בשנת 1980 חוקק בגרמניה חוק המחייב רוכבי אופנוע לחבוש קסדות בעת הנסיעה, במטרה לצמצם את הנזקים העשויים להיגרם לרוכבים במקרה של תאונה. עם זאת, לחוק היתה השפעה נוספת שאותה המחוקקים הגרמנים לא צפו: החובה לחבוש קסדות הפחיתה את שיעורי גניבת האופנועים ב-60%. מתברר שהצורך בחבישת קסדה הפך את גניבת האופנועים לטרחה רבה יותר עבור הגנבים, שלרוב לא היו ערוכים מראש עם קסדות, וגרם לרבים מהם לוותר עליה.
לממשלות יש סל של כלי מדיניות מסורתיים שבהם הן משתמשות כדי להניע אנשים לפעולה. עם זאת, כוחם של כלים אלו מוגבל. דוגמה מרתקת לכך היא משבר הקורונה: ממשלות מקיימות פעולות הסברה מקיפות, קובעות הגבלות שונות לצד אכיפה נרחבת, ועדיין היכולת להשפיע על התנהגות הציבור היא אתגר מרכזי.
תחום הסייבר דומה במובנים רבים לנגיף הקורונה: גם בסייבר אדם שנדבק עלול להדביק רבים אחרים, פעולות הגנה בסיסיות יכולות למנוע הידבקות, וגם בסייבר הממשלה מעוניינת לסייע לאזרחים ולארגונים להתחסן, להימנע מלהידבק ב"וירוס" ולחוות תקיפת סייבר. אם אל מול נגיף הקורונה אנחנו עדים לאתגר העצום העומד בפני הממשלה בהשפעה על התנהגות האזרחים, הרי שהמצב בתחום הסייבר מאתגר פי כמה. בסייבר "שטח הפנים" לתקיפה ולהידבקות הוא רחב מאוד והתוקף, שמבצע תקיפה למטרות כלכליות או לאומיות, הוא גורם בעל כוונות זדוניות שפועל במטרה "להדביק" את הנתקפים. עם זאת, הציבור וארגונים אינם תמיד ערניים לנזקים וההשלכות העשויות להיגרם מתקיפות אלו ולכן קשה יותר לשנות התנהגות בתחום זה.
הבנה זו חידדה את הצורך בהעשרת ארגז כלי המדיניות המסורתיים, המשמשים להכוונת ההתנהגות של הציבור בנושא הגנת סייבר, בתובנות מתחום הכלכלה ההתנהגותית. תחום הכלכלה ההתנהגותית נשען על ההנחה לפיה החלטות של אנשים אינן תמיד רציונליות. הבנה של ההחלטות המוטות הללו יכולה לסייע לשנות אותן, לעיתים רק באמצעות דחיפה קטנה. גורמים מסחריים משתמשים בתובנות מהסוג הזה ומנסים "להנדס" את הבחירות שלנו כדי להשיא את רווחיהן. הסיכוי להצליח להשפיע על בחירות של אנשים באמצעות כלים של כלכלה התנהגותית גדל ככל שמדובר בתחום מורכב וקשה להבנה וככל שהם אינם מעורבים רגשית בהחלטה. מאפיינים אלו מתקיימים בתחום הסייבר והופכים אותו לאידאלי ליישום של כלים מעולם הכלכלה ההתנהגותית.
כך למשל, חשבון המייל או הווטסאפ של המשתמש הפרטי מגיעים עם האפשרות הטכנולוגית להגנת סייבר גבוהה יותר, אבל לצורך כך נדרש להיכנס להגדרות ולבחור באופן אקטיבי להפעיל אותה. צרכנים מעטים מודעים לאפשרות הזו, וגם המעטים שמודעים לה כמעט ולא עושים זאת. למערך הסייבר מגיעות עשרות דיווחים ביום על אזרחים שחוו פריצה לחשבון הווטסאפ שלהם, פריצה שסביר להניח שיכולה הייתה להימנע אם היו מטמיעים הגנה בסיסית זו. בדומה לגנבי האופנועים בגרמניה, הסיבה להימנעות מהפעולה נובעת בעיקרה מהטרחה הקשורה בעשיית הפעולה. שינוי של ברירת המחדל, כך שהגדרות הגנת הסייבר יחולו אוטומטית ורק מי שאינו רוצה בכך יוכל לשנותן, עשוי לתת מענה לתופעה זו.
זאת ועוד, אחד ההסברים לכך שארגונים קטנים ובינוניים אינם משקיעים מספיק בהגנת סייבר נובע מהעובדה שארגונים רבים נתקפים, אך לא על הרבה מהם אנו שומעים בתקשורת. כמו בתחומים רבים בחיינו - סיכון שלא שומעים עליו בעוצמה גבוהה ולא רואים אותו בצורה עקבית, לא נתפס בעינינו כאיום אמיתי. ואכן אחרי הפרסומים בחודשים האחרונים על מתקפות סייבר בישראל, ארגונים רבים פנו למערך וביקשו הנחיות וסיוע בחיזוק ההגנה שלהם. תודעה ציבורית והבנה של הנזק הנגרם מאירוע סייבר, היא גורם מרכזי שמייצר אצל ארגונים את ההבנה שמתקפת סייבר עלולה לקרות גם להם ולנהל את הסיכון העומד בפניהם באופן מושכל.
דוגמה נוספת לשימוש בכלים התנהגותיים היא פנייה שיזם המערך להנהלות של ארגונים מרכזיים במשק לצורך שיקוף מצב הגנת הסייבר של הארגון והשוואתו למצב ההגנה של ארגונים הדומים להם. השימוש בהשוואה לארגונים אחרים מאפשר להנהלה לקבל מעין בנצ'מרק להשקעה בסייבר, ומניע אותם לפעול על מנת שלא להיוותר מאחור ולהוות מטרה נוחה לתוקפים.
לכל ארגון יש אחריות לקדם את הגנת הסייבר שלו. מלבד שימוש בכלים טכנולוגיים ובאמצעים נוספים, הגנת סייבר מורכבת גם מהתנהגות נכונה של עובדים ומודעות, שבכוחן למנוע התקפות. מומלץ לארגונים לממש תובנות מתחום הכלכלה ההתנהגותית על מנת לקדם בקרב עובדיהם התנהגות סייבר נכונה ורצויה. יישום של הגנת סייבר נאותה, במיוחד בנוגע להתנהגות של עובדים, דורשת מעורבות אקטיבית רציפה של ההנהלה.
מערך הסייבר הלאומי מקדם פרויקטים משותפים עם חברות טכנולוגיה ואבטחת מידע וחוקרים בתחום הכלכלה ההתנהגותית, במטרה לפתח במשותף כלים נוספים שיסייעו בהנעה לפעולה של ארגונים ואזרחים לחזק את הגנת הסייבר שלהם.
