我们生活在一个日益数字化的世界,从数字经济到数据要素、从区块链到人工智能、从5G到虚拟现实,各种数字化理念及技术持续发展演进,令人应接不暇,技术深刻改变和影响着我们的生活方式、社会结构和商业模式。同时,伴随着新兴技术而生的是,网络犯罪分子的攻击手段也在与时俱进着。当一切都将会构建在数字技术之上时,“安全”变得格外重要。可以说,安全是数字世界的“底座”。缺少网络安全,谈何信息化、现代化与数字化?
曾有国内外学者将数字化时代的人群划分为“数字原住民(Digital Native)”、“数字移民(Digital Immigrant)”、“数字窥视者(Digital Voyeur)”、“数字难民(Digital Refugee)”四个阶层。不同的数字人群,其数字素养基础与网络安全意识水平不同,在应对数字与网络威胁时的反应也不同。如果安全意识薄弱,其安全行为/行动就跟不上;而行为/行动跟不上,就将得不到安全的结果或将遭遇不安全的恶果。数字化时代,一次因“人为错误”导致的网络攻击和数据泄露,足以让一家公司的合规底线、业务运营与品牌声誉“元气大伤”。而一次因安全意识薄弱导致的账号密码泄露,足以让个人财务损失惨重,甚至遭受身心双重伤害。可以说,个人和企业怎么强调网络安全意识的重要性都不过分!
概括起来,企业开展员工安全意识教育(Awareness)、风险行为改变计划(Behavior)及企业网络安全文化建设(Culture)的重要性和必要性,不外乎以下十组关键词:
1.合规要求:法律法规遵从性与监管要求
近年来,全球在网络安全、数据安全、数据隐私、个人信息保护、及关键信息基础设施安全等方面紧锣密鼓地出台了一系列法律法规,或颁布了相关标准、指南,一些重点行业(如金融、能源、汽车、医疗等)受到更为严格的监管要求。不难发现,国内外相关法律法规、标准指南对安全技术、人员、流程保障措施均制定了方向性条款或提出了明确要求,也包含网络安全意识培训和/或网络安全文化建设(据不完全统计,全球共有40-50部相关法律法规及标准涉及安全意识与文化相关要求)。若企业一味地业务向前跑,而忽视或轻视这些安全合规要求,可能面临巨额罚款和遭受业务损失。通过每年持续投资安全意识培训,公司不仅履行了这些合规义务,对员工安全意识提升与风险行为转变带来积极影响,同时,也向监管机构、合作伙伴、客户及用户展现了安全承诺与保障。
2.人的因素:数据泄露的主要原因
据Verizon 2023年《数据泄露调查报告》中相关数据显示,“人的因素”依然是导致企业数据泄露的最主要原因,占74%(最近三年,同比下降了11个百分点)。无论是点击网络钓鱼链接,使用弱密码/口令,还是处理敏感数据不当或配置错误,员工有意或无意的“人为错误”都有可能为网络攻击方大开方便之门。通过安全意识教育,每一位员工都有可能从黑客眼中“最薄弱”的环节转变为“最牢固”的防线(最难啃的一块骨头),从而不给外部黑客攻击与内部人员威胁可乘之机。
3.人性弱点:社会工程学攻击无孔不入
网络犯罪分子往往对于新技术的嗅觉是敏锐的,行动力是坚决的。在人工智能与AIGC加持下,黑客发起社会工程学攻击和网络钓鱼攻击(通过邮件、短信、语音、视频、USB、Wi-Fi、社交媒体等渠道),利用“人的漏洞”突破人的防线,其成功率越来越高。而接受过充分的安全意识教育以及反社工、反钓鱼刻意练习的员工,则可以果断、自信地精准识别和上报社工与钓鱼风险,与安全团队形成“联防联控”的统一战线。
4.数据“石油”:数据安全与每个人和企业息息相关
数字经济时代,数据就是财富。数据既是基础性战略资源,又是关键性的生产要素。然而,近些年,国内数据泄露事件仍呈快速增长态势,造成的危害和影响也越来越严重。数据泄露不仅可能造成个人或企业财务损失,如果涉及重要行业的重要数据,还会危及国家安全。企业员工在日常工作中或多或少都会接触到不同类别和密级的数据,如何在数据处理活动的全生命周期确保数据不泄露至关重要。通过强化数据安全意识培训,可以使员工掌握企业内部的数据分类分级标准、数据处理活动每个环节的安全注意事项,敏感信息保护最佳实践以及与数据泄露的相关风险和法律后果。
5.隐私至上:数据隐私保护刻不容缓
在大数据驱动的时代,数据隐私已成为广大用户的一个重要关切。而利用大数据技术和确保数据隐私之间的矛盾是普遍存在的,与传统的隐私保护相比,数据隐私注重隐私保密性与数据可用性之间的动态平衡。数据隐私保护不仅涉及技术、规则,也涉及人的因素,尤其是保护员工、客户和合作伙伴的个人信息隐私权,是每一名员工应尽的职责和义务。在日常工作中,员工需要按“最小必要原则”妥善收集、使用和保留工作目的所需的隐私数据,且员工有责任保护这些数据免遭盗窃、丢失、滥用和未经授权的披露等风险。
6.威胁态势:攻防双方博弈不断演变
全球网络安全态势依然不容乐观,据世界经济论坛最新发布的《2024 全球风险报告》,AI加持的错误信息与虚假信息是第二大短期风险,网络攻击排在第五位。另据Cybersecurity Ventures早前预测,到2025年,网络犯罪给全球造成的经济损失将达10.5万亿美金。在强大的经济利益驱使下,网络犯罪分子发起网络攻势的脚步不可能停歇下来。企业遭受网络攻击不是会不会发生的问题,而是何时发生、以多大代价发生的问题。另外,伴随新技术新应用的是网络安全威胁日益增多,攻击战术日益复杂化且多样化。随着新兴的攻击方式不断演进,AI攻防对抗愈演愈烈,此消彼长的“军备竞赛”将长期进行下去。持续的安全意识教育将确保员工及时了解最新的威胁趋势、攻击手法及应对方式,这种与时俱进性对于不断强化“人防防线”至关重要。
7. 内部威胁:一颗随时会爆发的“定时炸弹”
其实,很多员工没有意识到:并非所有的网络安全威胁都来自于企业外部。内部人员威胁,无论是正式员工还是外包人员,无论是恶意的还是无意的(更多的是疏忽大意、人为错误及安全意识薄弱),可能造成的破坏性结果都是一样的。通过开展安全意识宣贯与警示教育,强化红线意识与底线思维,员工将更加理解遵守公司内部既定安全制度/规范/流程/指南的重要性,以及违反这些制度的潜在严重后果,最大限度地减少对企业敏感数据的非授权访问和权限滥用。
8.安全文化:是一件既重要又紧急的事儿
当预算、策略、工具运用得当时,从员工安全意识、员工安全行为到企业安全文化,是一个螺旋上升的正循环。随着员工安全意识水平越来越高,越是了解自己在网络安全中的角色,越是有能力去识别、预防和响应风险,就越有可能承担安全责任,遵守法律法规和内部安全制度,降低不良风险行为和数据泄露的可能性,积极报告可疑的安全威胁。而新老员工在良好的网络安全文化的持续熏陶和影响下,会将安全意识水平和安全行为习惯带入下一个新高度。事实上,绝大多数网络安全与数据泄露事件的背后涉及人的因素,而人的背后是文化。如果企业未能将网络安全文化建设尽早提上日程,“人的因素”将永远是一个吞噬所有安全努力的黑洞。
9.网络弹性:事件响应及恢复能力
随着技术性攻击手段的不断演进,以及非技术性社工手法的变化多端,对企业安全防护体系的有效性提出了更高要求。当有朝一日,网络安全或数据泄露事件不可避免地发生时,响应时间至关重要。当一封以员工为目标的钓鱼邮件成功到达员工收件箱,这意味着传统的安全邮件网关、垃圾邮件过滤器等技术措施已失效。接受过系统性安全意识教育的员工,这时可以发挥重要作用,成为第一时间的“风险吹哨人”,能够迅速地识别攻击迹象,并采取正确的响应步骤,及时向安全团队提供线索。安全团队第一时间行动起来可以显著减少损失,降低不良影响,加快业务恢复进程。
10.长期收益:客户信心、忠诚度与降本增效
现在的客户/用户越来越关注为其提供服务的公司是如何保护他们的数据免遭泄露之险的。具有良好的网络安全文化的企业,可以利用这一点作为核心竞争优势,赢得现有和潜在客户的好感、信任和忠诚度。
虽然投资于安全意识教育及网络安全文化建设需要一定前期成本,但预防网络攻击和数据泄露的经济效益是可观的、可测量的。考虑到潜在的巨额罚款、品牌声誉和业务损失,单次数据泄露的成本可能远远超过培训员工的成本费用。每一名员工都成为安全团队的“得力助手”,可以成规模化地增强企业安全整体防御能力,也可以间接地降低在安全技术与流程上的成本。
结束语
细心的朋友不难发现,Gartner近些年发布的安全趋势报告中越来越关注“人的因素”、“以人为中心”及“网络安全文化”。随着企业安全成熟度的提升,企业将安全投资向“以人为中心”偏移是一种必然趋势。从降低人为错误风险,到满足法律合规要求到提升网络安全弹性,其带来的好处是不言而喻的。
安全意识教育是一个持续的过程,是企业网络安全战略不可或缺的组成部分,其目的是使员工能够积极预防、识别和响应网络威胁。企业开展安全意识教育想要拿到预期结果,需要得到管理层的合理预算支持,找到合适的安全意识与文化负责人,学到适合的人为因素风险管理方法论作为先决条件。另外,值得注意的是,安全意识教育是一项集知识管理、人为因素风险管理、成人教育、心理学与行为学应用、市场营销及组织变革等为一体的系统性工程,远比我们想象的更为复杂,但请相信:行动起来,宜早不宜晚。路虽远,行则将至;事虽难,做则必成!
注:以上所有图片均来源网络,版权归原作者所有。
关于作者:
HardyXie:一名终身网络安全意识与文化“布道者”|“实践者”|“讲师”
超安全文化研究院院长,人为因素安全风险管理专家,世界500强前30企业原集团安全意识与文化负责人。作者个人微信,可查看以往历史文章添加,欢迎多交流!
声明:本文来自超安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
