网络安全专家不得不面临非常可怕的事情,那就是大多数的数据泄露都是由人为错误造成的,而人性的弱点远比系统的弱点(漏洞)复杂,也更难修复。因此,即使拥有众多的技术控制措施,黑客仍然可以拿下最终用户,进而通过跳板入侵组织机构。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:为什么用户就这么容易被操纵,让网络犯罪分子得到他们想要的东西呢?好吧,正如您所讲,不法分子太狡猾。那么,知己知彼,百战不殆,打败他们的最好方法是了解他们的惯用手法。
《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律及相关配套法规逐渐落地实施,网络安全与信息数据的保护特别是个人信息保护,已经进行了“强监管”的法治时代,随着合规的驱力,受控组织基本上都已经建立并完善了制度化、流程化、规范化的信息安全管理体系,网络黑客想从远程利用系统弱点来窃取敏感和个人信息数据,技术门槛、成本和代价非常高,成功的可能性就非常低了。那么,利用目标组织中工作人员的人性弱点,自然而然就成了不法分子们的优选方法,因为人员的弱点非常难以修复,与外部人员的威胁一道的是内部威胁,内部人员恶意的人为操作也很难通过法律制度进行有效的监管,因为内部人员往往最熟悉内部情况。
疫情在整体控制之下反复发作,随着越来越多的员工定期乘坐公共交通工具上下班、灵活工作或在家工作,保护商业机密和敏感数据从未如此重要。开放式办公室日益增长,也会对受相关法规管辖的信息面临落入坏人之手的风险。比如公司的员工能够在有意或无意中窥探到其他同事的设备屏幕。走进任何一家大街咖啡店或快餐厅,您都会看到一群人在使用笔记本电脑、平板电脑和智能手机,热火朝天地工作着。越过他们的肩部,可以看到他们私人屏幕信息,如果记性好,可以搜索相关的内容,以满足好奇心。甚至您可以在不远处假装使用手机,悄悄拍摄该群人员电子屏幕上的内容,并且发到社交媒体网站。此外,也还有三三两两的人员在那儿大声讨论工作或通过电话与他人进行业务内容交谈,您可以开启手机的录音功能,将其录制下来并且随意使用。因为这是在公共场所,只要不搞打架斗殴杀人劫货等刑事犯罪,谁都没法阻止他人使用手机进行拍录,是吧?尽管您可以说有《民法典》要求人们保护他人的个人肖像隐私权,以及个人信息保护法不许随意大数据“杀熟”,但这些可以震慑组织机构,对于个人摄录者很难要求到,是吧?这种问题正是当下公司企业需要日益关注的问题。
当然,员工们可以使用隐私过滤器,控制屏幕的可见距离和视角范围,员工们也可以小声交谈,避免通过电话交谈敏感信息,以帮助保护私有信息免遭此类偷窥、偷拍、偷录的窃取。然而调查表明,很多人并没有这样做,所以需加强员工们的安全保密意识教育。此外,对于明知故犯,敢于故意违规的行为,比如被外部黑客收买或主动滥用职权获取并出卖信息数据的“铤而走险”者,则非常令人头痛,除了加强监管,堵塞漏洞之外,能做的仍然是针对人性弱点的法规科普教育,以及职业道德规范教化。从某种意义上讲,为了各种私利或心存侥幸“故意犯规”者,实际上并没有认可规则,原因在于对规则的内涵,以及违规后果的沟通较为缺乏或不足,以致于部分职员在内心深处仍然没有足够正确的认识。在理解和认可的基础上,人们自然会敬畏规则。这就是所谓的“知行合一”,网络安全意识与行动之间的关系不需要太多的实证验证,社会学家开发过一个模型,并使用从不同类型和规模的企业收集的大量经验数据来测试认知与行动之间的关系。研究模型的假设通过回归分析进行检验。结果表明意识认知与行动具有直接和正相关。
该模型中的大量数据还表明,信息安全意识在网络安全抗争及数据安全保护行动中起着至关重要的作用。安全的行动意图和风险成本权衡是其他可能的结构,应纳入未来人工智能分析人脑安全的研究方向。用作理论基础的概念模型还表明,有一些其他因素,例如组织运营的信息及安全环境(例如行业),在信息安全决策中也起着重要作用。当然这可能“扯”的有些远,不过未来的网络安全管理规范会越来越成熟,要取得进一步的突破,一方面仍然依靠技术创新,比如借用人工智能识别和应对新型威胁,另一方面则是人员认知领域,需要强化安全、保密与合规意识,进而建立良性文化,影响行为习惯。
昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。
