איזון בין עבודה וחיים פרטיים הוא נושא שמדובר הרבה מאוד בשנים האחרונות, אבל בואו נודה על האמת, לא כל העובדים בארגון מתמודדים עם אותם האתגרים ולא כולם נדרשים לאיזון הכל כך הכרחי הזה.
מי שעומדים בחזית המאתגרת והקשוחה ביותר של הארגון, לעיתים אפילו יותר מהמנכ"ל עצמו, הם מנהלי אבטחת המידע. בשנים האחרונות, ככל שמתרבות מתקפות הסייבר וככל שמתעצמות מתקפות הכופר שמאיימות לפגוע בארגון ברמות שונות (מהפצת מידע רגיש, דרך השבתה ועד אפילו מיטוט מלא שלו), שעות השינה של מנהלי אבטחת המידע והסייבר הופכות מועטות יותר ויעילות פחות.
ארז דסה פרסם ממש לאחרונה בערוץ הטלגרם שלו מחקר שפורסם בנובמבר 2022 באמצעות חברת אבטחת המידע NORTHWAVE ההולנדית. המחקר מתאר כי חוסר שינה, בעיות שינה, תחושות לחץ ולחץ עבודה גבוה הם חלק מהתסמינים איתם מתמודדים מנהלי אבטחת מידע. בעיות שינה הן בין התסמינים המדווחים השכיחים ביותר (81%). המחקר שבחן לעומק את ההשפעות של מתקפת כופר על איכות החיים של מנהלי אבטחת המידע ושאר העובדים בחברה, מחלק את ההשפעות של המתקפה לשלוש תקופות - שבוע ראשון, חודש ראשון ושנה ראשונה.
1. השבוע הראשון של מתקפת הכופר מתאפיין בתגובות של כאוס, אדרנלין גבוה, עבודה של 16 שעות ביממה, לחץ גבוה, תחושות אשמה וחוסר יכולת לסייע. התוצאה - 63% מהעובדים דיווחו על שינה גרועה, 44% דיווחו על כאב ראש, 33% דיווחו על כאבים בגב או בצוואר.
2. החודש הראשון של המתקפה ממשיך בעבודה מעבר לשעות הרגילות, עובדים מותשים, לחץ מהסביבה בחיים האישיים ומקולגות, עובדי IT נדרשים לספק מענה גם לדברים נוספים/שגרתיים שלא קשורים למתקפה. התוצאה - 75% מדווחים על מחשבות שליליות, 57% מדווחים על עייפות וחוסר אנרגיה, 22% מדווחים על עלייה משמעותית במשקל.
3. בשנה הראשונה חלק מהעובדים עדיין עסוקים בשחזור וחזרה לשגרה במקביל לפרויקטים רגילים שחוזרים למסלול, הסביבה פחות אוהדת, עובדים מרגישים שחוקים, חלקם מתפטרים. התוצאה - 18% דיווחו שהם שוקלים לעזוב את העבודה, 14% דיווחו על מצבים מורכבים כגון טראומה וסיוע מקצועי נפשי.
נראה שכל מה שנותר לקוות הוא שגם ההאקרים המבצעים את מתקפות הכופרה הללו סובלים מבעיות שינה שפוגעות בתפקודם.
מקלים ראש בבעיות חוסר שינה
לצערנו, הקהילה העסקית עדיין מקלים ראש בבעיות וחוסר שינה ולא קושרת היטב את ההשפעה הישירה שלהן על התפוקה, הבריאות ואיכות החיים של העובדים. כאמור, מורכב אפילו יותר מצבם של מנהלי אבטחת מידע שאחראים על חברות בינ"ל עם מטה וצוותים שפזורים באזורי זמן אחרים ברחבי העולם. אבל הם, כך נראה, לא מתלוננים. לפחות לא אלה ששאלתי.
דטו חסון, הוא אחד המנהלים הבכירים בתעשיית הסייבר הישראלית ומשמש כיום כסמנכ"ל אבטחת מידע וסייבר בחברת ICL. חסון מעיד על עצמו שהוא ישן 3-4 שעות בלילה ודווקא מוצא יתרונות בעובדה שהוא עובד סביב השעון בחברה בינלאומית: "זה משאיר אותי עירני, דרוך ומוכן תמיד כי הגדרת התפקיד אומרת להיות אחראי על כל מה שקורה בכל הנציגויות והפעילויות שלנו ברחבי העולם". חסון מוסיף: "אין ספק שאירועי כופרה הם כאב הראש שהכי מדיר שינה בגלל הפוטנציאל הנפיץ שלהם והמורכבות העסקית שעליה אני אחראי, אבל זה חלק ממה שהופך את המקצוע לכל כך מאתגר ומספק".
יוסי מרמרלי, BISO בחברת אורביה (שרכשה את נטפים) מסביר שכשעובדים בחברה גלובלית חייבים להיות גמישים בהתאם לצרכים המשתנים של כלל הארגון וזה אומר שישנם ימים שיהיו ארוכים יותר וימים שמתחילים בשעות שונות משעות העבודה המקובלות בישראל. "מבחינתי, דווקא כמי שמכיר בצורך לאזן קריירה עם חיים פרטיים, לשלב גם אימוני כושר, אני משתדל מאוד להקפיד על שעות השינה שלי אבל לצערי אני מודה, שגם אם השגתי 7 שעות בלילה, לא תמיד אלה 7 שעות איכותיות כי קשה לכבות את המוח לפי החלטה". מרמרלי מוסיף כי: "האתגר הכי גדול הוא דווקא בהתמודדות הניהולית שמשלבת תהליכים, אנשים וטכנולוגיה ושם הצורך לטפל במגוון רחב של אילוצים, צרכים, העדפות ובלת"מים גבוה מאוד ולא תמיד בקורלציה עם הזמינות להתמודד גם עם אירועי אבטחת מידע שאף פעם לא מגיעים בתיאום מוקדם".
לרז אוליאר, VP Cyber בחברת הפינטק Jeeves, יש צוותים ומטה שמפוזרים כולם באזורי זמן אחרים כי החברה כולה עובדת ב-Remote והוא מתאר 5-6 שעות שינה שמספקות אותו בזכות צוות איכותי שבחר ומגבה אחד את השני ומבין את האתגר הכפול. מספר אוליאר: "פגיעה בפעילות העסקית היא דבר שאנחנו לא יכולים להרשות שיקרה, ממש כמו שלא נאפשר פגיעה בלקוחות, אז כן, ישנים קצת פחות, מקפידים על מודעות גבוהה לאתגר הן בהיבט המקצועי והן בהיבט האנושי ועירניים לסיכון 7\24". אצל דורי קורן, המשמש כמנהל אבטחת מידע של מספר חברות וארגונים, האתגר מעט שונה. קורן צריך לתמרן בין מספר חברות שדורשות את המקצועיות והעירנות שלו, בטח בתקופות מורכבות. "חוסר מודעות משליך בצורה הישירה ביותר על הסיכונים שאותם אני צריך לנהל ולכן זה כאב הראש היותר קריטי עבורי מאשר אם ישנתי עוד שעה בלילה. אני מסתפק ב-6 שעות שינה ומשתדל לבצע הערכת סיכון ריאלית וכך לדרג את המעורבות שלי. דבר חשוב נוסף שאני מקפיד ומשתדל עליו הוא לפני עבודה עם חברות מענפי תעשיה שונים כדי לצמצם אפשרות של בעיה גורפת בענף מסוים". בשיחות שלי עם מנהלי אבטחת מידע לאורך השנים, כולם אחידים בהתמודדות עם מחסור בשעות שינה אבל זו גם נקודת המוצא שאיתה אנחנו ניגשים לעבודה – לדייק ולשפר כל הזמן את ההיערכות שלהם להשלכות של אותה מתקפה כך שככל שיצליחו להקדים ולזהות אותה, כך האימפקט שלה עליהן יקטן, והם יוכלו לחזור מהר יותר לשגרה במינימום פגיעה באיכות החיים שלהם.
בואו נחזור לסיום למחקר שאיתו פתחנו. האם אפשרי להאמין שיש גם דברים חיוביים בהתמודדות עם מתקפות סייבר? ובכן, כידוע אין רע בלי טוב. לאחר מתקפת כופר 44% מהעובדים דיווחו שהתקשורת הבינאישית בארגון השתפרה, היחס לצוותי ה-IT הפך להיות מפרגן יותר ופרויקטים בתחום הסייבר שהיו תקועים קיבלו תקציב ראוי. כל אלה לבדם, באופן אירוני, מבטיחים שינה רגועה יותר.
הכותבת היא יועצת מומחית בתחום Cyber Resilience ומלווה מנהלים וחברות עסקיות בהערכות והתמודדות עם סיכוני סייבר עסקיים.
