网络攻击是未来10年全球的主要威胁之一,而数据欺诈或盗窃更是成为大国领袖们的重点工作。如果您所在的组织尚未受到攻击,那么您绝对是个幸运儿。在确保系统安全方面,人类需要考虑很多事情,但是经常被忽视的一件事则是人的角度。对此,昆明亭长朗然科技有限公司网络安全研究员董志军认为:网络安全首先是一个与人密切相关的问题,人类发明了网络,人类创造和使用技术,人类编写代码和使用流程。行业统计表明大约95%的网络安全事件都是由人为因素造成的,对此,我们毫不奇怪。
不同的行业容易受到不同的攻击方法,但有一件事是肯定的,从小微企业到公共事业到行政机关,所有的组织机构都是受害者,都是网络犯罪分子攻击或利用的目标。攻击的后果可能严重到导致业务停工、重大财务损失和声誉受损。不要以为只是组织机构会成为目标,组织机构是由人员组成的,其中的所有人都可能成为网络钓鱼和其他社会工程诈骗的受害者,为什么呢?因为网络钓鱼和社会工程既便宜又容易,网络犯罪分子可以快速扭转局面并获利。每年,我们都会看到网络钓鱼的数量大幅增加,尽管相关机构释放出很多大招,打击新型电信诈骗,但是恶性的案件时不时还会引爆媒体,挑战依然严峻。我们可以从心理学、神经科学、历史学、社会学和经济学中来分析和审视数字世界所面临的安全挑战,特别是信息安全意识所面临的挑战。
从社会学的和经济学的角度讲,不法分子要活路,总有一些人会认为诈骗来钱比干正事要快捷的多。道高一尺、魔高一丈。在影视作品的美好理想中,正义往往会压倒邪恶,而在现实的残酷世界中中,邪恶往往总是会战胜正义。我们可不是鼓吹人们变坏,而是提醒人们很多人的”成功“,其实都是靠诈骗等恶行获得的,并非靠正直、勇敢、智慧和勤奋等等美德之行。
从心理学和神经科学来讲,人是我们环境中最大的攻击面。我们的员工是最大的目标,因为我们都是人,所以我们永远不会可能百分百完美无缺,但是我们可以变得更好。我们希望与员工们合作以减少攻击面。研究得知,帮助人们做事的最成功策略不是在他们犯错时责备他们、说他们懒惰或缺乏责任心。员工们通常会认为IT部门可以解决所有的网络安全问题,或者认为杀毒软件无所不能。显然,这些都是错误的看法。人是最薄弱的环节,网络攻击有多种形式,并且经常以意想不到的方式升级,有时很难或者几乎无法阻止网络攻击袭来。但是,对员工进行全面的信息安全培训可以最大程度地减少人为错误并提高安全事件响应能力。如果遭遇安全事件,就去责备、恐吓或惩罚涉事员工,那样只会让人泄气甚至心生怨气,进而逃避或放弃安全,显然这种情况并非成功领导者的行为。
社会工程师和网络钓鱼者这样的坏人非常了解心理学,部分原因是他们在工作中取得成功需要心理学。因此,要保护用户,我们需要比坏人更了解心理学和神经科学,以帮助用户保护好自己。我们说安全由三部分组成:人员、流程和技术。人员构建、配置和使用技术,人员亦编写、发布和遵循流程。在过去数十年,人类专注于技术来解决我们的现实问题,为了让数字世界变得更加美好,我们还需要鼓励人员理解和参与安全。提高意识和改变安全行为可能具有挑战性,因为受众必须参与威胁的现实,并了解识别和解决问题或疑虑的过程。然后,必须激励受众采取积极的行为、改变风险认知和根深蒂固的行为,并辅之以不过分信息量的相关安全意识主题。
我们的大脑在设计时就带有自己的偏见和盲点,我们需要使用神经科学、行为经济学和博弈论来了解人们如何做出决策,并使他们能够做出更好的决策,这就需要运用人类学习理论来帮助弥合差距,以满足认知构建需求。以意识和合规为导向的年度培训计划并不总是会导致员工们预期的安全行为。一些方法依靠唤起恐惧来改变行为,这可能源于设计不当的安全系统和政策,这些情况下,安全意识目标不可能得到明确识别和传达。在文化层面上,人们通常不会认为他们有安全问题,因此不会觉得有必要浏览内部安全指南,或者参加其他的安全意识学习活动。人人都会觉得自己掌握了宇宙中的各种真理,然而,即使有人承认在有些领域自己是个外行,甚至一无所知,他们也不愿参与主动学习。
如同其他入职培训一样,信息安全意识也必须强制进行,围绕风险进行更好的教育和培训是最佳答案。但是很多人会对安全意识培训感到沮丧,培训无疑是用户们抱怨最多的事情,因为他们觉得是在浪费时间,与此同时,安全专业人员们往往觉得意识培训不起作用,也就是说用户的不安全行为没有改观。要真正改变网络安全,我们需要养成习惯,大约50%的人类行为都是基于习惯。当使用针对业务需求量身定制的参与式创意设计流程,获得高层认同、全企业范围内的支持,以及对安全文化的意识、承诺和合作时,意识计划更有可能取得成功。应通过与业务、人员和文化相关的各种方式来传达意识,并且最好使用持续的120天的计划来加强意识。
那么,组织可以做些什么来改善安全习惯呢?在日常生活中,我们都会经历一个心理习惯循环,首先开始行为的提示,然后是行为本身,再然后是释放内啡肽的奖励,以提醒大脑再次做那个行为,从而形成一个循环。为了在行为改变上取得成功,我们需要让该行为变得简单,我们需要消除阻碍人们做出这些新行为的障碍。类似九型人格,人们亦有不同类别的网络安全习惯。在安全方面每个人都有自己的优势,我们可以从专注于我们的优势开始,让全面的安全行为变得容易。这不仅仅是克服我们自身的弱点,更可以作为一个具有互补优势的团队一起工作,以帮助成为一个安全的社区。
在组织内,意识计划应为员工使用简单一致的行为规则,以增强对控制的感知并更好地接受建议的行为。在将积极的安全行为与支持、知识和意识结合起来时,应考虑风险认知方面的文化差异。意识内容的提供应该是引人入胜的、适当的和持续的,包括一系列有针对性、可操作、可行的相关主题,并提供反馈以帮助维持人们改变行为的意愿。沟通必须通过多个渠道传递一致的信息来相互加强,以同步方式处理支持意识计划目标的文化。此外,应考虑跨性别、跨代际或跨角色的有效性,即专注于沟通如何安全地实现某事,而不是规定不应该做什么。无疑,我们需要定制安全培训,以适应用户们的生活、工作和学习方式,而不是仅仅向用户们提供视频或新闻通讯。
管理学专家建议在实施文化变革时,应采取基线措施来确定与目标受众和计划产出相关的需求和指标。然而,衡量安全意识水平较为复杂,因为问卷可以表明受众的知识水平,但是可能并不意味着改善行为的动机水平。意识评估可以使用嵌入到计划意识活动中的评估周期来进行,并根据意识主题的可衡量绩效目标在管理、受众和有效性级别进行综合考虑。
还有一个挑战是供应商的选择,在考虑安全意识培训选项时,我们应该考虑以下几点:
- 供应商是致力于将安全意识培训作为其核心重点,还是作为集成方式与各种网络安全产品捆绑在一起?
- 可提供的培训内容数量如何?每年有多少新鲜内容?对于跨国企业,还需了解国际/多语言内容的情况如何?
- 用户管理的机制如何?是手动的过程吗?用户可自助进行吗?可批量导入用户名单吗?支持与其它身份管理系统之间的集成吗?
- 包括哪些报表、报告和支持功能?客户支持是什么样的?如何了解学员的评价意见?
- 需要定制化和品牌化的培训内容吗?费用如何?哪些功能需要额外的费用?
总之,人员因素引起的安全风险在增加,员工是组织最坚强的后盾,要让员工关心网络安全,进而集体地承担组织的安全责任,需要不断提高安全意识水平。尽管面临各种挑战,但是通过努力,可以化风险为机遇。
昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。