ADVERTISEMENT
儘管網路安全技術取得了巨大進展,但仍有一個弱點持續籠罩著所有其他因素:人為錯誤。
研究一直表明,絕大多數成功的網路攻擊都是人為錯誤造成的。一份最新報告顯示,68% 的成功網路攻擊是由人為錯誤引發的。
無論我們的技術防禦變得多麼先進,人為因素很可能仍然是網路安全鏈中最薄弱的一環。這種弱點影響著每一位使用數位設備的人,然而傳統的網路教育和意識培訓計畫,甚至新的、前瞻性的法律,都未能充分解決這個問題。
那麼,我們該如何應對以人為中心的網路安全相關挑戰呢?
了解人為錯誤
在網路安全的背景下,人為錯誤主要有兩種類型。
第一種是技能型錯誤。這些錯誤發生在人們進行日常事務時,尤其是在注意力分散的時候。
例如,你可能會忘記備份電腦中的桌面資料。你知道你應該這樣做,也知道如何做(因為你以前做過)。但是因為你想要早點回家、忘記上次備份的時間,或者有大量的電子郵件需要回覆,你沒有備份。這可能會讓你更容易受到駭客的勒索,因為在網路攻擊發生時,沒有其他方法可以找回原始資料。
第二種是知識型錯誤。這些錯誤發生在經驗不足的人因為缺乏重要的知識或沒有遵守特定的規則而犯下網路安全錯誤時。
例如,你可能會點擊一封來自未知聯絡人的電子郵件中的連結,即使你不知道會發生什麼。這可能會導致你被駭客入侵,並損失你的金錢和資料,因為連結可能包含危險的惡意軟體。
傳統方法的不足
組織和政府已投入大量資金用於網路安全教育計畫,以解決人為錯誤問題。然而,這些計劃的效果往往不佳,或是成果不穩定。
部分原因在於,許多計劃採取技術為中心、千篇一律的方式。它們通常側重於特定的技術層面,例如改進密碼衛生或實施多因素身份驗證。然而,它們並沒有解決影響人們行為的潛在心理和行為問題。
事實上,改變人類行為遠比僅僅提供資訊或強制執行某些做法要複雜得多。在網路安全的背景下尤其如此。
澳大利亞和紐西蘭的「穿、塗、戴」(Slip, Slop, Slap)防曬倡議等公共衛生運動說明了什麼方法有效。
自四十年前這項運動開始以來,這兩個國家的黑色素瘤病例顯著下降。行為改變需要不斷投入以提高認知。
同樣的原則也適用於網路安全教育。僅僅因為人們知道最佳做法,並不意味著他們會始終如一地應用它們,尤其是在面臨相互競爭的優先事項或時間壓力時。
新法律的不足
澳大利亞政府提出的網路安全法側重於幾個關鍵領域,包括:
- 打擊勒索軟體攻擊
- 加強企業與政府機構之間的資訊共享
- 加強能源、交通和通訊等關鍵基礎設施部門的資料保護
- 擴大網路事件的調查權
- 為智慧型設備引入最低安全標準。
這些措施至關重要。然而,與傳統的網路安全教育計畫一樣,它們主要解決的是網路安全的技術和程式層面。
美國正在採取不同的方法。其《聯邦網路安全研究與發展戰略計劃》將「以人為本的網路安全」列為其首要任務。
該計畫指出:
需要更加重視以人為本的網路安全方法,將人們的需求、動機、行為和能力放在決定資訊科技系統的設計、運營和安全的最前沿。
以人為本的網路安全三大原則
那麼,我們該如何充分解決網路安全中的人為錯誤問題呢?以下是基於最新研究的三項關鍵策略。
-
減少認知負擔。網路安全實踐應設計得儘可能直觀且輕鬆。培訓計劃應著重簡化複雜概念,並將安全實踐無縫融入日常工作流程。
-
培養積極的網路安全態度。教育應強調良好網路安全實踐的正面結果,而不是依賴恐懼策略。這種方法可以幫助激勵人們改善他們的網路安全行為。
-
採取長期觀點。改變態度和行為不是一次性事件,而是一個持續的過程。網路安全教育應當持續進行,並定期更新以應對不斷演變的威脅。
最終,創造一個真正安全的數位環境需要一種全面的方法。它需要結合強大的技術、完善的政策,以及最重要的是,確保人們受到良好的教育並具有安全意識。
如果我們能夠更好地理解人為錯誤背後的原因,我們就能夠設計出更有效的培訓計畫和安全實務,這些計畫和實務將與人性相輔相成,而不是背道而馳。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!