网路安全：人类因素的影响

主要观点

在当今数位时代，网路安全风险成为CEO们最关注的议题之一。随著风险的上升和人们的意识提高，企业对网路防护及安全措施的投资也随之增加。然而，有一个无法通过编程消除的威胁就是──人类本身。

根据Verizon的研究结果，导致数据泄露的主要因素就是人为错误，占据了所有攻击事件的82%。KnowBe4的首席宣传官PerryCarpenter指出：“所有的一切本质上都与人类有关。再好的技术也无法阻止所有的安全问题，而人类通常是技术失效的原因。”

许多组织认为员工会违反安全协议主要是出于恶意或者无知。然而，Carpenter表示，员工的违规行为大多源于人性，具体来说就是“懒惰”。他解释说：“我们的精力有限，每天都有多重任务需要处理。在做决策时，我们倾向于选择最简单的路径。”

换句话说，如果安全政策会妨碍员工高效完成工作，员工就更不容易遵循这些政策。例如，当需要报告可疑电子邮件时，组织通常要求员工遵循一些指导方针，如截图、填写相关信息和附加副本。这些步骤对于安全团队来说是有价值的，但同时也耗时，对员工来说形成了一种障碍。

随著疫情的影响和工作环境的突然转变，员工可能会感到不知所措。Indeed的安全意识计划经理Lauren Zink在接受SCMedia访问时表示，员工在家中与在办公环境中相比，也更不愿意遵循安全协议。她提到：“安全团队应与组织合作，关注员工的心理健康，识别和减少造成压力的源头。”

来自中央佛罗里达大学的一项最新研究也发现，在员工因家庭需求与工作冲突、工作安全恐惧，甚至因为网路安全政策本身而感到被监视的日子，更容易发生泄露事件。

“当我们的思维能力因压力等情感所影响时，会回到本能的、自动的行为模式，这包括不小心泄露密码或在网上活动中点击 phishing链接，”Carpenter解释道。

事实上，传统的安全意识计划往往存在这一错误假设：若员工了解相应的协议，他们自然会做出正确的选择。但人性使得许多人倾向于为了便利而规避最佳实践。

为了改变这种心态，Zink建议领导层不仅要告诉员工安全规则，还要解释这些规则对个人和公司为何重要。一旦员工理解他们在确保组织安全中的角色，他们会更有动力去遵循这些协议。

安全团队还应使用简单的语言，以便员工能轻松理解。SANS Institute的安全意识主管Lance Spitzner告诉SC Media，许多安全意识