哪种员工最容易让公司遭网络攻击？

来源：《家族企业》杂志

作者： Kon Leong

当诗人亚历山大·波普（Alexander Pope）第一次说出“人人皆会犯错”（to err is human）的时候，他可能并不了解，这些文字若用来描述网络安全的世界，会是多么具有先见之明。没错，大多数网络安全漏洞的起因，都可以追溯到人们采取的行动，或是人们没有采取行动。但更严重的错误，是相信只要改正不良的行为，企业就可以维持网络安全。

目前，网络安全已经大幅超越了“外部威胁”这个传统范围；而传统范围的典型例子，就是外部骇客攻击网络安全漏洞。网络安全的范围现在也包括内部威胁，这类威胁更复杂得多，也更难管理。近年来有一些非常严重的内部缺失，比方说与爱德华·斯诺登（Edward Snowden）和切尔西．曼宁（Chelsea Manning）的网络安全事件都证明了这一点（斯诺登是美国国家安全局外包技术员，将该局秘密文件泄露给新闻媒体而遭到美国和英国通缉；曼宁是美国士兵，因将美国政府机密文件泄漏给维基解密而遭逮捕判刑）。

最近的研究显示，内部人员威胁的性质可以区分为恶意、偶然或疏忽，这些情况占所有资料外泄的39％。

员工行为在组织的网络安全上扮演着日益重要的角色，因此本文整理了一些有关网络安全人性面的一般洞见，可以协助你的公司打造正确的方法：

重新思考员工训练

对于外部威胁，企业通常有一些常见的安全防护措施，可以对抗病毒、恶意软件（malware）、网络钓鱼（phishing）和网络攻击。但因为错误或掉以轻心的人为行为，而使得许多防护措施遭到破坏，因此员工训练变得更加重要。在这方面的一个常见做法是举行全公司训练，让所有员工了解如何处理最新的安全威胁。可惜，这些安全指引通常都被简略带过、忽略或完全忽视。此外，有关网络安全的标准备忘录，通常都无法详细呈现变化更大的安全威胁（通常都是内部威胁）所呈现的细微差异。例如：

● 员工要如何区分没有欺诈意图、真正的电子邮件对话，以及网络钓鱼诱饵？

● 员工什么时候该报告同事的可疑活动？

● 哪些类型的资讯可以或不可以跟哪些人分享？

若要对员工行为持续产生有意义的影响，组织其实应该考虑采用频繁和互动式的训练课程。波耐蒙研究所（Ponemon Institute）最近的研究指出，若要降低资料外泄事件的平均个人成本，员工训练是并列为第三有效的方法，仅次于广泛使用加密技术和成立事件反应小组。

脸书定期举行的“夺旗”竞赛（Capture the Flag, CTF）是以电脑为基础的比赛，让员工练习保护机器的安全，抵御模拟的网络安全攻击，为安全教育创造有趣、竞争的氛围。

对于较为抗拒的使用者，你可以采用各种不同的创意训练技巧，包括员工互动、反馈意见和讨论。以“游戏化”（gamification）方法为例：你可以运用发现可疑活动的游戏，来搭配网络安全的简报，促使员工培养回应技能。此外，让员工参与实际操作的训练，也可以提高员工接受度和责任感。

请注意，所有的网络安全训练，都需要训练、再训练和重复再训练。许多时候，组织只办了一场研讨会，期望这样就够了。任何组织都会有新员工不断加入，再加上安全威胁持续变化，因此企业应该严格要求定期举行训练。

辨识高风险使用者并加以干预

基本的人类行为很难重新改变。因此，应该以不断更新的技术来强化训练，目前已经发展出可以侦测到错误行为的技术。技术的进展，才刚开始解决在安全和治理上似乎难以解决的议题，而预测分析法和人工智能等这类新能力，可望在监控和影响人类行为方面做得更好。运用现代新的分析技术，组织便能够分析档案以寻找敏感的内容、检视使用者的行动，并追踪整个企业的数据流动。

如此一来，网络安全的利害相关人，目前就可以辨识出疏忽或恶意活动的许多常见指标，包括：

● 取得、移动或删除大量敏感内容；

● 不恰当地创造、储存或发送敏感内容；

● 讯息当中有对组织极端负面的情绪。

接下来，组织当然会采用过去证实有效的模拟方法，例如发送模拟网络钓鱼的电子邮件，然后看看有谁会点阅。辨识出高风险行为的迹象，组织就可以对高风险使用者进行策略性干预行动，甚至有可能抓到下一位正在采取行动的“斯诺登”。不过，在运用这些技术时，组织应该妥当地考虑隐私权的议题，因为在当前的法规监管环境下，隐私权的角色日益复杂，而且持续变化。

依人类使用者的需求来打造解决方案，而不是让人去配合解决方案

值得注意的是，百分之百安全的系统，通常是完全无法使用的。我们看过许多情况是，最棒的安全意图却导致系统使用受限。例如，使用个人认证的PKI加密技术，采用数字“钥匙”来验证接收者，这种加密技术可能应用在讯息和其他交易上，而且可以提供优异的多层次安全。不过，这项技术需要最终使用者和管理者采取更多步骤，所以从未真正被广泛采用。

如果网络安全要让最终使用者额外多做一些事，就更难以让大家参与。

企业必须与最终使用者好好沟通，以了解他们在日常活动中真正愿意额外付出多少努力，来支持网络安全工作。换句话说，企业应避免采取需要使用者在本身真正意愿之外多做更多的协定。

不断顺应持续变化的威胁

随着威胁的焦点从外部骇客和网络安全漏洞，转移到内部员工和内容数据库（例如电子邮件、文件共享），网络安全的整体情势变得更加复杂。

幸运的是，内容技术的迅速发展，让企业更容易保护这些数据库，以及应用先进的治理和分析法，来协助侦测和改正有风险的行为。这些技术的出现，也正好解决了其他一些关键议题，例如整顿当前数据分析法不受控管的数据取得权限，以及满足新的隐私法规，例如“一般数据保护规范”（GDPR, General Data Protection Regulation）要求全球处理欧盟居民资料的组织，必须满足更高的隐私权要求。

“人人皆会犯错”这句话说的没错，而且人类还是会继续犯错。可是，科技和更加精进的实务做法，越来越能协助你辨识出最可能让你公司遭受网络攻击的那些高风险员工，而且是在网络攻击变成重大问题之前就这么做。

（作者是ZL科技公司共同创办人、CEO，这家软件和云端服务供应商向大型企业提供资讯治理和分析解决方案。）