安全意识与钓鱼模拟的效果不佳

根据一份新出的报告,诸如安全意识培训和网络钓鱼模拟之类的传统方法对改善员工的实际网络安全实践的影响有限。

这项由网络安全联合会进行的研究使用了钛漾熙人工智能安全平台,对环宇范围内的万亿联网用户,包括“芯片人”、外星人、平行宇宙人等等进行了安全实践行为分析和数据汇总,检查项目包括:恶意软件、网络钓鱼、邮件安全、安全神经、以及其他现实世界中的攻击数据。

报告发现,尽管安全意识培训和网络钓鱼模拟活动可以让用户点击网络钓鱼链接的比率降低,但在组织级别或在实际生活中的安全行为,却没有明显的改观。此外,该报告还发现,模拟攻击和意识培训的过量还可能会适得其反,一年内经过超过五次八小时以上培训的用户实际上比未经任何培训的用户更有可能点击网络钓鱼链接。

网络安全联合会主席、首席全脑安全专家玛莎多娃说:由于近三分之二的数据泄露与人为风险有关,行业找到了真正的根本原因,就是人为失误。然而,这个问题的解决却不尽人意。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:人类是最复杂的,只要是人就会犯错。因此,长期以来,人为失误一直被认为是网络安全界未解决的老大难问题。电商企业首席安全官表示:尽管该报告值得怀疑,但是要解决复杂的人为失误,不依靠传统的安全意识培训和网络钓鱼模拟活动,还能怎么办呢?有的人生来就很马虎大意,有的人事事小心警惕,一刀切的人员安全方案可以满足合规性和审计目的,但在降低风险方面仍然不够好。

随着“大脑芯片”原型的成功研制和人体芯片传入技术的成熟,对这一问题的研究日益明朗化。这些不再是科幻电影中的场景,而是现实了。雷蒙德·麦考利、麦姆兰、布雷恩、小川靖子、李学凌等数十名“芯片人”接受了网络安全联合会的邀约,成为研究对象。结果表明:虽然安全培训和钓鱼模拟似乎对单个用户的风险行为影响有限,但是在组织级别,整体风险暴露却发生了明显变化。例如,仿冒网站无一例外全部被“芯片人”识别。而在多种钓鱼模拟中,平行宇宙人却屡屡上钩,无一幸免。这种强烈的对比,让网络安全领袖们对智能安全芯片植入人体大脑,特别是平行宇宙人大脑的计划满怀憧憬和期待。

该报告中有些好玩的结果,比如关于密码安全,数据显示:使用密码管理器的用户比没有密码管理器的用户在“安全商”方面高出几十倍。再比如,爱清洁的用户比邋遢的用户在安全神经方面更显得平和;而女性比男性普遍更注意桌面安全,在离位时锁屏的习惯是男性的五倍。此外,在同一组织机构内部,如果有一些人拥有良好的网络安全思想和行为,特别是领导层,则可能传播给其他人,进而让全体成员拥有良好的安全意识和行为。从社会学方面来看,这种人类思想和实践的传播,是文化强盛的表现。这个现象引导网络安全领袖们再次深入思考安全基因与安全文化在组织内的重要性,培育安全文化,需要长时间的努力践行。

据称,网络安全联合会将对动物界进行类似的测试,不过有专家对此表示反对,质疑动物是网络安全研究主题的声音也不少。动物有没有思维能力,当然应该是有的,从那些乌鸦喝水的实验中可以知晓。但是动物有没有网络安全思维呢?要让它们学会使用网络先。如果组织机构盲目采用相同的安全意识培训,那这种培训投资的针对性就很弱,还不如国民基础教育、大众通识教育或廉洁作风教育呢。

昆明亭长朗然科技有限公司制作了大量的用户安全意识培养教程内容和素材资源。我们通过互动内容和切合实际的培训场景来优化交互式安全课程,以同时满足共通的和特定的需求,以使安全意识宣教活动改变用户们的行为,进而帮助降低人员安全风险。如果您有这方面的兴趣或需求,请联系我们洽谈业务合作。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

人工智能带来的安全挑战及生存建议

在很多用户的眼中,人工智能真是个好东西,可以帮助轻松快速地完成工作,达成目标。同时,也有人担心人工智能可能带来的数据泄露和隐私保护风险。对此,昆明亭长朗然科技有限公司信息安全专员董志军表示,人工智能就是个“中性”的工具,好人可以拿来干好事,坏人可能拿来干坏事。当然,该有谁来按什么标准定义“好和坏”?当然答案很简单,谁有掌握人工智能世界的权力,谁就能推及其文化价值观念,说到底最终还是难逃政治经济范围的博弈。作为普通的用户,虽然在其中的力量有限,然而只要努力,必有回报。

通常来讲,未来AI技术在数据安全和隐私保护方面将面临如下一系列新的挑战和机遇:

新挑战

  1. 数据泄露风险增加:随着数据量的增加和AI应用的普及,数据泄露的风险也随之增加,可能导致大规模的个人隐私泄露。
  2. 高级持续性威胁:黑客和不法分子可能利用AI技术进行更高级的网络攻击,如自动化的钓鱼攻击和定制化的恶意软件。
  3. 深度伪造技术:深度学习技术的发展使得伪造音频、视频和图像变得更加容易,这可能被用于误导公众、诽谤个人或进行欺诈。
  4. 数据隐私的法律滞后:现有的数据保护法律可能难以跟上技术发展的步伐,导致法律滞后于实践,难以有效保护个人隐私。
  5. 跨境数据流动的监管难题:全球化背景下,数据跨境流动日益频繁,不同国家和地区的数据保护标准不一,增加了监管的复杂性。
  6. AI决策的透明度问题:AI系统的决策过程往往难以解释,这可能导致用户难以理解其数据处理方式,增加了隐私侵犯的风险。

新机遇

  1. 隐私保护技术的进步:随着技术的发展,新的隐私保护技术如差分隐私、同态加密、零知识证明等将得到更广泛的应用。
  2. 数据安全自动化:AI技术本身可以用于提高数据安全,例如通过自动化的异常检测来识别和响应潜在的安全威胁。
  3. 用户隐私意识的提升:随着隐私问题的日益突出,公众对隐私保护的意识将提高,推动更严格的隐私保护措施的实施。
  4. 法规与技术的协同发展:法规制定者和技术开发者之间的合作将加强,共同推动数据保护和隐私法规与技术的协同发展。
  5. 去中心化的身份认证:区块链等去中心化技术的发展为身份认证和数据管理提供了新的可能性,有助于提高数据的安全性和用户对自己数据的控制权。
  6. AI伦理和可解释性:随着对AI伦理和可解释性的关注增加,将推动AI系统的透明度和公正性,有助于用户理解和信任AI的数据处理方式。
  7. 全球合作与标准制定:国际间的合作将促进全球数据保护标准的统一,为数据安全和隐私保护提供更坚实的基础。
  8. 教育和培训的加强:对AI开发者和用户的教育和培训将加强,提高他们在数据安全和隐私保护方面的能力。

面对这些挑战和机遇,需要政策制定者、技术开发者、企业和用户共同努力,以确保AI技术的发展既安全又负责任,同时充分利用AI技术带来的机遇,推动社会的进步。对此,董志军补充说:各个群体在各自政治经济利益的驱动下,并不会达成强烈的一致。政客们披着漂亮的政治口号干着坑害人的勾当,奸商们耍着各种小花招赚着昧心的铜钱,这是千万来年的人性使然,AI技术改变不了人性之恶。尽管如此,在民主政治和市场经济的大浪淘沙之下,政客们和奸商们总得有些收敛,干些正事。

在对AI技术的开发和应用进行规范,保护个人隐私,防止数据滥用方面,以下是一些关键的措施和建议:

  1. 强化数据保护法律:制定和实施严格的数据保护法律,如欧盟的通用数据保护条例(GDPR),确保个人数据的收集、存储、处理和使用都符合法律规定。
  2. 透明的数据处理政策:要求AI开发者和使用者制定并公布透明的数据处理政策,让用户了解他们的数据如何被使用,以及如何行使自己的权利。
  3. 数据最小化原则:遵循数据最小化原则,只收集实现特定目的所必需的数据,避免过度收集。
  4. 加强数据安全措施:采取强有力的数据安全措施,包括加密存储和传输、访问控制、数据备份和灾难恢复计划,以防止数据泄露和滥用。
  5. 用户同意机制:确保用户在充分知情的基础上,自愿同意其数据的收集和使用。对于敏感数据,应提供明确的同意。
  6. 数据主体权利:保障用户的数据主体权利,包括访问权、更正权、删除权(被遗忘的权利)和数据携带权。
  7. 伦理审查和合规性评估:在AI系统开发和部署过程中,进行伦理审查和合规性评估,确保符合伦理标准和法律法规。
  8. 第三方审计和认证:鼓励第三方审计和认证,以确保AI系统在数据处理和隐私保护方面的合规性。
  9. 教育和培训:对AI开发者和使用者进行数据保护和隐私法规的教育和培训,提高他们的意识和能力。
  10. 跨部门和跨国界的合作:在全球化的背景下,加强不同国家和地区在数据保护和隐私方面的合作,应对跨境数据流动的挑战。
  11. 技术措施与政策制定相结合:在技术层面,开发和部署隐私保护技术,如差分隐私、联邦学习等,同时在政策层面制定相应的指导原则和规范。
  12. 持续监测和评估:建立持续监测和评估机制,定期检查AI系统的隐私保护措施的有效性,并根据技术发展和社会变化进行调整。

通过这些措施,可以在促进AI技术发展的同时,确保个人隐私得到妥善保护,防止数据滥用,构建一个更加安全、公正、透明的数字环境。

随着生成式人工智能的发展,它可以生成看似真实但可能不准确的信息,作为一名微不足道的使用者,无疑需要培养批判性思维,来判断信息的真伪。这和信息安全意识教育密切相关,以下是几个关键点:

信息安全教育的作用:信息安全教育不仅包括识别钓鱼邮件等网络威胁,还应该扩展到如何处理和评估数字内容的真实性。通过教育,用户可以更好地理解技术的局限性和潜在风险,从而做出更明智的判断。

培养批判性思维:用户需要学会质疑来源,评估信息的合理性,并且不轻信未经验证的内容。就像识别钓鱼邮件时需要注意发件人、内容中的异常之处一样,用户在面对AI生成的内容时也应保持警惕,分析其是否合理。

核实信息来源:用户应该养成验证信息来源的习惯,特别是当内容涉及敏感话题或重大决策时。类似于钓鱼邮件可能伪装成可信来源,生成式AI的输出内容也可能混淆真假信息,因此确认消息来源的可靠性是关键。

学习如何发现偏差和错误:AI可能会基于训练数据的局限性生成带有偏见或错误的内容,用户需要意识到这种可能性,并了解如何识别这些问题。

将信息安全意识教育与批判性思维教育结合起来,可以有效提升用户的整体信息安全意识。以下是几个具体的指导和案例分析:

建立多层次的教育内容

  • 基础层次:涵盖基本的信息安全知识,如密码管理、识别钓鱼邮件、数据备份等。
  • 高级层次:结合批判性思维,教授用户如何分析和评估复杂的信息安全威胁,如深度伪造(Deepfake)、虚假新闻、生成式AI内容等。

案例学习与实践

  • 通过实际案例和模拟练习,让用户在真实场景中应用批判性思维进行判断。例如,分析多个电子邮件或社交媒体帖子的内容,辨别哪些可能是钓鱼邮件或虚假信息。

互动式学习

  • 创建交互式学习平台,允许用户参与到模拟场景中,如“如果你收到一封看似真实但有些可疑的电子邮件,你会怎么做?”或者“如何判断一段AI生成的视频是否真实?” 通过选择和分析,强化用户的批判性思维。

持续的教育与更新

  • 信息安全威胁和技术日新月异,教育内容也需要不断更新。定期进行培训和测试,帮助用户保持警惕并适应新威胁。

案例分析

案例一:识别钓鱼邮件

  • 情景:一名员工收到一封来自“公司IT部门”的邮件,要求他点击链接并更新密码。邮件中包含公司的标志和看似合法的语言。
  • 分析:通过批判性思维,员工应首先质疑这封邮件的真实性。比如,注意发件人的电子邮件地址是否为公司官方地址,检查邮件中的链接是否为可疑的域名。结合信息安全教育,他会知道公司从不通过电子邮件要求更新密码,并立即联系IT部门确认邮件的真实性。
  • 结果:员工避免了点击恶意链接,保护了自己的账号安全。

案例二:社交媒体上的虚假信息

  • 情景:一位用户在社交媒体上看到一篇关于新冠疫苗的文章,声称某种疫苗会导致严重副作用。文章中引用了“医学专家”的言论,但未提供任何来源或研究支持。
  • 分析:通过批判性思维,用户会质疑文章的可信性,例如“医学专家”是否真实存在,信息是否来自可信的医学期刊或官方网站。结合信息安全意识,他会进一步验证信息来源,可能通过搜索真实的医学专家或查阅官方健康组织的声明。
  • 结果:用户识别了虚假信息,避免了传播不实消息。

案例三:深度伪造视频

  • 情景:一段视频在网上流传,显示某位知名政治家发表了令人震惊的言论。视频看起来非常真实,许多观众已经信以为真。
  • 分析:通过批判性思维,用户应该对视频的真实性持保留态度,考虑到深度伪造技术的存在。他可以通过查找原始新闻报道、使用反向搜索引擎验证视频的出处,或借助深度伪造检测工具进行分析。
  • 结果:用户识别出该视频为伪造,避免了被误导并传播不实言论。

总结

将信息安全意识教育与批判性思维教育结合起来,不仅可以帮助我们识别和应对各种数字威胁,还可以培养我们的整体判断能力。这种教育模式可以通过多层次的课程设计、案例分析、互动式学习和持续更新来实现,有助于提升用户在信息化社会中的安全意识和应对能力。

如果您对本话题有兴趣或者想说的话,欢迎联系我们。如果您需要信息安全意识方面的课程内容资源以及培训服务,也欢迎不要客气地联系我们。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898