• 提升员工安全意识是任何企业网络安全或风险管理策略最基础的组成部分,员工安全意识和行为也决定了企业安全最终能够达到的高度。

  • 意识教育(Awareness)、行为改变(Behavior) 、安全文化(Culture)建设。通过方案ABC可弥补人脑漏洞,帮助员工塑造安全意识,进而改变行为,建立企业安全文化。
  • 平台化教育方式不限时间、地点,可大规模实施并形成培训记录等特点,将成为安全意识教育未来发展的主要方向。

在今年抗击新冠疫情时冒出不少矛盾观点,有推崇通过“疫苗”来控制疫情,也有赞同“群体免疫”才是合理选择。其实看待企业网络安全上也有类似情况:技防和人防两个不同方向的选择

不少人认为,技术更新迭代跟不上黑客的攻击速度,致使企业网络被黑客攻破,才造成大量重要信息泄露事件。但根据IBM的一份报道显示,90%的网络安全事件发生的主要因素是“人”,人的安全意识薄弱才是诱发原因。

世界头号黑客凯文·米特尼克(Kevin Mitnick)也说:“最擅长发现的漏洞不是技术问题,而是人性的弱点”。在他的畅销书《欺骗的艺术:控制安全的人为因素》中,凯文·米特尼克表示人而不是技术是安全方面最薄弱环节这一观点,书中还揭示了一个事实,即使没有先进的黑客工具,利用社工也可能导致企业大规模违规和数据泄露。

1、“人类是带着石器时代的大脑进入信息社会”

人进入信息社会才只有短短的五十年时间,人的大脑处理问题的方式可能还停留在数万年前的石器时代,大脑机制的进化速度远远跟不上互联网的发展速度,生存选择积累下来的生理、思维误区在面对高速发展的信息社会弊端尽显。人脑就好比是一台超级计算机,我们知道计算机软件存在缺陷,就会导致计算机有安全漏洞,软件就好比人脑的思维误区和情绪等,而这些就是我们的“人脑漏洞”。

行为心理学研究表明,人类进化形成了大脑两种思维模式:快思维和慢思维。很多人做决策时往往不是受理性和客观分析控制(慢思维),而是由处理情感和感觉的边缘系统(快思维)来控制的。在实际工作和生活中,人的意识只能控制人的部分行为,更多的行为是不受我们的意识控制的。黑客就是通过影响 (或绕过) 员工的理性行为(“我不能点击/打开它!”)诱使用户在基于感情/情绪的状态下做出非理性行为(“我现在就点击/打开它!”)。比如在工作环境中,员工很容易不假思索地打开像 “放假通知”、“所有员工请注意:及时更新密码”、“最新财务/报销制度”、“年度体检安排”等等这样的邮件标题。

对于计算机漏洞,我们可以通过更新软件修复补丁等行为方式来进行修复,但对于人脑漏洞该怎么修复呢?

修复“人脑漏洞”的关键在于:处理问题时,让大脑处理速度慢下来,便于大脑可以理性思考问题。简单来说就是“多思考,别急于做决定!”人在遇事前能进行以下三个思考动作,实际上是能识别大多数骗术的:“Stop”、 “Think”、 “Connect”,即停下来、想一想,再决定下一步的动作,但问题在于普通人没有经过教育并不会产生这样的意识行为。

弥补人脑漏洞、降低人为因素风险的主要方法包括:帮助员工建立网络安全风险的认知(意识),面对网络安全威胁做出正确的反应(行为),建立企业的安全合规文化的方式,将谨慎的行为变为公司的“基因”。即通过方案ABC:A,意识教育 (Awareness) ;B,行为改变(Behavior) ;C,安全文化(Culture)建设。

A:安全意识(Cyber Security Awareness)

安全意识≠安全知识

安全意识是个泛词,它涉及到很多领域的安全生产,是各行业保证安全生产的前提。网络安全意识是指网络设备、系统的使用者在进行设备操作或网络活动过程中,对潜在网络安全风险的感知能力、防范意识和行为习惯。安全意识形成是个复杂过程,它是知识、技能、习惯等共同作用的结果,所以即便一个人具备安全知识,但他不一定具备规避风险的安全意识。

安全无小事,没有意识到风险,往往是最大的风险。企业需要在安全性与生产力之间找到平衡点。几乎所有出现安全问题的相关人员都认为自己具备安全常识,同时也觉得自己本意是好的 -觉得需要避开公司的安全政策才能高效完成工作,由此可见,只具备安全知识,而不能产生认识与回避风险的能力、未能良好的安全行为,也说明是安全意识不足。

B:行为改变(Behavior Change)

行为改变关注员工的正确行为,以及如何让员工产生正确行为。行为改变以行为心理学和脑科学为理论指导,意在强化人员安全行为和消除不安全行为。

不论对于组织还是个人而言,每一项行为都是有成本的。用户最在乎的是成本,当用户感觉做这件事破坏了他日常的习惯,会增加额外的成本时,就不容易促使他去做力所能及的事。而从人性方面来讲,员工会本能地抵制 “改变” 或 “变化”,因为 “改变” 本身会给人们带来一种不安全感,“改变” 就是要跳出以前的舒适圈,要与以前不安全的行为习惯做斗争。非IT安全人员参与安全的动机相对要低得多,在工作中甚至不考虑安全性,更多的是想着把自己的工作做完。

安全行为改变需要影响的是每一个人,而不是一两个人。需要使员工形成安全思维,落实到每一位员工的行为改变上,才能取得实质性进展。安全行为的转变需要借助行为学、心理学、教育学的基本原理。

C:安全文化(Cyber Security Culture)

安全文化产生于工业化生产时代,在信息时代有新的含义:

工业时代大生产背景下,设备操作不当造成的人员与经济损失,是常规安全生产文化的起源;

在互联网信息时代,生产系统只要借助信息系统开展,信息网络安全亚文化,成为未来安全生产文化的主流。

网络安全文化并不是一个很虚的概念,是企业中与安全相关的人、管理和技术的总和,需要 “All in”,全员参与,发挥 “人是网络安全的第一道防线” 的重要作用!

在顶层设计上,将网络安全融入到公司使命与愿景中,将安全基因注入现有企业文化,清楚地表明安全性是不可协商的、不可妥协的。打造企业网络安全文化需要内部各部门的积极配合,需要做大量的内部传播、营销、公共关系工作,这不是仅凭安全部门就可以实现的,创建一支多学科团队涵盖这些关键技能是必须的。创建和维护安全文化需要组织的各个层面的支持,包括最高管理层、人力资源部门、各业务部门、法务、风险合规等。塑造企业安全文化是一项长期的、持续的渐进过程,需要做一份3-5年的长期规划。打造企业网络安全文化,甚至是一个部门的安全文化,都不是件易事。目前阶段,国内企业真正关注网络安全文化还不是普遍现象。

2、理论和实际运用

方案ABC虽然可弥补人脑漏洞、帮助员工塑造安全意识,进而改变行为,建立企业安全文化,不过对企业来说更关心如何将理论知识真正运用到实际工作开展中。比如虽然有效的意识教育可以改变员工行为,进而影响企业安全文化,但实际运用到工作中会发现员工本能地排斥教育,更不愿对目前的行为作出改变。

美国佛罗里达州立大学的约翰·凯勒教授提出的ARCS学习模型清晰指出该矛盾所在:学习动机受注意力 (Attention)、相关性 (Relevance)、信心 (Confidence) 和满意度(Satisfaction) 四因素的影响,对于成人学习者而言,当员工在培训中看到学习内容与他们的工作岗位角色和个人工作目标之间的联系,就容易接受培训中的新信息

简单地说:当学习内容相关/有用时,才最具影响力;否则,就是在浪费时间和金钱。基于岗位的安全意识教育解决了 “相关性” 的问题,可以让不同角色的员工(如人力资源、财务、销售、IT等)接受专为其量身定制的意识教育。例如:对于行政人员 ,信息分类、文件保密、U盘泄密、社交媒体隐私等内容就容易引起兴趣和重视。

学习理论家John Keller的ARCS学习模型

福格行为模型

斯坦福大学教授福格通过研究发现,人们是否可以做到某项行为,是由 “动力(愿不愿意)”、“能力(能不能做到)”、与“提示(触发物)” 三个方面共同作用的结果。

希望员工产生行为改变,并告诉(提示)员工做什么,员工就会积极配合,必须同时帮助员工提升行动的动机和降低行动的难度。比如可以在办公场所张贴宣传海报方式,提示注意事项;通过攻击案例演示的方式,提升员工的改变动机;以及提供安全工具的方式,降低行动的难度等。

3、内容、工具与运营

安全培训建立在行为心理学的基础之上,再根据企业自身情况制定适合宣传安全意识的内容、工具和运营手段。据普华永道一份报告显示:员工接受过适当的安全培训/教育,网络安全事故成本可降低76%。

但并不是任何安全意识计划都能起到应有的作用,如何正确地开展意识教育是很有挑战的工作。据 Ponemon Institute 一份报告显示:在接受调查的公司中,只有50%同意他们目前的员工安全培训实际上减少了不合规行为,也许是因为很多公司 (43%) 将安全意识教育作为适用于所有员工的一种 “通用性” 培训。没有充分考虑各层级、各部门、各岗位差异的 “一刀切式” 的安全意识教育计划很难吸引员工参与进来,进而改变员工的行为。

提供合适的内容

员工在参与保护企业网络安全/数据隐私方面因工作角色不同而有所差异,不同员工拥有的系统/数据权限不一样,对其安全意识/能力要求不尽相同,相应的意识教育目标也不同,安全意识教育应当反映出这种角色差异性。针对不同层级员工,需要考虑的一些因素:

  • C级高管

面向高级管理层开展安全意识教育,主要挑战可能是时间和沟通问题。C级高管通常工作繁忙,还有大量会议安排。考虑到这一点,培训内容应尽量简短、重点突出,且需注意沟通用语,引用不同的案例。

  • IT部门

对于IT部门来说,安全意识培训应该更偏技术性,涵盖更复杂的网络安全协议、控制措施、安全技术/标准/政策/规范等,不仅要识别威胁,而且还要有处理潜在风险或安全问题的知识与能力。开发人员应提升安全开发意识,掌握安全开发的基本原则、知识和技能,从应用诞生的源头着手减少安全隐患。

  • 各级管理层

管理层在安全意识中的作用是执法者和拉拉队长。他们必须了解不同的安全方法和策略(如使用强密码)、不同的业务场景下员工应该怎么做的规范,并能确保意识计划在各个部门实施。管理层培训不仅应该涵盖一般的安全意识,还应该包括如何确保部门每个人都遵循安全要求。

  • 普通员工

对于一般工作人员来说,安全意识培训内容应该浅显易懂、生动有趣,贴近工作/生活。定期的意识教育可以使整个团队始终保持警惕,还应该确保员工掌握安全事件报告流程等。针对员工的意识计划执行周期较长,需要持续教育,以改变不安全的网络行为习惯。

选择合适的工具

安全意识教育工具主要体现为传统方式(讲师主导与宣传素材发放)与基于计算机模式(Computer Based Training,简称CBT)两种类型。Gartner将CBT定义为:通过端点计算设备(例如笔记本电脑、台式机或平板电脑)向学员/用户交付标准化的一套交互式安全教育和/或安全行为管理内容。培训内容侧重于IT的普通用户,而不是安全或IT专业人员。

Gartner 2019年《安全意识计算机培训的魔力象限》报告指出:“人比技术、政策或流程更能影响安全结果。以最终用户为中心的安全教育和培训是一个快速增长的市场,到2022年,60%的大型/企业组织将拥有全面的安全意识培训计划;意识教育市场目前保持42%的复合年增长率;主要趋势是SaaS服务、邮件钓鱼、游戏化运营”。平台化教育方式由于不限时间、地点,可大规模实施并形成培训记录等特点,将成为意识教育未来发展的主要方向。

目前国内还停留在传统线下传统的讲师和素材方式,比较易于企业接受与推广,讲师主导虽然能及时反馈学员问题并定制培训内容,但对于普通企业来说时间、场地等成本较高,培训对象水平不一、实施规模有限,并需要一定的强制、违背成年人教育理念。而素材宣导虽然成本较低、便于实施,但不能引起员工重视也不能接收员工反馈。

近几年随着国内基于CBT方式的服务厂商增加,以下几种教育方式,逐渐获得企业的认可。

  • 风险案例体验:百闻不如一见、体验改变认知。通过风险案例体验方式再现真实场景、容易引起员工共鸣,让员工记忆深刻、改变自身行为且教育效果持续时间长方式。

  • 游戏化教学:游戏化教育是企业员工培训的发展方向,将游戏化运营思想与安全教育相结合,通过短视频、互动游戏、主题课程、知识测评、线上安全周等方式开展线上教育。

  • 网络钓鱼演练:仿真攻击方法,验证员工风险识别与防范能力;当下,网络钓鱼仍是最受网络犯罪分子 “欢迎” 的攻击手段。安全意识教育对每个拥有 email 帐户和/或访问公司网络的人员都至关重要,包括从CEO到前台的每一个人;如果要想改变员工不能辨别钓鱼邮件这样的现状,最好的办法不是给他们请专家讲师面对面授课,最好的办法是让员工自身中招钓鱼邮件。

企业自身的规模、发展阶段,选择合适的安全教育工具。总的来说,企业开展安全意识教育分为三个阶段:启动阶段,主要需求为培训必须的课件内容;运营阶段:主要需求为开展多种形式的活动服务;成熟阶段:主要需求为提供可度量评价的数据指标,与绩效考核挂钩。

制定运营规划

企业需要制定持续改进的教育计划,保障安全教育工作的持续开展。习近平对2019年国家网络安全宣传周作出重要指示强调,“举办网络安全宣传周、提升全民网络安全意识和技能,是国家网络安全工作的重要内容。”《网络安全法》第六条中有提到:“采取措施提高全社会的网络安全意识和水平”,第十九条中说:“各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作”。

  1. 体验日:以案例分析、现场体验、仿真攻击、互动教学、礼品发放的方式,帮助员工感知身边的信息安全,树立自己是第一道防线的意识。改变传统的安全培训无感知、效果差的教育模式,适合分支机构、中小企业以及首次引入安全教育的机构。

  2. 安全周:借力国家倡导,利用“全民国家安全教育日;全国安全生产月;国家网络安全宣传周”等时机,开展企业全员参与的安全活动。

  3. 主题月:与时俱进,贴合员工习惯,借助移动互联网的运营方法,以直播讲座、互动游戏、短视频课程、PK赛竞答、社工库查询等内容构建体验式学习模式。

  4. 测试季:每年4-6次的定制化钓鱼测试:针对性钓鱼邮件模板定制、业务仿真钓鱼网站、嵌入式培训课程、总结分析报告,将企业员工钓鱼中招风险降低到可接受水平。

  5. 学习年:教育平台与安全设备进行数据关联,结合高风险行为有针对性的推送学习内容,建立企业自动化学习过程。

安全意识、行为改变和企业安全文化之间的关系不仅相互影响、相辅相成,员工安全意识和行为也决定了企业安全最终能够达到的高度。提升员工安全意识是任何企业网络安全或风险管理策略的重要组成部分,也是企业安全文化的最基础部分,良好的安全意识和正确的行为不仅可以弥补安全技术和产品的不足,也是构建良好企业安全文化的先决条件,这就是“教育改变认知,意识决定安全”。

关于作者

王怀宾,易念科技CEO。中国网络空间安全人才教育联盟网安意识培养工作组长。20年信息安全从业经历,2004年曾创建国内安全管理咨询公司安言咨询,引入国际安全管理体系与专业资质。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。