סייבר אנושי (המוכר מקצועית כ- Human Factors in Cybersecurity) הוא גישה בתחום אבטחת המידע, שמניחה כי הטכנולוגיה לבדה אינה מספיקה כדי להגן על ארגונים, וכי הגורם האנושי הוא רכיב קריטי במערך ההגנה. זהו המפגש שבין פסיכולוגיה לטכנולוגיה, ההבנה שתוקפים לא מנסים רק "לפרוץ למחשב", אלא "לפרוץ לאדם" שמפעיל אותו.
ההגנה הזו לא נבנית דרך הצהרות מדיניות או נהלים כתובים, אלא דרך החלטות יומיומיות שמתקבלות בתוך המערכת כמו, מה מותר, מה אפשרי, מה קל לביצוע ומה נעצר בדרך. חלק מהסייבר האנושי עוסק באחריות של אנשי הטכנולוגיה להתאים את הכלים למשתמשים. אם נהלי האבטחה מסובכים מדי, העובדים ימצאו דרך לעקוף אותם (למשל, כתיבת סיסמה מורכבת על פתק דביק ליד המסך). לכן, סייבר אנושי שואף ליצור אבטחה שהיא גם חזקה וגם נוחה לשימוש.
כל ממשק, כל זרימת עבודה וכל מנגנון אישור יוצרים הקשר שממנו נגזרת פעולה אנושית, לעיתים מודעת, ולעיתים אוטומטית לחלוטין. המשתמש אינו פועל בחלל ריק, הוא מגיב למה שהמערכת מאפשרת, מדגישה, או מתעלמת ממנו. העניין המרכזי בתחום ה- Human Factors אינו בשאלה האם המשתמש "פעל נכון", אלא כיצד המערכת הגדירה עבורו את גבולות הפעולה האפשריים. כאשר גבולות אלו אינם ברורים, אינם תואמים את המציאות התפעולית, או אינם משקפים את רמת הסיכון, נוצר פער. פער זה אינו אישי אלא מערכתי, והוא המקום שבו אבטחת מידע נבחנת בפועל.
רוב הפעולות שמובילות לאירועי אבטחה הן פעולות שגרתיות לחלוטין כמו, שליחת קובץ, פתיחת קישור, שיתוף מידע לצורך עבודה, הורדת קובץ או אישור בקשה. דווקא משום שהן שגרתיות, הן מתבצעות לעיתים ללא עצירה מחשבתית. בדיוק בנקודות התפר הללו נכנסת לתמונה ההנדסה החברתית (Social Engineering). תוקפים מתוחכמים אינם מחפשים בהכרח פרצות בקוד, אלא פרצות בקשב. הם מנצלים הטיות פסיכולוגיות בסיסיות כמו, סקרנות, פחד, ציות לסמכות או רצון לעזור כדי לגרום למשתמש לבצע פעולה שתעקוף את ההגנות הטכנולוגיות.
אם המערכת מציגה פעולה כסטנדרטית, אינה מספקת הקשר ברור לסיכון, ואינה יוצרת הבחנה בין פעולה רגילה לפעולה שיש בה פוטנציאל להנדסה חברתית. אין סיבה לצפות שהמשתמש יעצור מיוזמתו. הוא שבוי בקונספציה שהמערכת יצרה עבורו.
כאן נכנסת החשיבה של סייבר אנושי. לא כיצד להוסיף עוד כללים, אלא כיצד לעצב סביבה שבה הסיכון גלוי, ממוסגר ומנוהל כחלק מהזרימה התפעולית. הדרכות והגברת מודעות הן רכיב חשוב, אך הן אינן פועלות בוואקום. ידע אינו מתורגם אוטומטית לפעולה כאשר קיימים עומס, לחץ זמן, ריבוי משימות או סתירה בין הנהלים לבין המציאות בשטח. במצבים כאלה, המשתמש פועל לפי ההיגיון שמייצרת המערכת בפועל, לא לפי ההיגיון שמופיע במסמך המדיניות.
ארגונים רבים מנסים לגשר על הפער הזה באמצעות התרעות. אלא שהתרעה היא כלי גס. כאשר הכול מסומן כחריג, שום דבר אינו באמת חריג. ריבוי התראות, ניסוחים כלליים וחוסר הקשר יוצרים שחיקה בקשב ומובילים להתעלמות שיטתית. במובן זה, עודף התרעות אינו רק בעיית שימושיות, הוא בעיית אבטחה.
סייבר אנושי מציע שינוי כיוון, מעבר מהתרעה כתגובה, למנגנונים שמובנים בתוך התהליך. עצירה יזומה לפני פעולה רגישה, דרישת אישור נוסף כאשר מתקיים שילוב נסיבות בעייתי, או חסימה הקשרית כאשר פעולה חורגת מדפוס רגיל. כל אלה מפחיתים את מספר הרגעים שבהם האחריות מוטלת על שיקול דעת אנושי בלבד. לא מתוך חוסר אמון במשתמש, אלא מתוך הבנה של מגבלות הקשב והעומס המובנה בעבודה ארגונית.
היבט נוסף וחשוב בסייבר אנושי הוא האופן שבו נמדד סיכון. מדידה המתמקדת רק באירועים שכבר התרחשו מפספסת חלק גדול מהתמונה. דפוסי שימוש, ניסיונות פעולה שנעצרו, חזרות על עקיפות תהליך, או הסתמכות עקבית על קיצורי דרך, כל אלה הם סימנים מוקדמים לבעיה מערכתית. כאשר מתייחסים לנתונים הללו כמידע תפעולי ולא ככשל אישי, ניתן לשפר תהליכים, ממשקים ומנגנוני בקרה לפני שמתרחש אירוע.
במובן הרחב יותר, סייבר אנושי הוא תהליך ארגוני מתמשך. הוא מחייב שיתוף פעולה בין אבטחת מידע, יישום מערכות, ניהול ותפעול. הוא דורש בחינה מתמדת של השאלה כיצד החלטות תכנוניות, קטנות כגדולות, משפיעות על התנהגות בפועל. לא רק מה המערכת יודעת לעשות, אלא מה היא גורמת לאנשים לעשות.
אבטחת מידע אפקטיבית אינה נמדדת בכמות הנהלים, ההדרכות או הכלים, אלא במידה שבה המערכת מצליחה לתמוך בהחלטות אנושיות גם כאשר התנאים אינם אידיאליים. סייבר אנושי אינו מבקש להעביר אחריות מהאדם למערכת, אלא לחלק אותה בצורה מודעת. לראות באדם חלק מהמערכת, ובמערכת גורם פעיל בעיצוב התנהגות. שם בדיוק נמצא הערך שלו. לא כהסבר לכשלים, אלא כמסגרת שמאפשרת לתכנן אבטחה שעובדת בתוך המציאות הארגונית, ולא נגדה.