你是否曾想过，导致企业数据泄露的幕后黑手，并非总是高超的黑客技术，而是我们自己？ 没错，根据 Verizon 的 2022 年数据泄露调查报告，高达 82% 的数据泄露事件都与人为错误有关。这可不是什么危言耸听，而是组织面临的最大安全威胁之一，却往往被我们忽视。

想象一下，你辛辛苦苦建立的防御体系，却因为一个不小心犯下的错误，瞬间被攻破。这就像一座坚固的城堡，却因为城堡里的人忘记关门，而被敌人轻易入侵。今天，我们就来深入探讨一下“人为错误”这个看似不起眼，实则影响深远的威胁，以及如何通过提升信息安全意识，筑牢企业安全防线。

一、人为错误：潜伏在企业安全中的隐形杀手

“人为错误”并非指员工故意破坏，而是指员工在工作中，由于疏忽、无知或判断失误，导致安全漏洞的发生。它就像一个潜伏在企业内部的隐形杀手，随时可能发动攻击。

人为错误主要分为两大类：

1. 基于技能的错误： 这类错误发生在员工在执行熟悉的任务时，由于注意力不集中、判断失误等原因，没有按照正确的流程操作。

   • 案例一：文件销毁的“遗漏”

     假设你是一名行政助理，负责定期清理文件柜中的过期文件。你熟悉这个流程，但那天你工作繁忙，匆匆忙忙地处理文件，结果却遗漏了一份重要的合同。这份合同原本应该被销毁，但因为你的疏忽，它仍然存在于文件柜中，甚至可能被不法分子利用。

     为什么会发生？ 这类错误往往源于员工对任务的认知不够清晰，或者在执行过程中缺乏足够的警惕性。更深层次的原因可能是工作压力过大，导致员工注意力不集中，容易犯错。

     如何避免？ 企业应该建立完善的流程和清单，并定期对员工进行培训，确保他们能够正确地执行任务。同时，可以采用自动化工具来辅助文件管理，减少人工操作的风险。

2. 基于决策的错误： 这类错误发生在员工因为不了解风险，而做出不安全的决策，导致敏感数据泄露。

   • 案例二：未加密数据库的“公开”

     你是一名数据库管理员，负责维护一个包含客户信息的数据库。为了方便开发人员访问数据，你决定将数据库配置为不加密状态。你认为这不会造成任何问题，因为只有内部员工才能访问数据库。

     然而，你没有意识到，如果数据库被黑客入侵，所有客户信息都将暴露在网络上。更糟糕的是，如果数据库被泄露到公共网络上，任何人都可以访问这些信息，造成巨大的损失。

     为什么会发生？ 这类错误往往源于员工对数据安全风险的缺乏认知，或者对安全措施的理解不够深入。更深层次的原因可能是企业在安全意识培训方面投入不足，导致员工缺乏必要的安全知识。

     如何避免？ 企业应该加强安全意识培训，让员工了解数据安全的重要性，以及如何保护敏感数据。同时，应该严格执行数据加密、访问控制等安全措施，确保数据安全。

二、人为错误的代价：远超网络攻击的巨大损失

很多人认为，数据泄露的主要威胁来自黑客攻击。然而，事实并非如此。根据 IBM 的《2021 年数据泄露成本报告》，人为错误导致的违规行为，往往比网络攻击造成的损失更大。

• 商业电子邮件妥协 (BEC) 诈骗： 每条被盗记录的成本高达 5.01 美元（约合 3.75 英镑）。
• 网络钓鱼诈骗： 每条被盗记录的成本高达 4.61 美元（约合 3.45 英镑）。

为什么人为错误造成的损失更大？

• 识别和遏制困难： 与网络攻击相比，人为错误造成的违规行为往往需要更长的时间来识别和遏制。
• 损害升级： 涉及人为错误的违规行为，往往会带来更广泛的损害，例如声誉损失、法律诉讼等。
• 难以预测： 人为错误往往是不可预测的，难以通过技术手段进行预防。

三、减少人为错误的策略：从意识提升到制度保障

面对人为错误的威胁，企业不能坐视不理。我们需要从多个方面入手，提升员工的信息安全意识，构建完善的安全保障体系。

1. 加强安全意识培训： 这是最根本的措施。培训内容应该涵盖网络钓鱼、密码安全、数据保护等多个方面，并结合实际案例进行讲解。

   • 案例： 模拟网络钓鱼攻击，让员工亲身体验攻击的危害，并学习如何识别和防范此类攻击。
   • 为什么？ 培训不是简单的知识灌输，更重要的是培养员工的安全意识，让他们在工作中能够主动识别和防范安全风险。

2. 建立完善的安全流程： 流程是安全的基础。企业应该建立完善的安全流程，并确保员工能够正确地执行这些流程。

   • 案例： 制定严格的数据访问控制策略，确保只有授权人员才能访问敏感数据。
   • 为什么？ 流程能够规范员工的行为，减少人为错误的发生。

3. 技术辅助： 利用技术手段辅助安全管理，例如：

   • 多因素身份验证 (MFA)： 即使密码泄露，攻击者也无法轻易登录。
   • 数据丢失防护 (DLP)： 防止敏感数据外泄。
   • 安全信息和事件管理 (SIEM)： 实时监控安全事件，及时发现和处理安全风险。
   • 远程员工网络安全员工意识电子学习课程： 针对远程工作场景，提供定制化的安全培训。

4. 营造安全文化： 安全不是一个人的责任，而是整个企业的责任。企业应该营造积极的安全文化，鼓励员工主动报告安全问题。

   • 案例： 设立安全奖励机制，鼓励员工发现安全漏洞并及时报告。
   • 为什么？ 营造安全文化能够让员工意识到安全的重要性，并积极参与到安全管理中来。

四、远程工作带来的新挑战与应对

疫情加速了远程工作的普及，但也带来了新的安全挑战。远程工作环境更加分散，员工更容易受到网络钓鱼攻击，也更容易在不安全的网络环境下访问敏感数据。

• 案例： 员工使用公共 Wi-Fi 网络访问公司数据，导致数据泄露。
• 为什么？ 公共 Wi-Fi 网络通常缺乏安全保护，容易被黑客攻击。
• 如何避免？ 建议员工使用 VPN 连接公司网络，并避免在公共 Wi-Fi 网络上访问敏感数据。

总结：

人为错误是企业安全面临的重大威胁，但它并非不可避免。通过加强安全意识培训、建立完善的安全流程、利用技术辅助、营造安全文化，我们可以有效减少人为错误的发生，筑牢企业安全防线。记住，安全不是一蹴而就的，而是一个持续改进的过程。

昆明亭长朗然科技有限公司提供定制化的安全事件响应培训，帮助企业在面临数据泄露或其他安全威胁时迅速反应。通过我们的培训计划，员工将能够更好地识别和处理紧急情况。有需要的客户可以联系我们进行详细了解。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

众所周知，人为错误是目前网络攻击的最大原因。当组织面临网络威胁时，如果员工从未接受过适当的培训以了解如何处理威胁，就不能责怪他们。这也就意味着，在与科技技术交互时，人类很容易出错，在网络安全方面，仅仅一次错误的点击都有可能是有害甚至致命的。对此，昆明亭长朗然科技有限公司网络安全研究员董志军补充说：有调查显示十分之九的网络事故是人为错误的结果，组织机构的第一道网络防线是受过适当教育的工作人员，我们也可以将其视为人类防火墙。通常情况下，成功的网络入侵或钓鱼攻击是组织没有对其员工进行适当安全意识培训的结果，仅此一点，组织机构就应该为员工提供更多的网络安全意识认知及最佳实践方面的培训。

当然，确保安全防范技术保障措施到位仍然很重要。但是也需认识的技术的局限，环顾当前大部分的入侵行为，威胁者利用的更多是人性的弱点，并非系统的漏洞。正常来讲，兵来将挡，水来土掩，有漏洞（弱点）修复即可。麻烦的是人性的弱点可不是简单地安装修复程序就可以的，想要克服人性的弱点，要困难的多。更为麻烦的是，许多职场员工并没有意识到他们有多么脆弱，也没有意识到他们可以产生多大的影响，无论是消极的还是积极的。没有多少职场人士会觉得自己在网络安全方面很笨，或者至少需要加强学习来填补知识空缺或人类本性方面的弱点。

尽管客观问题和困难是存在的，我们仍然可以做一些事情，以确保员工们能够跟上网络安全的步伐。虽然在传统上，网络安全看起来像是一个特定于IT的问题，不过其越来越像技术、人员和管理的问题，这就使其不再局限于特定的IT技术，更应该是整个组织安全文化的优先事项。谈到网络安全，经历过几十年的IT基础建设及应用开发的热潮之后，最薄弱的环节已经不再是软件或硬件，不再是技术和流程，而是数据和人员。研究表明，通过为员工提供正确的网络意识培训，可以显着减少数据泄露等安全威胁。然而，现实情况是，大多数组织机构，包括机关单位和公司企业，并不具备设置和执行全面培训的专业知识。他们错误地以为，网上找一些网络安全PPT素材，PS一些图片配上文字形成海报及壁纸，或者使用一些公开的网络安全宣传视频，就可以搞得有声有色。的确，有声有色并不难，难的是有效，难的是证明有效。

可以通过运行网络钓鱼模拟来测试员工对网络钓鱼邮件的辨识能力，以确定薄弱环节所在。员工们能够发现网络钓鱼邮件吗？模拟钓鱼能够给出答案，据调查，最终用户打开网络钓鱼邮件的比例高达30%，因此最终用户通常是诈骗行为者最容易成功利用的薄弱。最好的证明方式当然还需要对比，在最近的一项研究中，那些只运行网络钓鱼模拟（没有伴随安全培训）的组织中，用户点击恶意网站的平均率为36%，然而，在那些将安全培训与网络钓鱼模拟相结合的组织中，点击率下降到13%，这还不到前者的一半。此外，在进行了持续的安全意识培训的组织中，被发现的网络钓鱼模拟链接的点击率降低至2%。

组织要知道，并非所有员工都是一样的，对网络安全的基本理解可能会有所不同。尽管网络安全知识并非一刀切，但是可以根据部门量身定制培训，使其更具相关性和成功性。如果组织决定运行网络钓鱼模拟，显示测试的统计结果可能是吸引员工并让他们意识到风险的一个好方法。人们在摔倒过之后，才会知道走路是要小心。通过模拟的网络钓鱼，也可以让员工们获得类似的教训，以便他们在面临真实的网络钓鱼时，知道要注意些什么。

通常，从技术上来讲，成功的网络入侵行为源自于某位员工的账号被盗。然而，网络犯罪分子可以通过多种方式使用网络钓鱼，进而盗取人员的账号和权限，更不幸的是，这些攻击不断发展，变得更加复杂且更难以检测。仅此一点，了解威胁的趋势和演变，非常重要。因此请记住，安全意识培训是一个持续的过程。毕竟，培训和教育需要随着时间的推移保持一致才能改变行为。如同每个月都有软件的更新一样，也需持续不断地对员工们进行适当的安全意识培训和更新，来抵御大多数新型威胁和花样变换不同的攻击方式。网络攻击花费了威胁者们很多钱，防范网络威胁，也占用了大量的IT资源，不仅用来解决问题，也包括重建和恢复系统的开支。在这些花费里面，最经济有效的，最划算的，可能就是安全意识培训，因为其修复的是人为错误方面的漏洞，而当今员工和组织面临的最大网络安全威胁之一就是利用人为错误的网络钓鱼。

安全威胁态势不断深化，网络治理法规不断出台，合规遵从性成为各类型组织机构的重要工作。即使依据法规要求，制定了最好的安全政策和操作流程，如果没有员工们的理解和认可，也可能很难让其遵守。如果能衡量员工们对网络安全措施的了解程度，就可以奖励那些遵循最佳实践的人员，奖励的结果可能会刺激其他员工也这样做。通过奖励负责任的网络安全行为，可以帮助塑造企业安全文化，安全应该是企业文化的一部分，因此需要时间，并且应该经常重复安全培训和奖励。衡量的方法，可以包括模拟钓鱼结果、安全巡查以及安全测试，通常来讲，在线培训模块包括考试评估功能，以测试员工的现有知识，并确保培训针对他们的特定知识差距进行量身定制。

如果组织决定实施员工安全意识培训计划，那么确保随着时间的推移，能够有效减少用户的人为错误。前期可以考虑一个高风险环境，如在研发部门、工厂或仓库，定期进行安全意识培训活动。同样，网络安全培训应该持续进行，特别是因为各种类型的攻击在不断发展。在形式和内容方面，也需要创新，量身定制是比较高级的方案，可以结合视频和互动材料，以及进修模块，帮助员工们将网络安全放在重要地位。每个模块都以测试结束，只有在评估成功后才能通过课程的学习，最终获得课程学习证书。学习证书是一种知识认可和精神奖励，有利于刺激员工们的安全行为和实践。

网络钓鱼威胁越来越严重，说“安全始于意识”一点都不夸张。通过修复人为错误来应对网络威胁，防范安全事件，已经是当下各类型组织非常紧迫的任务。使用昆明亭长朗然科技有限公司的在线安全意识培训平台，组织机构可以快速发起在线安全意识培训计划，学员们可以随时随地通过电脑、手机、平板等访问在线培训模块，涵盖的安全意识主题包括网络钓鱼、社会工程学、密码安全、计算设备保护、在外工作与远程工作、数据保护和社交媒体使用等等。欢迎有兴趣的客户及行业合作伙伴联系我们，体验我们的平台以及洽谈采购合作。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com