借助大数据和人工智能技术的发展,西方发达国家开始探索使用“量化”方式,来提供“个性化”的信息安全意识解决方案。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:人类的大脑大复杂,但是科学预言称,机器人脑将在不远的未来,完全替代人脑。基于这个预言,使用自动化的方案,“科学地量化”评测每位用户的信息安全意识,然后量身定制“纠偏”性的认知宣教行动,似乎是可行的。

可能有人会说,这不是《一九八四》和《动物庄园》中的场景么?的确,“高科技精准洗脑”用于政治稳定、社会安全、忠诚服从和思想管控等大领域,远比在信息安全意识领域更有价值。反过来想,当“精准洗脑”相关的技术很成熟获得普及的时候,使用该方案来建立信息安全意识体系,还是问题吗?

不过,这条路很漫长。不可否认,人类与地球上其他物种最大的区别之一,就是人类拥有了一颗十分智慧的大脑。

经过二十来年的高速发展,主流的网络信息安全技术已经非常强大,细粒度的监管、控制与响应系统已经得到了大范围的部署,如同满大街的公安监控系统一样。在某种意义上讲,技术改变世界,这不是口号,而是确确实实发生了,网络安全技术狠击了网络犯罪,尽管犯罪手段也在不断更新。

道高一尺,魔高一丈。网络犯罪手法不断在进化,基于心理学的钓鱼、诈骗、社会工程学越来越普及,这让传统的网络安全技术有些“力不从心”。道理很简单,借助自动化技术,很容易侦测、控制和阻断大规模的垃圾消息发送,然而,冒充身份的,零星的分散式诈骗消息则总会达到部分受众,让一部分犯罪分子成为“漏网之鱼”,上钩的受害者亦是如此。

技术型的专家说,识别出零星的分散式诈骗消息,还是有方法的,不断改进自动化的安全技术控制措施即可。当然如此,在技术上进行极限的投入,深度分析每一个网络数据包,解析人类的每一个神经元细胞,记录人们的每一个闪过的念头,让宇宙的一切都彻底的数字化。然而,这种“元宇宙”理论上可以实现,现实中却不合乎成本效益,也不合乎风险管控思想,因为很多安全风险完全可以被忽略。

网络安全专家提出了基于心理学和安全科学的设计方法,包括有限理性、心智模型和扩展并行处理模型,并向我司征求改进建议。我司虽然专注于信息安全意识服务领域多年,然而并未进行过大规模的信息安全意识研究,这玩意儿是跨学科的,甚至信息安全意识的概念,很多人都不知晓或者不甚认同。我们就是做这门生意而已,通过创作宣传教育素材、内容、资源,搭配一些技术平台与服务,提供给客户进行使用。对比一下,就像开个餐馆,为客人做食物一样,有哪个餐馆的老板思考过“到底为什么人们饿了要吃饭”或者“怎么改良食材的基因让人们吃的上瘾”这些既浅显又深奥甚至与生意无关的问题?

话说回来,利用安全领域的知识来提高信息安全意识,确实需要科学的方法,当然方法是否“科学”,本身就是一个不断变化和演进的过程。现阶段,世界上普遍的共识还是存在的,可以使用一些通用的方法来系统地识别受众沟通需求。如同各种入学考试一样,笔试、面试就是两种最常见的安全意识考核手法,该成绩可以量化,流程也可以被数字化,但是,是否“科学”,就如同高考、国考之类的人才选拔一样,有很多客观的和主观的因素在。您能说不“科学”吗?您又能说很“科学”吗?

解决方案的输入部分,亦即第一步的源头,针对受众的数字化的调查结果,必定既“科学”又不“科学”。既然如此,接下来的对策,不管在方法论方面有多么的完美,也会受到质疑和挑战。

人类大脑是一个能力奇特的“智能计算机”。它最为核心的能力不是“计算”,而是“算计”。这是人类大脑与所谓“人工智能”的最大区别。体现在“认知”和“行为”关联的复杂性,既然人类的头脑就是天使与恶魔的矛盾综合体,那么人类的行为,一会儿受到天使指挥、一会儿受到恶魔指挥、一会儿又是无意识的,那该多复杂?

假设信息安全环境中的人类行为问题是由于缺乏可供观众使用的事实造成的。意识在很大程度上被视为向观众传播事实,希望行为得到改善。信息安全领域的技术专家倾向于告诉人们他们认为他们应该知道的(并且实际上可能已经知道了)。这种风险沟通的“技术至上或技术解决一切”观点存在根本缺陷,并被安全风险沟通专家强烈批评为无效和低效。

终极的世界探索没有实际意义,安全意识跨学科太多,深入研究下去也没有实际意义。正确的姿势在哪儿?如同认死理讲逻辑的理工人,想模仿文科生学习政治课一样,您说啥,就是啥,别问为啥。我们相信,可以使用科学的先进的方法,改进信息安全意识与风险沟通。但是,这需要时间,需要前沿的科学技术不断发展。我们需要做的是“活在当下”。

在当下,可以确信的是,不断提供信息安全教育培训“内容轰炸”,给受众学习信息安全的环境支撑,组织机构可以获得长期的信息安全文化方面的逐渐改善,那是长期“量的进化”,带来了“质的飞跃”。