人为错误是网络安全链中最薄弱的环节——以下是三种解决方法

Josiah02

尽管网络安全取得了巨大进步，但有一个弱点仍然掩盖着所有其他弱点：人为错误。
研究一直表明，绝大多数成功的网络攻击都是由人为失误造成的。最近的一份报告显示，这一比例高达 68%。
无论我们的技术防御多么先进，人为因素可能仍然是网络安全链中最薄弱的环节。这一弱点影响到每个使用数字设备的人，但传统的网络教育和意识计划——甚至是新的前瞻性法律——都未能充分解决这一问题。
那么，我们如何应对以人为本的网络安全相关挑战？
了解人为错误
网络安全方面有两种类型的人为错误。
第一类是技能性错误。这类错误发生在人们做日常事务时，尤其是注意力分散的时候。
例如，您可能会忘记备份计算机上的桌面数据。您知道应该备份，也知道该怎么做（因为您以前备份过）。但由于您需要早点回家，忘记上次备份的时间，或者有很多电子邮件要回复，所以您没有备份。如果发生网络攻击，这可能会让您更容易受到黑客的攻击，因为没有其他方法可以恢复原始数据。
第二种是基于知识的错误。经验不足的人由于缺乏重要知识或不遵守特定规则而犯下网络安全错误。
例如，您可能会点击来自未知联系人的电子邮件中的链接，即使您不知道会发生什么。这可能会导致您被黑客入侵并丢失金钱和数据，因为该链接可能包含危险的恶意软件。
传统方法不够完善
组织和政府已投入大量资金开展网络安全教育计划，以解决人为错误。然而，这些计划的效果好坏参半。
部分原因是许多计划都采取以技术为中心、一刀切的做法。它们通常专注于特定的技术方面，例如改善密码卫生或实施多因素身份验证。然而，它们并没有解决影响人们行为的根本心理和行为问题。
现实情况是，改变人类行为远比简单地提供信息或强制执行某些做法要复杂得多。在网络安全方面尤其如此。
澳大利亚和新西兰的“滑、泼、拍”防晒倡议等公共卫生运动就证明了这种方法是有效的。
自四十年前发起这项活动以来，两国的黑色素瘤病例已大幅下降。行为改变需要持续投资以提高认识。
同样的原则也适用于网络安全教育。人们知道最佳实践并不意味着他们会始终如一地应用它们——尤其是在面临相互竞争的优先事项或时间压力时。
新法律存在不足
澳大利亚政府提出的网络安全法重点关注几个关键领域，包括：
打击勒索软件攻击
加强企业与政府机构之间的信息共享
加强能源、交通、通信等关键基础设施领域的数据保护
扩大网络事件调查权力
引入智能设备最低安全标准。
这些举措至关重要，但与传统的网络安全教育项目一样，它们主要针对网络安全的技术和程序方面。
美国则采取了不同的做法，其联邦网络安全研究与发展战略计划将“以人为本的网络安全”列为首要任务。
该计划指出，“网络安全需要更加重视以人为本的方法，以人的需求、动机、行为和能力为主导，决定信息技术系统的设计、运行和安全。”
以人为本的网络安全的 3 条规则
那么，我们如何才能充分解决网络安全中的人为错误问题呢？以下是基于最新研究的三项关键策略。
尽量减少认知负荷。网络安全实践应尽可能直观和轻松。培训计划应侧重于简化复杂概念，并将安全实践无缝集成到日常工作流程中。
培养积极的网络安全态度。教育不应依赖恐吓策略，而应强调良好网络安全实践的积极成果。这种方法有助于激励人们改善网络安全行为。
采取长远眼光。改变态度和行为不是单一事件，而是一个持续的过程。网络安全教育应持续进行，并定期更新以应对不断演变的威胁。
归根结底，打造真正安全的数字环境需要采取全面措施。这需要结合强大的技术、完善的政策，最重要的是确保人们受过良好的教育并具有安全意识。
如果我们能够更好地理解人为错误背后的原因，我们就可以设计出更有效的培训计划和安全实践，以顺应人性而不是违背人性。