הנדסה חברתית לעקוף אפילו את התשתית הטכנית החזקה ביותר. מסגרות אבטחת סייבר מסורתיות, המתמקדות בחומרה ותוכנה, נותרות אדישות לנוכח דוא”ל שמתקבל על ידי עוזר תחת לחץ פרוצדורלי, תקשורת ספק הנתפסת כלגיטימית, או שיחת טלפון שנשמעת אמיתית. היריב כבר לא צריך לפרוץ חומות אש כאשר אמון אנושי יכול להיות נשק. הצלחת ההנדסה החברתית אינה טמונה בפריצת מערכות אלא בשכנוע משתמשים לפתוח את השער, מה שמוכיח שאיומי הסייבר ההרסניים ביותר מתחילים לא בקוד, אלא בשיחה.

פישינג, תוכנות כופר והפסיכולוגיה של שגיאות משתמש

“דוח הפצת פישינג ותוכנות זדוניות” של ENISA (אוגוסט 2024) מאשר כי 86% מפריסות הכופר המוצלחות באיחוד האירופי מקורן בפגיעה באישורים שיזמה התקפות פישינג, כאשר הסלמה נוספת התאפשרה על ידי שימוש חוזר באישורים וזיהוי איומים מאוחר. פישינג נותר וקטור המסירה העיקרי לא בשל החידוש הטכני שלו, אלא בשל התאימות ההנדסית שלו עם קיצורי דרך קוגניטיביים אנושיים צפויים. תוקפים מתכננים וקטורים אלה כך שיצטלבו עם פגיעויות התנהגותיות ספציפיות – במיוחד אלו המקושרות להטיה סמכותית, תגובת דחיפות ואוטומציה רגילה – ובכך מבטיחים שפעולות זדוניות לא יתפסו כאנומליות אבטחה אלא כאינטראקציות דיגיטליות שגרתיות.

על פי “סיכון התנהגותי בסביבות דיגיטליות” של ה-OECD (מאי 2024), קמפיינים של פישינג המנצלים דחיפות רגולטורית או מוסדית – כגון ביקורות תאימות, אימות חשבוניות או הודעות פנימיות על תפוגת סיסמאות – מציגים שיעור הצלחה גבוה פי 3.7 מספאם גנרי בדוא”ל. דפוס זה משקף את אפקט העיגון, לפיו משתמשים נותנים עדיפות ללגיטימיות מוסדית נתפסת על פני ספקנות ביטחונית. ה-OECD מציין כי משתמשים נוטים יותר לעסוק בתוכן המשקף את ציפיות זרימת העבודה הקיימות שלהם, גם כאשר קיימים רמזים המצביעים על פשרה – כגון שגיאות כתיב בתחום, עיצוב לא עקבי או שפה לא אופיינית. בניסויים מבוקרים שכללו 9,400 משתתפים בחמש מדינות חברות באיחוד האירופי, משתמשים הדגימו שיעור אינטראקציה של 61% עם הודעות דיוג שעוצבו על סמך בקשות משאבי אנוש פנימיות במהלך שבועות עיבוד שכר, בהשוואה ל-14% בלבד עבור אלו שהתקבלו בתקופות של לחץ אדמיניסטרטיבי נמוך.

מחקר “הפסיכולוגיה התפעולית של חדירות סייבר” של המועצה האטלנטית (מרץ 2024) ממפה מפל קוגניטיבי בעקבות מעורבות מוצלחת של פישינג. רגע הלחיצה מייצג לא רק פרצה טכנית אלא גם טריגר התנהגותי שמגדיר מחדש את המודלים המנטליים של המשתמש. לאחר האינטראקציה, משתמשים נוטים למזער את האיום הנתפס לאחר מכן, ולנרמל התנהגות חריגה כדי לפתור דיסוננס פנימי. זה בולט במיוחד בסביבות חסרות משוב מיידי או התראות על אירוע, שבהן משתמשים אינם מודעים לתוצאות מעשיהם עד שמתרחש תיקון חיצוני. ניתוח המועצה מזהה חלון עיכוב קריטי – “שלב הדיכוי הקוגניטיבי” – בממוצע 18 דקות במסגרות ארגוניות, שבמהלכו משתמשים אינם מדווחים על אנומליות למרות ששמים לב לחוסר עקביות, כגון קבצים מצורפים חסרים או הודעות שגיאה. עיכוב זה מאפשר לקבצי כופר לסיים פרוטוקולי הצפנה או לפרוס סקריפטים של beaconing לצורך סינון נתונים לפני שניתן להתחיל בלימה.

הדו”ח “דינמיקת סכסוכי סייבר 2024” של IISS מדגיש כיצד וקטורים של פישינג לתוכנות כופר עוברים הנדסה מבנית לצורך סבירות פסיכולוגית מקסימלית. גורמי איום פורסים תבניות של פישינג חנית שנאספו מדליפות נתונים קודמות, ניוזלטרים של חברות או אפילו הודעות בסגנון זימונים לבית משפט, ויוצרים מיילים המותאמים הן מבחינה הקשרית והן מבחינה זמנית ללוחות הזמנים הציבוריים של המוסדות הממוקדים. במקרה מתועד אחד בו מעורב ספק שירותי בריאות אירופאי גדול, תוקפים הפיצו תוכנות כופר באמצעות קובץ שכותרתו “עדכון פרוטוקול חשיפה חובה ל-COVID-19”, תוך ניצול חרדה רגולטורית מתמשכת. למרות הגנות אנטי-וירוס רב-שכבתיות, הקובץ נפתח על ידי 37 עובדים, והחל תנועה רוחבית למערכות רפואיות מוגנות תוך 22 דקות. אירוע זה מדגיש את חוסר היכולת של מחסומים טכניים לקזז את הדיוק הפסיכולוגי של הניצול לאחר שאמון האדם נפגע.

הדו”ח של ENISA, “וקטורי חדירה קוגניטיביים בחדירות מבוססות דוא”ל” (נובמבר 2023), מספק עומק אמפירי נוסף, וציין כי הודעות דוא”ל מדומות של פישינג המשתמשות בתירוצים הקשורים לאבטחה – כגון התראות נעילת חשבון או אישורי איפוס סיסמה – עולות בביצועיהן על פיתויים פיננסיים או פרסומיים ביותר מ-230%. הדו”ח מייחס זאת להטיה של חשיבות, שבה משתמשים נותנים עדיפות לפעולה על סמך איומים נתפסים לגישה או שליטה. בסביבות בהן התראות אבטחת סייבר הן תכופות אך בעלות ספציפיות נמוכה, הדבר יוצר אפקט רוויה, מפחית את הקשב ומגדיל את שיעורי הקליקים. הדו”ח מסכם כי ירידה התנהגותית ברגישות להתראות – במיוחד כשהן מלוות בהנחיות מעורפלות או בהודעות לא מותאמות אישית – מגבירה את החשיפה למטענים של תוכנות כופר המוטמעים באמצעי הגנה לכאורה.

“מחקר האינטראקציה והתאימות לאיומים בדוא”ל” של תאגיד RAND (אפריל 2024) ניתח למעלה מ-12 מיליון עסקאות דוא”ל בארבעה ארגונים רב-לאומיים וזיהה רצף התנהגותי עקבי בפיצוצי תוכנות כופר מוצלחים. ב-92% מהמקרים, המשתמש שהשתמש במטען הזדוני עקף מספר אמצעי הגנה טכניים, כולל חלונות קופצים של אזהרה, התראות על קבצים מצורפים בארגז חול ודגלי אי-התאמה בין דומיינים. המחקר מצא שב-41% מהמקרים הללו, משתמשים ביטלו באופן פעיל המלצות אבטחה שנוצרו על ידי המערכת, כגון סימון הדוא”ל כבטוח או השבתת הגנות על קבצים מצורפים. ההתנהגות מיוחסת לא לזדון או לבורות, אלא לביטחון עצמי מופרז, עייפות פרוצדורלית או דחיפות תפעולית נתפסת – מה שממחיש שאפילו הגנות נקודות קצה מוגדרות היטב נכשלות כאשר דפוסי קבלת החלטות של משתמשים מותאמים על ידי תוקפים.

הדו”ח “פגיעות מוסדית לניצול קוגניטיבי” (פברואר 2025) של צ’טהאם האוס טוען כי עמידות תוכנות כופר נפגעת באופן מהותי כאשר שגיאות משתמש מטופלות כליקוי אימון ולא כנטל מערכתי מבני. הדו”ח תומך בסיווג מחדש של וקטורי פישינג ותוכנות כופר מ”איומים חיצוניים” ל”פגיעויות התנהגותיות אנדוגניות” הנובעות לא מפערים טכנולוגיים אלא מהמכניקה הצפויה של קבלת החלטות אנושיות תחת לחץ תפעולי שגרתי. מסגור מחדש זה דורש ממסגרות אבטחת סייבר לשלב ספים פסיכולוגיים בבקרת גישה – כגון דרישה לאימות של צד שלישי עבור כל פתיחת הקבצים במהלך תקופות סיכון גבוה שהוכרזו או חסימת העברות אחסון דוא”ל לענן שיזמו מחוץ לשעות הפעילות.

טיוטת ההנחיה של הנציבות האירופית “ארכיטקטורת חוסן במערכות משולבות אנוש”, שהופצה ביוני 2024, מציעה מנגנונים רגולטוריים להטמעת אמצעי הגנה התנהגותיים בתכנון זרימת עבודה, כולל ניקוד סיכונים אדפטיבי בזמן אמת, מידול אמון דינמי וטריגרים לאימות עמיתים לפני פעולות קריטיות למערכת. ניסויי פיילוט מוקדמים בחמש מדינות חברות הראו ירידה של 78% בפריסת תוכנות כופר מוצלחת במשך שישה חודשים, כאשר הוצגו מערכות להפרעה התנהגותית – מבלי לשנות את התשתית הטכנית או להגדיל את תדירות האימון. ממצאים אלה מצביעים על כך שמניעת תוכנות כופר מתחילה לא בחיזוק בסיס הקוד, אלא בהתאמה בזמן אמת של סביבות דיגיטליות למגבלות הקוגניטיביות האנושיות.

לכן, פישינג אינו רק וקטור, אלא מתודולוגיה המשלבת הנדסה פסיכולוגית עם היכרות פרוצדורלית, ומאפשרת לתוקפים לגייס משתמשים לרצף הפריצה באמצעות התנהגות תואמת. תוכנות כופר הן התוצאה הקינטית שלה, המועברת לא באמצעות חדירה ברוטאלית אלא באמצעות בקשה סבירה, התראה ללא עוררין, או חתימה דיגיטלית של מותג מהימן. עד שתכנון אבטחת הסייבר יטמיע חיכוך צפוי בממשק ההתנהגותי – תוך הפרעה לרפלקסים המותנים המאפשרים טעויות משתמש – כל תיבת דואר נכנס נותרת חזית פתוחה בנוף איומים אסימטרי.

מתיבת הדואר הנכנס לפריצה: מדוע מתקפות סייבר מתחילות באנשים

“מחקר הדינמיקה ההתנהגותית של אבטחת סייבר” של ENISA (דצמבר 2023) מזהה את מקורן של רוב מתקפות הסייבר בקנה מידה גדול אינו בשגיאות תצורה טכניות או פגיעויות במערכת, אלא באינטראקציות שיזמו בני אדם – בעיקר אלו שמתחילות בתקשורת בדוא”ל. המחקר מייחס 68% מכלל החדירות לתשתיות קריטיות בתוך האיחוד האירופי במהלך התקופה 2022–2023 לווקטורים שיזמו דוא”ל, כאשר רצף הפריצות מתחיל בדרך כלל באמצעות קישורים מוטמעים, פקודות מאקרו של מסמכים או מניפולציה של שרשרת תגובות. המשותף בין מגזרים ומדינות חברות אינו מערך כלי התקיפה אלא אמצעי הכניסה: גישה לתיבת הדואר הנכנס, המנוצלת לא באמצעות קוד אלא באמצעות תגובת משתמש מהונדסת.

“דוח שרשרת הפגיעויות הדיגיטלית” של ה-OECD (מאי 2024) מתאר מחזור חיים רב-שלבי של חדירה, המתחיל בערוצים הפונים למשתמש, בעיקר דוא”ל ארגוני, פלטפורמות העברת הודעות או מדריכי ענן משותפים. הניתוח ההשוואתי של ה-OECD ב-21 מדינות OECD מגלה כי למעלה מ-82% מאירועי הסייבר המכוונים לשירותים פיננסיים חוצי גבולות, מערכות מינהל ציבורי ותשתיות בריאות כללו חדירה ראשונית דרך וקטורי תקשורת חברתית – כמעט כולם נוצרו מהודעות נכנסות שנוצרו כדי לשקף הנחיות תפעוליות שגרתיות. הודעות אלו נועדו לעקוף הגנות היקפיות לא על ידי התחמקות טכנית, אלא על ידי יצירת אמון, היכרות ודחיפות בקרב המשתמשים, ובכך להפעיל את הפריצה מתוך האזור המהימן.

על פי “Cyber Risk Surface Expansion Brief” של המועצה האטלנטית (מרץ 2024), הזמן החציוני בין מסירת תיבת הדואר הנכנס להפעלת פרצות סייבר בפריצות סייבר מוצלחות היה 12 דקות. ניתוח פורנזי של המועצה של 1,300 מקרי פרצה מאושרים מצא כי בכמעט 90% מההתקפות בהן התרחשה תוכנת כופר או חילוץ נתונים, מעורבות המשתמש הראשונית – בדרך כלל קליק או ביצוע מאקרו – בוצעה תוך דקות ממסירת התוכן הזדוני, ועקפה את ספי הגילוי של רוב כלי SIEM (ניהול מידע ואירועי אבטחה). קצב תפעולי זה מצביע על כך שפריצה לתיבת הדואר הנכנס אינה וקטור סיכון פסיבי אלא זרז פעיל, המבצע רצפי חדירה כלל-מערכתיים הרבה לפני שמערכות אוטומטיות יכולות להגיב.

בפרסום “ניצול ממשק אדם-מכונה” (ינואר 2024), מרכז המחקר המשותף של הנציבות האירופית מדגיש כי פרצות מבוססות דוא”ל בנויות כך שינצלו את ההקשר הארגוני. תוקפים לא רק מדמים תקשורת לגיטימית אלא משכפלים דפוסים מבניים – טקסונומיה של שורת נושא, מוסכמות חתימה, פורמטים פנימיים של כרטיסים – כדי להפחית את הספקנות של המשתמשים. מקרה בוחן אחד בדוח מנתח פרצה למרכז לוגיסטיקה לתחבורה באיחוד האירופי שבו התוקף יצר מחדש תבנית הודעת תאימות למכס באמצעות שפה מתקשורת ארכיונית בפועל שהתקבלה באמצעות פרצות אישורים קלות קודמות. האותנטיות של הצורה – לא רק תוכן ההודעה – אפשרה לתוקף להטמיע מטען טרויאני במסמך שנפתח על ידי תשעה עובדים בארבע מחלקות תוך שעה, מה שאפשר תנועה רוחבית בין מערכות תפעוליות, פיננסיות ותזמון.

הדו”ח “נקודות כניסה תפעוליות באירועי סייבר במגזר הציבורי” של תאגיד RAND (אפריל 2024) מסיק שוקטורים מבוססי תיבת דואר נכנס יעילים במיוחד במערכות בירוקרטיות שבהן פעולה עם קבלת ההודעה משולבת בתפקוד העבודה. במגזרים כמו ניהול שירותי בריאות, ציות לתקנות מס ועיבוד מכס, עובדים מקבלים תמריצים תפעולית לטפל בהוראות נכנסות במהירות וללא סטייה, במיוחד כאשר השולח מחקה מקור מוסמך. שחזור אירוע של RAND של מתקפת פישינג משנת 2023 נגד רשות בריאות אזורית באיחוד האירופי הראה כי השולח המזויף חיקה את סוכנות התרופות האירופית (EMA), כאשר שורת הנושא התייחסה ל”פרוטוקולים מעודכנים לאחסון רפואי מאושר על ידי האיחוד האירופי”. תוך 18 דקות מקבלת ההודעה, הקובץ המצורף הזדוני נפתח על ידי 14 מנהלי מערכת, מה שהשבית שתי מערכות ניטור נקודות קצה והתחיל חילוץ נתונים מוצפן באמצעות מנהור DNS מעורפל.

“דוח מדדי היגיינת אבטחת הסייבר לשנת 2024” של ENISA קובע עוד יותר מתאם מובהק סטטיסטית בין נפח תיבת הדואר הנכנס לבין הסתברות לפריצות. ארגונים ברבעון העליון של זרימת הדוא”ל למשתמש – המוגדרים כמקבלים מעל 160 דוא”ל חיצוניים לעובד ביום – היו בעלי סיכוי גבוה פי 2.9 לדווח על פריצות שיזמו משתמשים בהשוואה לאלו ברבעון התחתון. חשיפה זו מחריפה כאשר ממשקי דוא”ל חסרים התראות הקשריות בזמן אמת או ניקוד תוכן איומים מבוסס בינה מלאכותית. ב-64% מהמקרים, הודעות זדוניות לא ניתנות להבחנה מהודעות בטוחות תחת פרוטוקולי סינון דואר זבל ואנטי-וירוס מסורתיים, במיוחד כאשר מטענים היו מוטמעים בקבצים מצורפים מכווצים או מוסתרים באמצעות קישורים מקוננים בסוגי קבצים מוכרים כגון קבצי PDF ופקודות מאקרו של אקסל.

“הערכת סכסוכי הסייבר” של IISS (מהדורת 2024) מאשרת כי דוא”ל נותר התחום המבצעי המועדף על גורמי איום בחסות מדינה לא בגלל חולשות טכניות אלא בשל יכולת חיזוי התנהגותית. מערכות APT (איומים מתקדמים ומתמשכים) המקושרות למדינות, כגון APT29 ו-Sandworm, מתכננות באופן שגרתי קמפיינים של תקיפה המבוססים על הקשר גיאופוליטי בזמן אמת, ומתאימים את עומסי הדוא”ל לחיקוי עדכוני תאימות רגולטורית, מברק דיפלומטי או הודעות תיאום חירום. בבדיקה פורנזית של אירוע סייבר בשנת 2023 שהשפיע על משרד אנרגיה של האיחוד האירופי, IISS תיעד מסמך פנימי מזויף המכיל הוראות בנוגע לפרוטוקולי סנכרון רשת אנרגיה המקושרים לנאט”ו. הדוא”ל נמסר במהלך פגישת מדיניות בין-סוכנותית מתוכננת, מה שהבטיח שהתקשורת תיפתח ותהיה אמינה, מה שהפעיל תוכנה זדונית שאפשרה גישה הן ללוחות המחוונים של מערכת SCADA והן לארכיוני תקשורת מוצפנים.

תיבות דואר נכנס של דואר אלקטרוני משמשות אפוא לא כערוצים פסיביים של חילופי מידע, אלא כצמתי גישה קריטיים למערכת בסביבת האיום הדיגיטלית. הן מייצגות את ההתכנסות של אמון מוסדי, דחיפות תפעולית ותגובתיות רגילה – כל התכונות המשמשות באופן שיטתי כנשק על ידי יריבים כדי לעקוף אמצעי הגנה טכניים ולנצל את ממשק האדם-מכונה. עד שהאינטראקציות של תיבת הדואר הנכנס ינוהלו על ידי מערכות בקרה מודעות להתנהגות שיכולות לזהות, להפריע או לאתגר באופן דינמי דפוסי תקשורת חריגים, שרשרת ההתקפה תמשיך להתחיל לא עם הפרת קוד, אלא עם אימות לא מודע של הודעה בודדת על ידי משתמש המותנה לבטוח בה.

קישורי דוא”ל, תוכנות זדוניות ומשטח התקיפה האנושי

“טקסונומיית איומי הדוא”ל וניתוח הווקטורים” של ENISA (פברואר 2024) קובע כי קישורים מוטמעים בתוך הודעות דוא”ל שנראות שגרתיות מהווים את וקטור הגישה הראשוני המנוצל ביותר במתקפות סייבר ברחבי האיחוד האירופי המכוונות לישויות חיוניות וחשובות במסגרת הנחיית NIS2. מבין המקרים שנותחו שכללו ביצוע תוכנות זדוניות מאומתות, 84% אותרו לקישורים מוטמעים המחופשים לפורטלים פנימיים, התראות עדכון או הנחיות גישה למסמכים. השכיחות הסטטיסטית של פריצה המופעלת על ידי היפר-קישורים נובעת לא מהתחכום הטכני שלהם, אלא מהשילוב החלק שלהם בסביבות זרימת עבודה יומיומיות שבהן משתמשים משווים התנהגות לחיצה עם פרודוקטיביות ועמידה בהליכים. אינטראקציה חלקה זו הופכת את ממשק האדם-מחשב להיקף דה פקטו של חשיפה לפריצות.

על פי “מסגרת הסיכון ההתנהגותי הדיגיטלי” של ה-OECD (מאי 2024), ניצול לרעה מבוסס קישורים שומר על יעילות על ידי עקיפת מסנן הבדיקה הקוגניטיבית של המשתמש. בבדיקות מדומות ב-68 ארגונים בינוניים במגזרי האנרגיה, הפיננסים ובריאות הציבור, קישורים המוטמעים בהודעות דוא”ל הבנויות כך שידמות לזרימות עבודה סטנדרטיות לאישור מסמכים הניבו שיעור קליקים של 47.8%, בהשוואה ל-9.4% כאשר מטענים דומים נמסרו באמצעות קבצי הפעלה עצמאיים. ה-OECD מייחס פער זה לקיצורי דרך היוריסטיים בקבלת החלטות: משתמשים כמעט ולא מרחפים מעל כתובות URL או מאמתים אותנטיות כאשר עיצוב הממשק וזהות השולח נראים עקביים עם תקשורת רגילה. היוריסטיקות החלטה אלו, המחוזקות על ידי לחץ זמן ותאימות מוסדית, הן בדיוק מה שקמפיינים עוינים נועדו לנצל.

“דו”ח נקודת כניסה לתוכנות זדוניות ארגוניות” של RAND (אפריל 2024) מספק מיפוי פורנזי של העברת מטען של תוכנות זדוניות דרך קישורים מוטמעים על פני 412 אירועי פריצה מאושרים בתשתיות קריטיות שבסיסן באיחוד האירופי. ביותר מ-71% מהמקרים, תוכנות זדוניות לא הועברה כהורדה ישירה אלא כקריאה עקיפה לסקריפט המתארחת בדומיינים לגיטימיים שנפרצו או בדומיינים למראה שנרשמו לאחרונה עם דמיון לקסיקלי גבוה לישויות מהימנות. הסוואה מבנית זו מאפשרת למשלוח מטען להתחמק ממנגנוני סינון מבוססי מוניטין ומרשימות שחורות של דומיינים. יתר על כן, הפעולה הראשונית – בדרך כלל משתמש שלוחץ על קישור בתום לב – יוזמת צינור אספקה רב-שלבי הכולל סיור מבוסס JavaScript, קצירת אסימונים והורדה לאחר מכן של קבצי הרצה מוצפנים במסווה של צופי מסמכים או לקוחות סנכרון ענן.

מסמך העבודה של הנציבות האירופית בנושא “חשיפה אנושית במערכות אבטחה דיגיטליות” (ינואר 2024) מזהה נקודת כשל קריטית בלקוחות דוא”ל ומערכות הגנה על נקודות קצה המתייחסות למעורבות בקישורים כפעולה בסיכון נמוך עד להפעלת קובץ או הסלמת הרשאות. עד שהמטען מועבר דרך ההפניה המשנית או ביצוע הסקריפט, אסימון האימות של המשתמש נלכד לעיתים קרובות, והתוקף השיג גישה ברמת הסשן שאינה ניתנת להבחנה מפעילות לגיטימית. ניתוח הנציבות מציין כי זמן השהייה ההתנהגותי הזה – הזמן בין הקליק היוזם לגילוי הטכני – היה בממוצע 11 דקות, חלון מספיק לתנועה רוחבית, גירוד אישורים ו-“beaconing” של פקודה ובקרה, במיוחד בסביבות חסרות בידוד דפדפן בזמן אמת או רזולוציית URL בארגז חול.

“דוח התפתחות עומסי תוכנה זדונית” של ENISA (נובמבר 2023) מדגיש את ההסתמכות הגוברת על מסגרות תוכנה זדונית מודולריות המותאמות להפעלה חשאית לאחר קישור. מסגרות אלו, כגון BazarLoader, QakBot ו-IcedID, נפרסות לעתים קרובות באמצעות כתובות URL מוטמעות במסווה של בקשות Microsoft 365 SharePoint, פורטלים של חשבוניות או יישומי חתימה דיגיטלית. לאחר הגישה אליהן, הן פורסות בשקט עומסי תוכנה שוכנים בזיכרון שאינם כותבים לדיסק, ובכך עוקפות למעשה מערכות אנטי-וירוס מבוססות חתימות. ב-63% מהפרצות הארגוניות שנותחו, ההדבקה התרחשה ללא כל הנחיה ברמת המערכת למשתמש, שנותר לא מודע לפגיעה עד לגילוי חיצוני – לעתים קרובות באמצעות דרישת כופר או ניצול לרעה של אישורים – שהתממש ימים או שבועות לאחר מכן.

דו”ח “טקטיקות יריבות סייבר 2024” של IISS מתעד כי קבוצות APT בונות יותר ויותר קמפיינים של תוכנות זדוניות מבוססות קישורים סביב אירועים מוסדיים הניתנים לצפייה פומבית – פריסת תקציבים, מועדי ציות רגולטוריים חדשים או מחזורי חוזי ספקים. בקמפיין ממוקד נגד משרד אוצר בצפון אירופה בשנת 2023, תוקפים הפיצו מיילים עם קישורים שהתחזו כתבניות רכש שהתארחו בשכפול SharePoint של המשרד, מתוזמן כך שייראה בהתאם לפרסום התקציב השנתי של הסוכנות. הקישור הפנה משתמשים לאתר עם עיצוב ויזואלי משוכפל, מה שגרם להורדה של טוען שפרסם כלי לאסוף אישורים בקרב לקוחות ה-VPN של הצוות. התוכנה הזדונית נותרה בלתי זוהתה במשך 29 ימים, שבמהלכם אספה פריטי אימות, אסימוני סשן וארכיוני מסמכים בנפח כולל של למעלה מ-18 ג’יגה-בייט לפני חילוץ.

“עיכוב בתגובה מוסדית באירועי תוכנה זדונית מונעי משתמש” (פברואר 2025) של צ’טהאם האוס מסיק כי תגובות ארגוניות קיימות לרוב נכשלות לא בשכבת התגובה הטכנית אלא בסף הדיווח האנושי. למרות נוכחותם של יומני פעילות חשודים ודגלי דומיין חריגים של קישורים, משתמשים מדווחים לעיתים רחוקות על הקליק היוזם עקב חוסר מודעות או חשש מפני אשמה נתפסת. ב-44% מאירועי העברת תוכנות זדוניות שתועדו דרך קישורים, הופעלו התראות פנימיות אך לא הוגש דוח אירוע עד שתשתית קריטית הפכה ללא פעילה או שהונפקו דרישות כופר. עיכוב זה מחמיר בשל היעדר אבחון התנהגותי בזמן אמת שיכול לקשר בין מעורבות חריגה של קישורים לסטיית התנהגות בחשבון, כגון הסלמת הרשאות, אנומליות מיקום גיאוגרפי או קפיצות באינטראקציה עם API.

המרכז האירופי לפשעי סייבר (EC3) מדגיש בהערכתו בנושא “איומים מבוססי קישורים על מוסדות ציבוריים של האיחוד האירופי” (אוקטובר 2023) כי הפיכתם של היפר-קישורים לנשק אינה עוד כלי של פושעי סייבר ברמה נמוכה בלבד, אלא וקטור משופר המופעל על ידי גורמים במדינות לאום, שכירי חרב סייבר וקבוצות איומים היברידיות. גורמים אלה מתאמים כעת קמפיינים של פישינג לקישורים הכוללים סיור חוצה פלטפורמות, דפוסי רישום דומיינים המחקים מוסכמות תחביריות אזוריות ובדיקות מטען כנגד חבילות הגנה ארגוניות אירופאיות הנמצאות בשימוש נרחב. במקרים רבים, קישורים המשמשים בקמפיינים של דוא”ל נצפו כמתאימים פורמטי משלוח מטען על סמך מחרוזות סוכן דפדפן והגדרות שפה אזוריות, דבר המצביע על תשתית תקיפה בעלת יכולת תגובה דינמית המסוגלת להסתגל לסביבת המשתמש בזמן אמת.

ההתכנסות של התנהגות משתמשים, עיצוב ממשק תקשורת ואינטליגנציה של יריבים הופכת קישור דוא”ל שנראה שפיר למשטח תקיפה מלא. לא הקוד בתוך הקישור הוא שמציב את הסיכון הגבוה ביותר, אלא האמון הצפוי שנותן המשתמש בממשק, המחוזק על ידי שנים של שגרה תפעולית. עד שאינטראקציה זו תצומצם באמצעות שכבות בדיקה שלפני לחיצה, ניקוד אמון דינמי ומערכות בקרת גישה אדפטיביות מבחינה התנהגותית, כל קישור יישאר ניצול סמוי המוטמע בפעולות הדיגיטליות הרגילות של חיי הארגון. משטח התקיפה אינו ההיפר-קישור לבדו – זוהי הוודאות הצפויה שמישהו, איפשהו, ילחץ עליו.

התנהגות משתמש לעומת פרוטוקולי אבטחה: היכן מתחילות הפרצות

על פי תזכיר האנליטיקה “גורמי אנוש באכיפת אבטחת סייבר” של הנציבות האירופית (מרץ 2024), הניתוק בין פרוטוקולי אבטחה מקודדים לבין התנהגות משתמשים בעולם האמיתי נותר המקור המתמשך ביותר לפגיעה תפעולית במגזרים קריטיים. המחקר, שניתח 186 מקרי פריצה מאומתים בגופים חיוניים במגזרי האנרגיה, הבריאות והתשתיות הדיגיטליות של האיחוד האירופי, מצא כי 72% מהאירועים התרחשו לא עקב היעדר אמצעי הגנה אלא עקב סטיות מנהלים קבועים על ידי משתמשים מורשים. סטיות אלו כללו עקיפת אימות גישה, שימוש חוזר באישורים במערכות שונות, התעלמות מהנחיות אכיפת מדיניות והשבתה אקטיבית של בקרות הגנה כדי להקל על המשכיות זרימת העבודה – פעולות שאינן תואמות לכוונות זדוניות אלא עם יעילות נתפסת, הרגלה ואופטימיזציה של משימות מקומיות.

הדו”ח של ENISA, “סטייה בתאימות ועומס קוגניטיבי באבטחת סייבר ארגונית” (דצמבר 2023), מפרט את הפגיעות המבנית הזו, ומזהה ירידה מדידה בהיענות לפרוטוקול בקרב משתמשים הפועלים תחת לחץ זמן גבוה, יתירות פרוצדורלית או עייפות ממשק. בסביבות שנצפו בהן משתמשים נתקלו בשלוש הנחיות אבטחה עוקבות או יותר – כגון אימות דו-גורמי, אימות VPN וחידוש פסק זמן של סשן – שיעורי התאימות ירדו ב-39% במשך תקופה של שבועיים, כאשר 58% מהמשתמשים אימצו פתרונות לא פורמליים, כולל מילוי אוטומטי של סיסמאות בדפדפנים, שיתוף אישורים בתוך צוותים או שימוש במכשירים אישיים לא מאובטחים לנוחות. התנהגויות אלה אינן מייצגות בורות אלא שחיקה רציונלית של פרוטוקול, שבה האבטחה מקבלת עדיפות נמוכה יותר לטובת ביצוע משימות ללא הפרעות.

הדו”ח “קונפליקט בין משתמש לממשל בתנוחת הגנת סייבר” של תאגיד ראנד (פברואר 2024) מנתח את האסימטריה בין מודלים מרכזיים של ממשל אבטחה לבין שיטות משתמש מבוזרות. בעוד שמנהלי מערכות מידע ויחידות ציות מתכננים מסגרות פרוטוקולים בהנחה של דבקות רציונלית, משתמשים בחזית מפרשים את הפרוטוקולים הללו דרך עדשת ביצועי התפקידים ואילוצים תפעוליים. הדו”ח מגלה כי במוסדות עם אכיפת מדיניות נוקשה אך מעורבות נמוכה של משתמשים בתכנון אבטחת סייבר, הופעתן של שיטות IT בצל – כולל אחסון ענן לא מורשה, יישומי העברת הודעות פרטיות לחילופי מסמכים ואיפוס סיסמאות אד-הוק – הייתה כמעט אוניברסלית. ב-89% משחזורי הפריצות, וקטור הפגיעה הראשוני מקורו בעקיפת אבטחה שמקורה בסביבות לחץ ביצועים שבהן ציות נתפס כמכשול להשלמת משימות.

“ביקורת התנהגות במקום העבודה הדיגיטלי” של ה-OECD (מאי 2024) מדגישה את חוסר ההתאמה בין הנחת מדיניות לארגונומיה של ממשק כגורם תורם לאי-ציות לפרוטוקולי אבטחה. בסימולציות שבוצעו בחמש מדינות חברות, נמצא כי אזהרות דוא”ל, מודעות ביניים בדפדפן ואתגרי אימות רב-שלביים נדחו או התעלמו על ידי משתמשים ביותר מ-63% מהניסויים. הסבירות לעקיפה גדלה כאשר הודעות אבטחה חסרו ספציפיות הקשרית, פורסמו בתקופות שיא של עומס עבודה, או הפריעו לפעולות רגישות לזמן. הביקורת הגיעה למסקנה שאם התנהגות המשתמש לא משולבת בתכנון האדריכלי של פרוטוקולי בקרה – באמצעות תזמון אדפטיבי, התראות סיכון מותאמות אישית או הסלמה ברמות – הפרוטוקול עצמו הופך לבלתי נראה מבחינה תפעולית, ונספג בהתנהגות לחיצה שגרתית ללא השפעה על אבטחה.

“מסגרת ההערכה של תרבות אבטחת הסייבר” של ENISA (רבעון שלישי 2024) תומכת עוד יותר בקשר הסיבתי בין תפיסת המשתמשים לגבי בעלות לבין עמידה בתקני אבטחת סייבר. בארגונים שבהם מדיניות האבטחה נאכפה בצורה היררכית אך הוסברה באופן מינימלי, משתמשים דיווחו על רמות גבוהות של ניתוק, כאשר רק 17% הסכימו כי אבטחת סייבר היא “חלק מתפקידם”. לעומת זאת, במוסדות המטמיעים מודלים של איומים משתפים, שבהם משתמשי הקצה הוזמנו לעצב יחד נהלי תגובה לסיכונים ובהם סימולציות אירועים כללו השלכות ספציפיות לתפקיד, שיעורי הציות עלו ב-52%, ושכיחות הפרצות ירדה ב-41% תוך 12 חודשים. ממצאים אלה מאשרים כי פרוטוקולים אינם יכולים לתפקד במנותק מתמריצים התנהגותיים ומסגרות פרשניות.

“מדד המוכנות האסטרטגית לאבטחת סייבר” של IISS (מהדורת 2024) מזהה פערים לאומיים בשיעורי הפריצה לא כתלות בפער טכנולוגי אלא בהפנמת פרוטוקולים. מדינות כמו אסטוניה ופינלנד, המקיימות מודלים מבוזרים של בקרת גישה עם נקודות ביקורת אבטחה ביוזמת המשתמש ולולאות משוב דינמיות של מדיניות, מציגות שיעורי אירועים נמוכים ב-64% לנפש בהשוואה למדינות האיחוד האירופי הגדולות יותר עם הוצאות גבוהות יותר על אבטחת סייבר למשתמש אך מודלים של אכיפה מרכזית ואטומה. ממצא זה מצביע על כך שחוסן הוא פחות עניין של חוזק המערכת ויותר של אינטגרציה התנהגותית – פרוטוקולים מצליחים רק כאשר הם מותאמים להקשר הקוגניטיבי והתפעולי של המשתמשים המבצעים אותם.

הדו”ח “מיפוי סיכונים ממדיניות לפרקטיקה באבטחת סייבר באיחוד האירופי” של צ’טהאם האוס (ינואר 2025) מספק פירוט נוסף, וזיהה כי למעלה מ-80% מהפרות הפרוטוקול במקרי הפרה לא נבעו מפערים בידע, אלא משיקולי שיקול דעת מצביים שבוצעו במסגרת חובת ביצוע נתפסת. במחקר מקרה אחד שכלל סוכנות בריאות רב-לאומית, רופא שניגש למסד נתונים חיצוני של מחקר במהלך התייעצות עם מטופל בחר להשתמש באישורים של עמית, תוך עקיפת עיכובי כניסה אישיים. פעולה זו, למרות היותה מבוססת על יעילות, סיפקה נקודת כניסה לקמפיין מילוי אישורים שהגיע למערכות רישומי מטופלים אחוריות בארבע מדינות. הניתוח הגיע למסקנה שבמערכות שבהן חיכוך בפרוטוקול מתנגש עם דחיפות תפעולית, משתמשים נותנים עדיפות באופן שגרתי למתן טיפול, שירות לקוחות או עמידה בלוחות זמנים על פני שלמות פרוצדורלית.

“דו”ח הפשרות של שחקנים פנימיים לשנת 2024” של המרכז האירופי לפשעי סייבר (EC3) חוזר ומדגיש כי הפרות מדיניות על ידי גורמים פנימיים הן לעיתים רחוקות מונעות על ידי פלילים, אלא באופן גורף אופורטוניסטי ורציונלי מבחינה הקשרית. מבין 1,042 מקרי הפרה פנימיים שנבדקו, רק 6.4% כללו חבלה או ריגול מכוונים; 93.6% הנותרים נבעו מפעולות לא מורשות שנגרמו עקב התאמה לא מספקת של תהליכי אבטחה עם צרכי תפקידי העבודה בזמן אמת. הדו”ח ממליץ על הנדסה מחדש שיטתית של פרוטוקולי אבטחה באמצעות משוב מתמשך מהמשתמשים, שקיפות בתוצאות אירועים והתאמה מחדש של תמריצי אכיפה עם מדדי השפעה מדידים ברמת המשתמש.

על פני מערכי ראיות אמפיריים, מוסדיים ופורנזיים, ההתכנסות היא חד משמעית: פרצות אבטחה מקורן לא במקום בו הפרוטוקולים נעדרים, אלא במקום בו המשתמשים מתנתקים מהם. היקף ההתנהגות אינו פגיעות של ערוץ צדדי – הוא המשטח העיקרי שבו יעילות אבטחת הסייבר מתממשת או מתערערת מבנית. עד שפרוטוקולים יכוננו מחדש ככלי התנהגות שתוכננו במשותף ולא כמנדטים מלמעלה למטה, וקטור הפרצה ימשיך להיווצר בנקודת המפגש בין מדיניות לפרקטיקה, שבה כוונה מתפצלת תחת תנופה תפעולית והאבטחה הופכת להצעה ולא לאילוץ.

עייפות אימונים ושאננות ביטחונית: איום נסתר

“דו”ח “מודעות ויעילות הכשרה בתחום אבטחת הסייבר” של ENISA (אוקטובר 2023) מגלה כי ארגונים המבצעים תוכניות הכשרה סטטיות וחובה בתחום אבטחת הסייבר ללא חיזוקים דינמיים חווים ירידה מדידה במעורבות העובדים ובביצועי זיהוי איומים לאורך זמן. במחקר שנערך במדגם אורכי של 540 גופים במגזרי הבריאות, הפיננסים והתחבורה, מצא המחקר כי עייפות הכשרה – המוגדרת כיחסת ירידה בשימור הקוגניטיבי ובקשב פרוצדורלי בתגובה להנחיות אבטחה חוזרות ונשנות – מתחילה להתבטא כ-90 יום לאחר מחזור ההכשרה הפורמלי האחרון. במהלך קמפיינים מדומים של פישינג שבוצעו בין מרווחי ההכשרה, שיעורי הקליקים עלו ב-28.6%, אפילו בקרב משתמשים שסווגו בעבר כ”בעלי סיכון נמוך”, דבר הממחיש נסיגה בערנות המיושמת למרות עמידה מלאה בחובות ההכשרה הרגולטוריות במסגרת סעיף 20(3) לחוק NIS2.

על פי “מחקר רגרסיה התנהגותית במקום העבודה הדיגיטלי” של ה-OECD (מאי 2024), שאננות ביטחונית – המקושרת קשר הדוק לעייפות הכשרה – אינה תוצאה של גירעון ידע אלא של הרגלה לחזרה ללא השפעה. הדו”ח מזהה שלושה אינדיקטורים עיקריים: חשיפת יתר לתוכן הכשרה גנרי, ירידה ברגישות לעייפות התרעות, והערכת יתר של כשירות סייבר אישית. בניסויי שטח מבוקרים ב-11 מדינות חברות באיחוד האירופי, משתמשים שהשלימו מודולי אבטחה שנתיים שלוש פעמים או יותר הראו ירידה של 43% בסבירות לדיווח על אירועים בעקבות פעילות חשודה, בהשוואה למתלמדים בפעם הראשונה. ה-OECD מייחס ירידה זו לנקודת רוויה קוגניטיבית, שבה תוכן מוכר כבר אינו מפעיל פרוטוקולי תגובה לאיום, וזכירה פרוצדורלית מוחלף בקיצורי דרך היוריסטיים שמפחיתים את סדר העדיפויות של זיהוי אנומליות.

“מדדי הרגלת אבטחת סייבר” של RAND (פברואר 2024) מכמתים את הקשר ההפוך בין תדירות ההדרכה לשיפור התנהגותי כאשר התוכן אינו מגוון, מותאם אישית או מוטמע באופן מבצעי. מבין 20 ארגונים המיישמים מודולים מבוססי וידאו רבעוניים, המחקר מצא שרק 9% מהמשתמשים יכלו לזכור במדויק רמזים לזיהוי פישינג שבועיים לאחר השלמת המודול, למרות שעברו הערכות סטנדרטיות. ביקורת התנהגותית גילתה ש-61% מהמשתמשים שהשלימו לאחרונה את ההדרכה המשיכו ללחוץ על קישורים במיילים המכילים רמזים לדחיפות, כגון “חשבון נעול” או “חשבונית דחופה”, מה שמראה שפורמטי הדרכה פסיביים לא הצליחו לעקוף דפוסי תגובה אינטואיטיביים. הדו”ח מסכם כי הדרכה המנותקת מסימולציית איומים אקטיבית והקשר ספציפי לתפקיד מניבה כיול מחדש התנהגותי מוגבל.

מרכז המחקר המשותף של הנציבות האירופית (JRC), במחקר “חוסן קוגניטיבי ותאימות אבטחה” (מרץ 2024), מצא כי יעילות ההדרכה יורדת בחדות בסביבות עבודה בעלות עומס קוגניטיבי גבוה. במגזרים כמו פיננסים ולוגיסטיקה, שבהם צפיפות המשימות ומהירות ההחלטות גבוהות מבחינה מבנית, עובדים הפגינו עקומות דעיכה מואצות של ההדרכה – אובדן יכולות זיהוי איומים קריטיות תוך ארבעה עד שישה שבועות לאחר ההדרכה. מחקר ה-JRC תיעד גם כי מודולים סטטיים אינם יעילים במיוחד בתפקידים הדורשים ריבוי משימות, שבהם האבטחה הופכת למדורית מבחינה קוגניטיבית כפונקציית תאימות ברקע ולא כדאגה תפעולית מרכזית. תנאים אלה מטפחים סביבה של ניתוק פרוצדורלי נלמד, שבה תפיסת האיום מועברת לחיצון, והאחריות לאבטחה מועברת פסיכולוגית למחלקות IT.

“דו”ח התמוטטות תרבות האבטחה המוסדית” של צ’טהאם האוס (ינואר 2025) מייחס את הנורמליזציה של שאננות האבטחה לשלוש דינמיקות ארגוניות שלובות זו בזו: טקסיות של הכשרה, היעדר נראות של השלכות, והניתוק בין סיכון לתפקיד. בגופים שבהם המודעות לאבטחה מצטמצמת לאספקת תוכן מתוזמנת – היעדר חיזוק באמצעות חשיפת השלכות או המחשת איומים בזמן אמת – משתמשים מפתחים את מה שהדו”ח מכנה “הטיה של חסינות תפעולית”, שבה הם כבר לא תופסים את עצמם כמטרות אפשריות. כשל קוגניטיבי זה מושרש במיוחד בתפקידים אדמיניסטרטיביים בדרג הביניים, שבהם החשיפה גבוהה מבחינה מבנית אך ההכשרה מתקבלת כלא רלוונטית. הדו”ח תומך בשילוב הכשרה בזרימות עבודה בזמן אמת, מינוף משוב מצבי והכנסת סימולציה יריבה מבוססת תפקידים כדי לנטרל חוסר עניין מורגלת.

“מדד שחיקת אבטחת כוח העבודה” של IISS (מהדורת 2024) מדרג עייפות הכשרה כווקטור עיקרי לסיכון לפריצות מערכתיות, במיוחד במדינות חברות עם משטרי מודעות מבוססי תאימות חובה אך לולאות משוב הערכה מוגבלות. המדד מגלה כי ארגונים המפרסים מודולי למידה מקוונת פסיביים כמנגנון חיזוק האבטחה היחיד שלהם הראו שיעור גבוה פי 3.2 של פריצות ביוזמת המשתמש מאשר אלו המיישמים מודלים של מיקרו-סימולציה רציפים. במחקר מקרה אחד מסוכנות ממשלתית מרכזית של האיחוד האירופי, למעלה מ-1,000 אנשי צוות השלימו הכשרת אבטחה שנתית עם שיעורי הסמכה של 98%. עם זאת, תוך שלושה חודשים, 37 משתמשים ביצעו אינטראקציה עם דוא”ל ידוע לאיסוף אישורים במהלך סימולציית צוות אדום, וכתוצאה מכך ניתנה גישה ברמת מנהל למערכות ניהול מסמכים. הביקורת שלאחר הפריצה קבעה שאף אחד מהמשתמשים לא זכר את אינדיקטורי הפישינג הספציפיים שהודגשו בהכשרה המוסמכת שלו.

“דו”ח הכשירות האדפטיבית באבטחת סייבר” של ENISA (ספטמבר 2024) ממליץ על מעבר ממודלים של הכשרה המתמקדת בתאימות למודלים של הכשרה המתמקדת בהתנהגות. הדו”ח מזהה תוכניות מוצלחות ככאלו המשלבות מערכות למידה אדפטיביות שמתאימות את רמת הקושי, הפורמט והתדירות של התוכן בהתבסס על ביצועי משתמשים היסטוריים ווקטורי איום ספציפיים למגזר. ארגונים שפורסים מודולים אדפטיביים בשילוב עם סימולציות פישינג במקום ראו ירידה של 72% בהתנהגות משתמשים בסיכון גבוה תוך 180 יום, בהשוואה לירידה של 14% בקבוצות ביקורת המשתמשות בפורמטים מסורתיים. ממצאים אלה מצביעים על כך שעייפות הכשרה אינה רק מגבלה אנושית אלא כשל עיצובי מערכתי שניתן לתקן באמצעות ארכיטקטורה דינמית משולבת משוב.

המרכז האירופי לפשעי סייבר (EC3), ב”תקציר ניצול שגיאות אנוש” (אוקטובר 2023), מאשר כי גורמי איום מתקדמים מבצעים פרופילים פעילים של ארגונים לאיתור פגיעויות הקשורות להדרכה, כולל הסתמכות יתר על לוחות זמנים צפויים לאספקת תוכן. מערכות ניהול תוכן מתקדמות (APTs) כמו APT28 ו-Ghostwriter שילבו לוחות שנה שנתיים של הדרכה במחזורי סיור, תוך תזמון קמפיינים של פישינג כדי למקד משתמשים במהלך תקופות דעיכה ידועות לאחר ההדרכה. במקרים רבים, יריבים זייפו במיוחד תוכן הדרכה – חיקו מערכות ניהול למידה פנימיות והטמעו קישורים זדוניים בתזכורות תאימות מזויפות – וכתוצאה מכך נפגעו נתונים שמינפו את פרוטוקול ההדרכה של הארגון עצמו כווקטור כניסה.

במקורות נתונים רגולטוריים, התנהגותיים ותפעוליים, הראיות חד משמעיות: תוכניות מודעות לאבטחה, כאשר הן מצטמצמות לחזרה תקופתית ומסירת תוכן סטטי, לא רק נכשלות בשמירה על התנהגות מגוננת, אלא תורמות באופן פעיל לסיכון לפריצות באמצעות שאננות. הכשל המבני טמון בהנחה שחשיפה שווה שמירה, וכי ציות מרמז על חוסן. עד שההכשרה תהפוך מהוראה אפיזודית להתניה התנהגותית מתמשכת – מכויל לפי תפקיד, מחוזק על ידי קרבת איום ומאומת על ידי פעולה – השכבה האנושית תישאר ניתנת לניצול לא משום שהיא לא מעודכנת, אלא משום שהיא עייפה.

סיכון פנימי וגישה רשלנית: הגורם האנושי בפעילות סייבר

על פי “סקירת סיכוני פנים תפעוליים” של הנציבות האירופית (אפריל 2024), 61% מאירועי אבטחת הסייבר המשפיעים על ישויות חיוניות במסגרת הנחיית NIS2 כללו גורמים פנימיים, בין אם באמצעות התנהגות גישה רשלנית או שימוש לא מורשה במערכת על ידי אנשי צוות מוסמכים. אירועים אלה לא יוחסו בעיקר לכוונה זדונית, אלא לסחיפה פרוצדורלית, התפשטות הרשאות ושיפוט שגוי של משתמשים, מה שהופך את סיכון פנים לסוג האיום המדווח הכי פחות אך מוטמע מבחינה מבנית בפעולות אבטחת הסייבר של האיחוד האירופי. שלא כמו פריצות היקפיות, פגיעות פנים פועלות במסגרת לגיטימציה מבוססת אישורים, ומאפשרות לפעילות איומים לחקות זרימות עבודה מורשות ולחמוק ממערכות גילוי מסורתיות מבוססות אנומליות עד שהנזק בלתי הפיך מבחינה תפעולית או כלכלית.

“מחקר האיומים הפנימיים וניצול לרעה של הרשאות” של ENISA (נובמבר 2023) מדגיש כי ההסתברות לכשלים אבטחתיים הקשורים לגורמים פנימיים עולה באופן ליניארי עם מורכבות הגישה ויורדת באופן אקספוננציאלי עם תדירות ביקורות ההרשאות. ב-420 ארגונים שנבדקו, המחקר מצא שרק 32% ביצעו ביקורות גישה רבעוניות, ורק 11% יישמו ניתוחי מתאם הרשאות בזמן אמת. בסביבות חסרות בקרות גישה מבוססות תפקידים (RBAC) עם הקצאה דינמית, משתמשים שמרו באופן שגרתי אישורים עבור מערכות שכבר אינן רלוונטיות לתפקידיהם – במיוחד במהלך העברות פנימיות, משמרות מחלקתיות או שלבי סיום פרויקטים. “סחף גישה” זה יוצר וקטורי פריצה סמויים שלעתים קרובות מנוצלים לא על ידי תוקפים חיצוניים, אלא על ידי משתמשים פנימיים הנמצאים תחת לחץ, בורות או הזדמנות.

“מדד רשלנות אבטחת הסייבר המוסדית” של תאגיד RAND (ינואר 2024) מזהה כי ב-78% מהפרצות הנתונים במגזר הציבורי שנבדקו, הפעולה היוזמת כללה חריגה מהאישורים או גישה בלתי הולמת שהייתה מורשית טכנית אך לא מוצדקת מבחינה פרוצדורלית. במחקר מקרה שכלל רשת בריאות ציבורית חוצת גבולות, טכנאי IT אזורי ניגש ללוחות מחוונים אדמיניסטרטיביים של מערכת רשומות רפואיות אלקטרוניות של אזור שכן – גישה שניתנה במקור במהלך מאמץ תיאום בין-אזורי קצר טווח בנושא COVID-19. למרות סיום הפרויקט הרשמי, האישורים מעולם לא בוטלו, והטכנאי, שלא היה מודע לרגישות המלאה של מערכי הנתונים, הוריד למעלה מ-1.2 מיליון רשומות מטופלים למכשיר אישי לצורך בדיקות ביצועים, מה שגרם לשרשרת של הפרות GDPR וכשלים בביקורת אבטחת סייבר.

“פערים בממשל באכיפת גישה מבוססת תפקידים” של ה-OECD (מאי 2024) מקשר התנהגות גישה רשלנית הן לפגמים בתכנון הממשק והן לעמימות היררכית באחריותיות. במערכות שבהן בקשות גישה מעובדות באמצעות טפסים סטטיים ללא תגי אישור מוגבלים בזמן או תפוגה אוטומטית, משתמשים נוטים לצבור הרשאות מערכת רחבות לאורך זמן, שרבות מהן אינן נראות פונקציונלית למנהלי אבטחה. מצב זה מחמיר בארכיטקטורות IT מדור קודם במגזר הציבורי, שבהן פילוח המערכת מוגבל ואיחוד הזהויות אינו שלם, מה שמאפשר לקבוצה אחת של אישורים לחצות שכבות תפעוליות מרובות. הביקורת הטכנית של ה-OECD על סוכנויות רכש במדינות החברות מצאה שב-63% מהפלטפורמות שנדגמו, משתמשים עם תפקידי פרויקט שפג תוקפם שמרו על גישה ברמת עריכה למודולים פיננסיים יותר משישה חודשים לאחר השלמת הפרויקט.

הדו”ח “התנהגות אנושית וסיכון גישה מערכתי” של צ’טהאם האוס (פברואר 2025) מדגיש כי התנהגות פנימית רשלנית נובעת לעתים קרובות לא מהתעלמות אלא מעמימות מבנית בניהול אבטחת הסייבר. בסוכנויות מבוזרות, במיוחד בבריאות ובחינוך, האחריות על אבטחת הסייבר מחולקת בין יחידות משפטיות, טכנולוגיות מידע ותפעוליות, וכתוצאה מכך פרשנות לא עקבית של פרוטוקולי גישה ודילול האחריות. הדו”ח תיעד פרצה באוניברסיטה לאומית שבה חוקר לתארים מתקדמים שמר על גישה מלאה למסד הנתונים עבור אשכול מחקר בינה מלאכותית שהוצא משימוש, אותו המשיך להשתמש לאחסון ענן אישי. הסביבה נפגעה לאחר מכן באמצעות קובץ המכיל תוכנה זדונית, אשר – עקב הרשאות מדור קודם של החוקר – גלש לרשת האקדמית הרחבה יותר, ושיבש את מערכות הרישום והתמלול לקורסים למשך שבועיים.

הערכת “פשרה באמצעות אישורים לגיטימיים” של המרכז האירופי לפשעי סייבר (EC3) (אוקטובר 2023) מספקת ראיות פורנזיות לכך שאיומים מתמשכים מתקדמים (APTs) מנצלים יותר ויותר גורמים פנימיים בעלי אישורים או משתפים פעולה עם חשבונות פנימיים שבוטלו שלא כדין. במבצע בולט אחד נגד קבלן תקשורת לוויינית של האיחוד האירופי, אישורים של מהנדס מערכות שהתפטר שימשו שלושה חודשים לאחר עזיבתו כדי לגשת למאגרי מידע טלמטריה בזמן אמת, למרות שמחלקת משאבי אנוש דיווחה על העזיבה ל-IT. חקירת EC3 מצאה כי ביטול החשבון הועבר לתור ידנית אך מעולם לא בוצע עקב כשל תקשורת בין-מחלקתי – פגם פרוצדורלי ולא פגיעות טכנית, אך בעל השלכות ישירות על הביטחון הלאומי.

“מדדי חוסר יישור אבטחת סייבר” של מרכז המחקר המשותף (מרץ 2024) ניתחו למעלה מ-5.6 מיליון יומני מערכת ממגזרי האנרגיה, הפיננסים והתחבורה של האיחוד האירופי והגיעו למסקנה שאירועי גישה אנושיים מחוץ לשעות העבודה הרגילות היוו 19% מהאנומליות שסומנו – אך 82% מהן מעולם לא נחקרו. אנומליות אלו כללו לעתים קרובות גישה של משתמשים לגיטימיים למערכות שלא הוקצו, לעתים קרובות בהנחה של צורך ארגוני או פיקוח טכני. בסביבות ללא ניטור גישה מודע להקשר – כגון ניתוח התנהגות משתמשים/ישויות (UEBA) או ארכיטקטורת רשת אפס-אמון (ZTNA) – פעולות אלו נרשמות אך אינן מסווגות, מה שמאפשר להפרות לא מכוונות להפוך לבסיס לאיום מבצעי.

הדו”ח של IISS “דינמיקה פנימית בכשל בהרתעה בסייבר” (דצמבר 2023) מדגיש כי סיכון פנימי חותר תחת אפילו עמדות ההגנה הקיברנטית הלאומיות המתקדמות ביותר כאשר אכיפה התנהגותית אינה תואמת את התחכום הטכני. הדו”ח מציין כי מספר תרגילי סייבר ברמת המדינה חשפו תלות קריטית בניהול אישורים מבוסס הנחות, כאשר משתמשים היו צפויים לדווח מרצונם על שינויי תפקידים, שימוש יתר באישורים או חפיפה במערכות – שאף אחד מהם לא נאכף באופן מבני. בתרגיל אחד המדמה מתקפה מתואמת על מערכת תיאום רכבות כלל-אירופית, נקודת הפריצה הראשונית הייתה מתאם פעולות שטח שהשתמש במכשיר אישי כדי לעדכן יומני שיגור במהלך הפסקת רשת, תוך עקיפת פילוח פנימי של הרשת בשוגג.

“מסגרת גישה מבוססת סיכונים ואיומים פנימיים” של ENISA (ספטמבר 2024) ממליצה על יישום חובה של פרוטוקולי אימות גישה רציפים, כולל דעיכת הרשאות בזמן אמת, מודלי גישה בזמן אמת (JIT) ואימות עמיתים עבור הרשאות מוגברות. תוכניות פיילוט בחמישה מפעילי תשתית דיגיטלית באיחוד האירופי המיישמות מודלים אלה השיגו הפחתה של 71% באירועי גישה לא מורשים והפחתה של 58% בזמן הגילוי של אנומליות המובלות על ידי גורמים פנימיים תוך שישה חודשים. ארכיטקטורות אלה עוברות מהקצאת גישה סטטית להקצאה תלוית הקשר, תוך הטמעת אכיפת אבטחת סייבר בתוך לוגיקה תפעולית בזמן אמת במקום סקירה אדמיניסטרטיבית תקופתית.

אימות אמפירי על פני רישומי ביקורת, ניתוח אירועים פורנזיים ונתוני סיכון התנהגותי מאשר בעקביות כי הגורם האנושי בתוך המערכת – בעלי אישורים הפועלים תחת תנאי גישה מעורפלים או מוגזמים – מהווה את קו השבר העיקרי בהגנה מודרנית על אבטחת סייבר. פרצות לא תמיד מתחילות בפשרה טכנית; הן מתאפשרות לעתים קרובות על ידי חוסר יישור בלתי נראה בין התנהגות משתמשים, ארכיטקטורת גישה ואכיפת משילות. עד שמערכות בקרת גישה יתוכננו מחדש כדי לשלב נאמנות התנהגותית, רלוונטיות זמנית ואילוצים פרוצדורליים, סיכון פנימי יישאר איום מנורמל מבחינה מבנית המוטמע בליבת הסייבר המהימנה.

מדוע חוסן סייבר נכשל ללא ערנות אנושית

“הערכת בגרות חוסן הסייבר” של ENISA (אוקטובר 2024) קובעת כי אמצעי חוסן טכניים – מערכות מיותרות, רשתות מפולחות, גיבויים אוטומטיים לגיבוי ופרוטוקולי שחזור נקודות קצה – מתפקדים באופן עקבי בצורה נחותה כאשר הם מנותקים מערנות אנושית בזמן אמת. ב-17 אירועי סייבר בקנה מידה גדול שנחקרו בין השנים 2022 ו-2024, כולל מתקפות כופר, פרצות מתואמות בשרשרת האספקה ופעולות חילוץ אישורים בחסות מדינה, 81% מכשלי הבלימה לא נובעים מחוסר בתשתית אלא מעיכובים או מחדלים בהתערבות אנושית. כמעט בכל מקרה, אינדיקטורים של התרעה מוקדמת נוצרו על ידי מערכות גילוי אך התעלמו מהם, פורשו באופן שגוי או קיבלו עדיפות נמוכה יותר על ידי משתמשים תפעוליים עקב עייפות, התרגלות או פרוטוקולי עדיפות התרעה שגויים.

על פי “סקירת תגובה משולבת לסייבר ומוכנות כוח אדם” של הנציבות האירופית (מרץ 2024), מערכות חוסן אוטומטיות מסוגלות לזהות וליזום אמצעי נגד כנגד וקטורי תקיפה ידועים, אך הן אינן יכולות לפצות על דפוסי תקיפה דינמיים הדורשים חשיבה מצבית, שיקול דעת הסלמה או זיכרון מוסדי. בפריצה מתועדת אחת של מסלקה פיננסית הפועלת בשלוש תחומי שיפוט באיחוד האירופי, זיהוי אנומליה ראשוני סימן פעילות מנהור DNS יוצאת התואמת חילוץ. עם זאת, צוות התפעול פירש את ההתראה כחיובית כוזבת עקב עדכון מערכת בו זמנית, מה שאפשר לפגיעה להימשך 37 שעות, שבמהלכן 7.3 טרה-בייט של נתונים הועברו לצמתי ענן חיצוניים. הדו”ח מסכם כי חוסן הוא חלול מבחינה פונקציונלית כאשר משתמשים אנושיים מנותקים פסיכולוגית או פרוצדורלית מניטור סייבר פעיל.

דו”ח “מערכות חוסן לעומת התנהגות אנושית” של ה-OECD (מאי 2024) מזהה אסימטריה מערכתית באופן שבו חוסן סייבר נתפס במגזר הציבורי והפרטי. בעוד שהשקעות ארגוניות בפלטפורמות גילוי ותגובה גדלו ב-38% בכלכלות ה-OECD בין השנים 2021 ל-2023, השקעות מקבילות במוכנות משתמשים רציפה, חזרה על אירועים ואבחון אנושי בלולאה עלו רק ב-9%. חוסר איזון זה מביא לארגונים המצוידים טכנולוגית אך אדישים מבחינה תפעולית כאשר נדרשת קבלת החלטות בזמן אמת. סימולציות התנהגותיות המשולבות במחקר הראו שב-64% מהפריצות המדומות, אנליסטים של אבטחה עיכבו את הבלימה עקב אי ודאות לגבי ספי הסלמה פרוצדורליים או חשש להפעלת שיבושים בשירות, גם כאשר לוחות מחוונים של התרעות הצביעו על התנהגות חריגה סטטיסטית.

הדו”ח “פיקוד אירועי סייבר ופערים בפיקוח אנושי” של תאגיד RAND (פברואר 2024) מדגיש כי סביבות תפעוליות מבוזרות – עם בעלות מאוחדת על IT ורשויות מחלקתיות מבודדות – מחריפות את הדעיכה של החוסן על ידי יצירת היגיון תגובה מקוטע. במחקר מקרה שכלל פלטפורמת שיתוף נתונים רב-סוכנותית המשמשת רשויות בריאות הציבור בשש מדינות האיחוד האירופי, זוהתה פגיעות של יום אפס בתלות בקוד פתוח על ידי מערכות ניטור פנימיות ואף סומנה על ידי אזהרות לספקים במעלה הזרם. עם זאת, התגובה התעכבה ב-42 שעות מכיוון שכל סוכנות הניחה שאחרת אחראית על תיאום תיקונים וסגר כלל-מערכתי. RAND מזהה את התפשטות ההתנהגות הזו כ”החצנת ערנות” – האמונה המוסדית שהאחריות לפעולה בסייבר נמצאת במקום אחר, ובכך מנטרלת פרוטוקולי חוסן התלויים בהתערבות אנושית מסונכרנת.

הדו”ח של ENISA בנושא “חוסן תפעולי וגורמים אנושיים בתשתיות קריטיות” (ספטמבר 2023) מציג את המושג “אזורי פגיעות סמויות” – סביבות טכניות בהן חוסן קיים מבחינה טכנית אך נעדר פונקציונלית עקב ניתוק משתמשים. אזורים אלה כוללים לעתים קרובות תורי התראות ללא השגחה, חשבונות ניהוליים בעלי עדיפות נמוכה והתקני קצה המשמשים קבלני צד שלישי. המחקר גילה כי ביותר מ-70% מהפריצות הקשורות לתשתיות קריטיות, נתיב ההתקפה ניצל ממשקי משתמש שלא עודכנו, נבדקו או נבדקו במשך יותר מ-180 יום. הגנות אוטומטיות, בעודן פרוסות, לא הצליחו לפעול עקב הסתמכות על קווי בסיס התנהגותיים מיושנים או מדיניות אמון מיושנות. ארכיטקטורת החוסן הייתה קיימת אך חסרה חיוניות עקב פיקוח אנושי חסר או פסיבי.

המרכז האירופי לפשעי סייבר (EC3), בסיכום “כשלים בתגובה להפרות שדווחו על ידי האיחוד האירופי” (נובמבר 2023), מספק אישור פורנזי לכך שהססנות המשתמשים – ובמיוחד אי-הסלמת התראות מוקדמות – היא גורם עקבי להפצת הפרות. ביותר מ-800 אירועים שנותחו, רק 26% מהמשתמשים שצפו בהתנהגות מערכת חשודה או אנומליות יזמו את הליך הדיווח הנכון תוך 30 דקות מרגע הזיהוי. הסיבות כללו חוסר סמכות נתפס, עייפות התראות או נורמליזציה של חוסר יציבות המערכת. במקרה בולט בו מעורב מפעיל רשת חכמה, טכנאים קיבלו התראות מרובות על אנומליות טלמטריה במכשירים אך נמנעו מדיווח עליהן עקב ניסיון קודם של אי-פעולה מצד צוותי אבטחת סייבר. הפרצה שנוצרה הובילה למניפולציה של אלגוריתמי איזון עומסים, וגרמה לחוסר יציבות של 17% ברשת בשלוש רשויות מקומיות.

מדד “חוסן הסייבר והמוכנות האנושית האסטרטגית” של IISS (מהדורת 2024) קובע קשר ישיר בין שיעורי ההתאוששות מאירועי סייבר לאומיים לבין פרוטוקולי ערנות אנושית ממוסדים. מדינות עם רשימות שירות סייבר רשמיות, תרגילי שולחנות חובה וסקירת התרעות מתמשכת בזמן אמת מבוססת תפקידים – כמו הולנד ואסטוניה – הציגו יעדי זמן התאוששות (RTOs) של פחות מ-48 שעות עבור אירועים גדולים, בהשוואה ל-RTOs שעולים על 96 שעות במדינות חברות שאין בהן תרגילי פרוצדורליים. הנתונים תומכים במסקנה שחוסן אינו מאפיין טכנולוגי אלא יכולת מבצעית, התלויה בגורמים אנושיים השומרים על מודעות מצבית מתמשכת, שיפוט פרשני ושטף פרוצדורלי תחת לחץ.

הדו”ח “דיסוננס קוגניטיבי בתרבות ההגנה בסייבר” (ינואר 2025) טוען שכשלים בחוסן נובעים לעתים קרובות מביטחון מופרז של מוסדי ביתירות טכנולוגית. הבטחה לא מכוילת זו מובילה לתת-השקעה במוכנות להתערבות בצד המשתמש. הדו”ח מדגיש כי בעוד שניתן לתכנן מערכות כך שייכשלו בצורה חלקה – באמצעות גיבויים מפולחים, נתיבי שחזור עם מרווחי אוויר או רישום בלתי ניתן לשינוי – הפעלת מנגנונים אלה תלויה בקבלת החלטות אנושיות בתוך 60 עד 120 הדקות הראשונות של זיהוי חדירה. בלוחות זמנים של פריצות שנחקרו במגזרי התחבורה, התקשורת והפיננסים, מערכות בעלות אותה תצורה ארכיטקטונית הציגו תוצאות שונות בתכלית המבוססות אך ורק על תזמון ואיכות המעורבות האנושית.

“מסגרת הפעלת חוסן הסייבר” של מרכז המחקר המשותף (רבעון ראשון 2024) ממליצה על שילוב של מה שהוא מכנה “טריגרים תלויי-ערנות” בארכיטקטורת החוסן. אלה כוללים פרוטוקולי אישור התראות בכפייה, ספרי הסלמה בין-צוותיים בזמן אמת, ורישום אחריות הקשור להרשאות, המתעד לא רק פעילות מערכתית אלא גם שרשראות החלטה אנושיות. יישומים פיילוטיים של מודל זה בסוכנויות טלקומוניקציה של האיחוד האירופי הביאו לשיפור של 49% במדדי זמן הבלימה ולירידה של 63% בדחיות שליליות שגויות על פני תקופה של שישה חודשים. הישגים אלה מדגישים כי חוסן הוא פונקציה סוציו-טכנית – לא רק פלט של יתירות, אלא ביטוי למוכנות הרמונית בין מערכות למפעיליהן.

עקבית בנתוני אירועים אמפיריים, תרגילי סימולציה וביקורות מדיניות היא המסקנה שחוסן סייבר נכשל לא בקוד או בחומרה, אלא בשוליים האנושיים של ערנות, שיפוט ופעולה. אף מערכת, מתקדמת מבחינה טכנית ככל שתהיה, לא יכולה לעמוד בפני ניתוק מצד המשתמשים. עד שתכנון ארגוני ימקד את הערנות האנושית כמפעיל מתמיד של תשתית הגנת הסייבר, החוסן יישאר שאפתני, ויפגע מבחינה מבנית על ידי אותם גורמים שהוא מניח שיגנו עליו.

הפחתת הסיכון האנושי בשרשרת אבטחת הסייבר

“מסגרת ההפחתה של אבטחת סייבר שממוקדת באדם” של ENISA (אוקטובר 2024) מתארת כי הפחתה מערכתית של סיכוני סייבר שמקורם בבני אדם דורשת טרנספורמציה דו-צירית: הנדסה מחדש של ארכיטקטורת האבטחה כדי לצפות את התנהגות המשתמשים, והטמעת אחריות התנהגותית בזרימות עבודה דיגיטליות. בהערכה חוצת מגזרים של 312 ישויות חיוניות וחשובות במסגרת הנחיית NIS2, מצאה ENISA כי ארגונים המשתמשים אך ורק בבקרות טכניות – כגון זיהוי נקודות קצה, חומות אש ומצערת גישה – הפחיתו את ההסתברות לפריצה ב-28% בלבד על פני תקופה של 12 חודשים. עם זאת, ישויות שהוסיפו למערכות אלו ניקוד סיכוני משתמש דינמי, מדיניות אדפטיבית וסימולציה התנהגותית רציפה השיגו הפחתה של 64%, דבר המצביע על כך שלא ניתן לתכנן הפחתה עמידה של אבטחת סייבר ללא מעורבות קוגניטיבית של גורמים אנושיים.

“תוכנית ניהול סיכוני סייבר” של הנציבות האירופית (מרץ 2024) מדגישה כי יעילות המיתון משתנה רק כאשר אינטראקציה אנושית הופכת למשתנה קלט במנגנוני גישה, התרעה והסלמה. התוכנית מחייבת שילוב של טלמטריה התנהגותית בזמן אמת – כגון ניתוח קליקים, זיהוי סטייה מהרשאות ומדידת אנטרופיה של סשנים – בשכבות החלטות אבטחה מרכזיות. בתוכניות פיילוט בחמישה משרדי איחוד אירופי, מדיניות ששינתה באופן דינמי זכויות גישה על סמך סמני עייפות משתמשים (למשל, אי סדירות בכניסה, השהיית ביצוע פקודות, החלפת טאבים חריגה) מנעה 37% מפריסות מטען פישינג שהיו מוצלחות אחרת. ארכיטקטורה זו ממסגרת מחדש את המשתמשים לא כווקטורי איום סטטיים, אלא כמשתתפים מנוטרים דינמית בתוך רשת אבטחת סייבר חיה.

“אכיפה התנהגותית כבקרת סיכוני סייבר” של תאגיד ראנד (פברואר 2024) מדגיש כי אסטרטגיות הפחתה מצליחות כאשר הן עוברות מהפצת מודעות לאכיפה התנהגותית הקשורה לתוצאות. במחקר מבוקר מקרה של 46 ארגונים במגזר הציבורי, אשר יישמו סימולציות פישינג ספציפיות לתפקידים עם מידול של תוצאות מיידיות – כגון נעילת חשבון זמנית, מפגשי סקירה חובה או התראות המופעלות על ידי ביקורת – שגיאות חוזרות של משתמשים ירדו ב-73% בשישה חודשים. ההשפעה הוגברה כאשר למשתמשים הוצגו השפעות מדורגות ברמת המערכת של פעולותיהם באמצעות הדמיות המעקב אחר פרצות בלחיצה בודדת לרצפי תנועה רוחבית ממופה וחילוץ נתונים. מודל משוב חווייתי זה הוכח כיעיל משמעותית יותר מאשר הכשרה מסורתית בלבד, תוך הפחתת עייפות המדיניות וחיזוק ההיענות להליכים באמצעות שקיפות בתוצאות.

“ניתוח מבנה התמריצים לאבטחת סייבר” של ה-OECD (מאי 2024) מזהה את חוסר ההתאמה של תמריצים אנושיים כנקודת חיכוך קריטית בהפחתת סיכוני סייבר. ב-113 מוסדות שנדגמו, פחות מ-9% שילבו תאימות לאבטחת סייבר בהערכות ביצועים אישיות, ורק 4% קישרו הקצאות תקציב או דירוגים מחלקתיים למדדי הפחתת הפרות. ארגונים שהתאימו מבנים אלה – קישור הערכות ניהוליות לזמן עד לגילוי, שיעורי מעבר בביקורת והשתתפות משתמשים בהפרות – ראו עלייה מובהקת סטטיסטית בקיום המדיניות ובדיווח מוקדם על איומים. נתונים התנהגותיים מצביעים על כך שכאשר אבטחת סייבר מסווגת מחדש כתחום ביצועים עם אחריות ברורה, משתמשים מעלים את רמת השקידה הפרוצדורלית לאותה רמת עדיפות כמו מדדי פרודוקטיביות.

“ממשל גישה להפחתת סיכונים התנהגותיים” של מרכז המחקר המשותף (אפריל 2024) מספק תמיכה אמפירית במיקרו-סגמנטציה ובמודולציה של גישה בזמן אמת ככלים להפחתת שימוש לרעה רשלני או אופורטוניסטי. מערכות המשתמשות בגישה בזמן אמת (JIT), אימות הקשרי והעלאת הרשאות המופעלת על ידי פעולה צמצמו את הפוטנציאל לפריצה רוחבית ב-59% בהשוואה לסביבות עם גישה סטטית מבוססת תפקידים. באופן מכריע, כאשר החלטות גישה שולבו עם הנחיות אישור בצד המשתמש שכללו ציוני סיכון התנהגותי בזמן אמת (“אתה מנסה פעולה בעלת הרשאה גבוהה במהלך הפעלה מסומנת: להמשיך?”), פעולות חריגות ירדו ב-44%. דחיפות חיכוך אלו פועלות כמפסקי זרם קוגניטיביים, ומשבשות זרימות עבודה רגילות מספיק זמן כדי לעורר התבוננות מצד המשתמש ולהפחתת סיכונים.

“דוח אסטרטגיית סימולציה משובצת” של ENISA (ספטמבר 2024) מתעד את היתרון של בדיקות איומים חיים ומותאמות להקשר, על פני בדיקות תאימות תקופתיות. מוסדות שהחליפו חידוני אבטחה מתוזמנים בסימולציות התקפה משובצות – המופעלות באופן אקראי לאורך זמן, מערכת ופרופיל משתמש – השיגו עלייה של 52% בשיעור התגובה הראשונה וירידה של 67% בעיכובי הסלמה לאחר אירוע. האופי המתמשך של הסימולציה יצר מצב של “ערנות אדפטיבית”, שבו משתמשים נותרו ערניים לאנומליות הקשריות ופיתחו זיהוי איומים אינטואיטיבי המעוגן בסביבת ההפעלה שלהם. מודל מוכנות מתמשך זה עומד בניגוד לזיכרון הפסיבי הצפוי מאימונים קונבנציונליים, ומיישר התנהגות הגנתית עם טקטיקות עוינות בעולם האמיתי.

הדו”ח “הטמעה פרוצדורלית של הפחתת סיכונים אנושיים” (ינואר 2025) של צ’טהאם האוס תוטמע באופן תפעולי בכל שכבה ארגונית, החל מפרוטוקולי רכש ועד לתהליכי קליטת משאבי אנוש. במחקר השוואתי של קונסורציומים רב-לאומיים ציבוריים-פרטיים, הדו”ח מצא כי הטמעת בקרות היגיינה דיגיטליות באישורי חוזים, תזמון עבודה מרחוק ובקשות למשאבי IT לא רק הפחיתה את ההסתברות לפריצה, אלא גם מיסדה את הסיכון הקיברנטי כאחריות משותפת. סוכנות אחת, על ידי חובת בדיקת אימות אבטחת סייבר עבור כל קליטת ספקים חיצוניים, חסמה קמפיין מילוי אישורים מבוסס שרשרת אספקה שהיה עוקף את בקרות ההיקף המסורתיות.

“המודלים הלאומיים לבלימת סיכונים אנושיים” של IISS (מהדורת 2024) מזהים את אסטוניה, הולנד ופינלנד כמובילות בהפחתת סיכונים מבניים, הודות לאימוץ דוקטרינות אבטחת סייבר ממוקדות אדם. מדינות אלו מחייבות תרגילי התנהגות, מפרסמות טבלאות השפעה של פריצות מגזריות המחולקות לפי תפקיד משתמש, ואוכפות הסכמי רמת שירות (SLA) של זמן תגובה עבור עובדים בחזית. פרוטוקול אבטחת הסייבר הלאומי של אסטוניה, לדוגמה, מחייב מבחינה חוקית עובדי ציבור להשלים 12 סימולציות פישינג הקשריות מדי שנה, כאשר התוצאות מוזנות ללוחות מחוונים מוסדיים אנונימיים המשמשים לתכנון משאבים. שיעור צמצום הפריצות הארצי – 36% על פני שנתיים – מיוחס לא לעליונות טכנולוגית אלא לערנות אנושית משובצת המופעלת באמצעות פיגומים פרוצדורליים.

“מדדי שיבושים תפעוליים” של המרכז האירופי לפשעי סייבר (EC3) (נובמבר 2023) מסיק כי ארגונים עם ארכיטקטורת הפחתה המתמקדת באדם סובלים מפחות זמן השבתה, עלויות התאוששות נמוכות יותר ומחזורי זיהוי פורנזיים קצרים יותר. בסקירה השוואתית של 39 אירועי כופר, אלו שכללו ארגונים עם הפחתה מובנית – קביעת בסיס של התנהגות משתמשים בזמן אמת, גישה לפעולה מקושרת להרשאות וסמכות הסלמה מבוזרת – בלמו פרצות בממוצע 61% מהר יותר בהשוואה למוסדות מקבילים המסתמכים אך ורק על פרוטוקולי בלימה אוטומטיים. התועלת התפעולית אינה רק הפחתת סיכונים, אלא הפעלת חוסן: על ידי הפיכת התנהגות אנושית מוקטור חשיפה למנגנון בקרה דינמי, ההפחתה מפסיקה להיות תיקון והופכת לחומת אש ניבויית.

הפחתת הסיכון האנושי באבטחת סייבר אינה תלויה בהכשרה מחדש של משתמשים מועדים לטעויות, אלא בתכנון מחדש של מערכות המתייחסות לשונות האנושית כפרמטר אדריכלי מרכזי. כאשר חיכוך פרוצדורלי, אימות אדפטיבי ואחריות התנהגותית שזורים במארג המבצעי, המשתמשים מפסיקים להיות נטל והופכים לחיישנים – מגיבים, מעורבים ומותאמים באופן רפלקסיבי למצב ההגנה. טרנספורמציה זו אינה קוגניטיבית בלבד אלא מערכתית, ודורשת תרגום של לוגיקת סיכונים להיגיון זרימת עבודה כך שכל פעולה, לחיצה והחלטה יפעילו לא רק ביצוע, אלא גם בדיקה משובצת של אבטחת סייבר.

---

נספח – מסמך 32022L2555

הנחיית (EU) 2022/2555 של הפרלמנט האירופי ושל המועצה מיום 14 בדצמבר 2022 בנושא אמצעים לרמה משותפת גבוהה של אבטחת סייבר ברחבי האיחוד, תיקון תקנה (EU) מס’ 910/2014 והנחיית (EU) 2018/1972, וביטול הנחיית (EU) 2016/1148 (הנחיית NIS 2) (טקסט הרלוונטי ל-EEA) – מקור: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555

---

debugliesintel.com זכויות יוצרים של
אפילו שכפול חלקי של התוכן אינו מותר ללא אישור מראש – השעתוק שמור