【編者按】人為錯誤是網絡安全的最大隱患及薄弱環節。網絡安全的攻防對抗，實質上就是兩端人力的較量。英國Tessian公司發布的一份《人為錯誤心理學》調查報告顯示，43%的員工在工作中曾犯過錯誤，導致出現網絡安全問題，對其公司產生影響。研究認為，人為錯誤是當今網絡安全漏洞的主要原因，并分析了為什么人會犯錯誤，以及如何在錯誤變成漏洞之前加以預防。

　　人為錯誤或人性的弱點，是網絡安全的最大隱患及薄弱環節。網絡安全的攻防對抗，實質上就是兩端人力的較量。2020年RSA大會的主題設定為“人的因素”(Human Element)也是基于這一共同認知。據英國信息專員辦公室(ICO)的研究，2019年人為錯誤導致了90%的數據泄露，比2018年的87%和2017年的61%有所增加。

　　WannaCry勒索軟件攻擊影響了全球數十萬臺計算機，給公司和組織造成數百萬美元的損失，然而在Microsoft發布該攻擊使用的漏洞更新補丁兩個月后，全球仍有許多公司沒有更新其系統。此類人為錯誤(延遲安裝更新)會給企業帶來可怕的結果。

　　由人為錯誤引起的最嚴重的數據泄露事件之一是，英國國民保健服務局(NHS)的一家機構披露了近千名曾到過艾滋病毒診所就診的患者的電子郵件地址及姓名。錯誤是怎么發生的?員工向HIV患者發送電子郵件通知時，意外地將他們的電子郵件地址輸入到“收件人”而不是“密件抄送”，從而使他們的詳細信息彼此暴露。這是基于技能的錯誤的經典示例，因為員工知道正確的操作方法，但是根本沒有采取足夠的謹慎措施。

　　英國Tessian公司發布的一份《人為錯誤心理學》調查報告顯示，43%的員工在工作中曾犯過錯誤，導致出現網絡安全問題，對他們自己或他們的公司產生影響。研究認為，人為錯誤是當今數據漏洞的主要原因，并分析了為什么人會犯錯誤，以及如何在錯誤變成漏洞之前加以預防。圖1中顯示，33%人確定自己的錯誤導致了公司網絡安全的影響，可能沒有造成影響的占24%，而對此問題不確定的占33%。

圖1：工作中的失誤對自己或公司造成網絡安全影響的比例

　　人為錯誤的類型

　　人為錯誤大體上可以分為兩種不同的類型：基于技能的錯誤和基于決策的錯誤。這兩者之間的本質區別主要歸結于該人是否具備執行正確行動所需的知識。

　　基于技能的錯誤包括執行熟悉的任務和活動時發生的小錯誤。在這些情況下，最終用戶知道正確的操作方法是什么，但是由于暫時的失誤，錯誤或疏忽而無法這樣做。發生這種情況的原因可能是員工感到疲勞、注意力不集中、短暫的記憶力下降。

　　基于決策的錯誤是指用戶做出錯誤的決策?？赡苡性S多不同的因素在起作用：它常常包括用戶沒有必要的知識水平、沒有關于特定情況的足夠信息、或者甚至沒有意識到他們是通過他們的不作為來做決定。

　　人為錯誤的影響

　　與電子郵件相關的兩個主要人為錯誤，一個是未能及時準確識別釣魚郵件而點擊惡意鏈接，另一個則是發送地址錯誤的郵件。當被問及他們犯了什么樣的錯誤時，四分之一的員工承認在工作中點擊了網絡釣魚郵件中的鏈接。年齡在31-40歲之間的員工點擊釣魚郵件的可能性是51歲以上員工的四倍，而男性點擊釣魚郵件的可能性是女性的兩倍。

　　47%的員工認為分散注意力是詐騙型網絡釣魚的首要原因。緊隨其后的是，這封電子郵件看起來合法(43%)，41%的人表示，這封網絡釣魚郵件看起來像來自一位高級管理人員或一個知名品牌。

　　除了點擊惡意鏈接外，58%的員工承認向錯誤的人發送了一封工作電子郵件，其中17%的電子郵件流向了錯誤的外部。

　　這個簡單的錯誤會給個人和公司帶來嚴重的后果，他們必須向監管機構及其客戶報告事件。事實上，五分之一的受訪者說，他們的公司因為發送錯誤地址的電子郵件而失去了客戶，而12%的員工失去了工作。

　　造成錯誤地址電子郵件的主要原因是疲勞(43%)，其次是分心(41%)。57%的受訪者說他們在家工作時更分心，突然轉向遠程工作可能會使企業更容易受到人為錯誤造成的安全事件的影響。

　　壓力如何影響網絡安全?

　　2020年全球新冠病毒大流行，遠程辦公或居家工作成為新常態。員工面臨疫情防控和工作方式變化的多重壓力。該報告的調查結果呼吁企業了解壓力和工作文化對人為錯誤和網絡安全的影響，特別是考慮到2020年的事件。員工發現，當他們有壓力(52%)、疲勞(43%)、分心(41%)和工作節奏加快(36%)時，他們會犯更多的錯誤。

　　因此，令人擔憂的是，61%的受訪者說他們的公司有一種現狀文化，使他們的工作時間比他們需要的長，而46%的員工經歷了疲勞或倦怠。

　　企業也應該注意到疫情全球大流行，以及從員工居家工作，這些因素如何影響員工的福利以及與安全的關系。

　　斯坦福大學教授、社會動力學專家杰夫·漢考克(Jeff Hancock)為這份報告做出了貢獻，他表示，“了解壓力如何影響行為對于改善網絡安全至關重要?！?/p>

　　2020年的事件意味著人們必須應對令人難以置信的壓力和許多變化。當人們受到壓力時，他們往往會犯錯誤或做出他們后來后悔的決定。

　　不幸的是，黑客攻擊了正是利用了這個弱點。因此，企業需要對員工進行教育，讓他們了解黑客在這段時間里如何利用他們的壓力，以及可能由人為錯誤造成的安全事件。圖2表明，發送錯誤地址的郵件造成的后果，由高到底依次是：組織不得不通知客戶(41%)、出錯的員工必須發致歉郵件(36%)、組織推動了客戶(20%)、隱瞞不報告事件(16%)、丟掉工作(12%)、即使報告也無動于衷(12%)。

圖2：發送錯誤郵件的影響

　　年齡性別因素的影響

　　不同年齡階段、不同性別，對網絡安全的認知存在明月的差異。這可能是一些令人意想不到的結果。報告表明，年齡、性別和行業在人們的網絡安全行為中起著一定的作用。這從某種程序上證明，一刀切的網絡安全培訓和意識方法在防止人為錯誤事件方面行不通。調查結果顯示：

　　18-30歲的員工中有一半說他們犯了損害公司網絡安全的錯誤，而51歲以上的員工中只有10%;

　　在18-30歲的人中，65%的人說他們發錯了郵件，而在51歲以上的人中，這一比例為34%;

　　70%承認點擊釣魚郵件的員工年齡在18-40歲之間。相比之下，在51歲以上的人中，只有8%;

　　如圖3所示，科技行業的員工最有可能點擊網絡釣魚郵件中的鏈接，該行業47%的受訪者承認他們曾經點擊過。銀行和金融部門的雇員緊隨其后(45%)，緊隨其后的是業務咨詢、衛生健康、零售、工程和制造業、公眾服務、教育培訓和慈善。

圖3：不同行業員工點擊釣魚郵件的統計

　　研究還顯示，男性因網絡釣魚被詐騙而中招的可能性是女性的兩倍，男性受訪者中有34%的人說他們單擊了網絡釣魚電子郵件中的鏈接，而女性受訪者中只有17%的人。

圖4：不同性別的員工點擊釣魚鏈接的統計

　　為了成功防止錯誤變成嚴重的安全事故，企業必須采取更人性化的方法，如培訓及政策。然而，將其與機器智能技術結合起來，實時提醒員工潛在的網絡釣魚威脅或錯誤，使員工在做可能后悔的事情之前三思而后行。

　　Tessian首席執行官蒂姆.薩德勒(Tim Sadler)表示，“網絡安全培訓需要反映這樣一個事實，即不同的時代都以不同的方式通過技術來實現成長。期望每個員工都能100%地發現一個騙局或做出正確的網絡安全決策也是不現實的。為了防止簡單的錯誤演變成嚴重的安全事件，企業必須在人的層面優先考慮網絡安全。這需要了解員工個人的行為，并利用這種洞察力調整培訓計劃和策略，使有效的網絡安全實踐真正產生共鳴?！?/p>

　　關于Tessian公司

　　Tessian是一家專業從事人員層網絡安全的公司，在倫敦和舊金山設立總部。其宣稱的任務是保護人員層，開發的技術可以使人們安全地工作，而不會妨礙他們傳統的工作方式。Tessian認為在網絡威脅普遍存在的情況下，每個人不可能都成為安全專家，也不必成為安全專家。Tessian的人員層安全平臺可自動保護員工安全使用電子郵件(通常要花費40%的工作時間)，免受數據泄露、意外數據丟失和網絡釣魚等風險。

　　參考資源

　　【1】https://www.tessian.com/research/the-psychology-of-human-error/

　　【2】https://solutionsreview.com/endpoint-security/tessian-study-uncovers-extent-of-human-error-in-cybersecurity/#:~:text=Human%20error%20is%20the%20biggest,data%20breaches%20ana%20non%2Dcompliance.

　　【3】https://blog.usecure.io/the-role-of-human-error-in-successful-cyber-security-breaches#:~:text=In%20a%20security%20context%2C%20human,security%20breach%20to%20take%20place.&text=This%20all%20adds%20up%2C%20and,make%20life%20easier%20for%20themselves.