网络安全中最大的漏洞是您自己

尽管网络安全取得了巨大进步，但有一个弱点仍然掩盖了所有其他弱点：人为错误。

研究一直表明，人为错误是导致绝大多数网络攻击成功的原因。一个最新报告将这个数字定为 68%。

无论我们的技术防御变得多么先进，人为因素很可能仍然是网络安全链中最薄弱的一环。

这个弱点影响到每个使用数字设备的人，但传统的网络教育和意识计划——甚至新的前瞻性法律– 未能充分解决它。

那么，我们如何应对以人为本的网络安全相关挑战呢？

了解人为错误

在网络安全的背景下，有两种类型的人为错误。

首先是基于技能的错误。当人们做日常事情时，就会发生这种情况——尤其是当他们的注意力被转移时。

例如，您可能忘记备份计算机中的桌面数据。你知道你应该去做，也知道怎么去做（因为你以前做过）。

但是因为你需要早点回家，忘记了你上次什么时候这样做，或者有很多电子邮件要回复，所以你不需要。这可能会使您在发生网络攻击时更容易受到黑客的要求，因为没有其他方法可以检索原始数据。

第二种类型是基于知识的错误。当经验较少的人因为缺乏重要知识或不遵守特定规则而犯网络安全错误时，就会发生这种情况。

例如，即使您不知道会发生什么，您也可以点击来自未知联系人的电子邮件中的链接。这可能会导致您被黑客入侵并损失您的金钱和数据，因为该链接可能包含危险的恶意软件。

传统方法的不足

组织和政府在网络安全教育计划方面投入了大量资金，以解决人为错误。然而，这些计划已经充其量是喜忧参半的结果.

这部分是因为许多计划采用以技术为中心、一刀切的方法。它们通常侧重于特定的技术方面，例如改善密码安全机制或实施多重身份验证.

然而，它们并没有解决影响人们行为的潜在心理和行为问题。

现实情况是，改变人类行为远比简单地提供信息或强制要求某些做法要复杂得多。在网络安全的背景下尤其如此。

澳大利亚和新西兰的“Slip， Slop， Slap”防晒安全倡议等公共卫生活动说明了什么是有效的。

自四十年前这项运动开始以来，这两个国家的黑色素瘤病例已大幅下降.行为改变需要持续投资于提高意识。

同样的原则也适用于网络安全教育。仅仅因为人们了解最佳实践并不意味着他们会始终如一地应用它们——尤其是在面临相互竞争的优先事项或时间压力时。

新法律不足

澳大利亚政府提议网络安全法专注于几个关键领域，包括：

• 打击勒索软件攻击
• 加强企业和政府机构之间的信息共享
• 加强能源、运输和通信等关键基础设施领域的数据保护
• 扩大网络事件的调查权力
• 正在推出智能设备的最低安全标准.

这些措施至关重要。然而，与传统的网络安全教育计划一样，它们主要涉及网络安全的技术和程序方面。

美国正在采取不同的方法。其联邦网络安全研发战略计划将“以人为本的网络安全”作为其首要也是最重要的优先事项。

计划说

需要更加强调以人为本的网络安全方法，其中人们的需求、动机、行为和能力是决定信息技术系统的设计、操作和安全的最前沿。

以人为本的网络安全的 3 条规则

那么，我们如何才能充分解决网络安全中的人为错误问题呢？以下是基于最新研究.

1. 最大限度地减少认知负荷.网络安全实践的设计应尽可能直观和轻松。培训计划应侧重于简化复杂概念并将安全实践无缝集成到日常工作流程中。
2. 培养积极的网络安全态度.教育不应依赖恐惧策略，而应强调良好网络安全实践的积极成果。这种方法可以帮助激励人们改善他们的网络安全行为。
3. 采用长远的眼光.改度和行为不是一个单一的事件，而是一个持续的过程。网络安全教育应持续进行，并定期更新以应对不断变化的威胁。

归根结底，创建真正安全的数字环境需要一种整体方法。它需要结合强大的技术、合理的政策，最重要的是，确保人们受过良好的教育并具有安全意识。

如果我们能够更好地了解人为错误背后的原因，我们就可以设计出更有效的培训计划和安全实践，与人性相处，而不是违背人性。

钟吉 Jay Jeong， 计算机与信息系统学院高级研究员，墨尔本大学

本文转载自对话根据 Creative Commons 许可。阅读原创文章.

宝宝起名