宣传、答题、钓鱼,安全意识就能提高?
从2020年始至2022年,安在新媒体连续三年发布《中国网络安全产品用户调查报告》(下文简称“报告”),该报告最大特点为“基于用户,取之用户,利于用户”。有幸得益于网安业内人士的赏识与抬举,让报告在网安领域拥有“大众点评”的美誉。
今年6月,该报告第三版正式发布。问世之后,很快引发诸多争议。“横看成岭侧成峰,远近高低各不同”。每个人的视角与立场不同,所以看待报告也能得出不同的观点与结论。对此,我们完全可以理解,并对诸多争议观点进行了思考与总结。
为了阐释许多读者的疑惑,解答众多争议,我们特别邀请浙江寰福科技有限公司、车联网信息安全专家孙权,中国福利会国际和平妇幼保健院信息中心、网络安全专家陈昌杰,曾任某大型金融机构安全意识教育主管、易念科技首席专家谢超首,安在新媒体合作人及安在新榜出品人张威,齐聚线上直播分享。本次直播由安在创始人张耀疆主持。
(从左到右、自上而下分别为张威、张耀疆、谢超首、陈昌杰、孙权)
张耀疆介绍,2022版报告中有一个细分领域为安全服务,而安全服务里面又有专门一个细分领域,就是安全意识教育,本期话题则是从此延伸。
安在新媒体创始人张耀疆表示,安全意识虽然是一个老生常谈的话题,但是安全意识导致的安全问题却层出不穷,尤其当下大家关注的“HW”,更是因为安全意识薄弱所引发,所以看似老生常谈的话题,却更让人头疼不已,值得企业尤其是安全企业深思。所以本次线上直播分享,也是为了解决企业相关的困扰以及面临的问题。
直播开始,张威首先介绍了安在新榜最新发布报告中安全服务的概况。报告主要从甲方视角反馈的情况经过分析总结汇聚得出结论,希望能对企业的产品部署及采购提供一些参照的标准。
今年的报告覆盖102种安全产品及服务品类,其中有十大类是服务品类。由于安全服务的种类杂乱繁多且服务水品层次不齐,很难有标准化的产品。但是随着社会的发展,安全服务在安全产品体系中越来越重要,比如企业每年在安全产品的采购中安全服务必不可缺。
另外,报告显示,虽然应急响应的安全集成的产品使用率依然高居榜首,但安全服务变化最大的则是安全意识服务,其高居榜二,也意味着在上一年度部署的安全服务产品当中,安全服务备受关注。
张威介绍称,《2022中国网路安全产品用户调查报告》有两个版本:免费版和付费版。
免费版,即《2022中国网络安全产品用户调查报告》精简电子版:该版本除了包含本文前述所有核心内容外,有更多延展性的数据分析和重要结论,感兴趣的可以去诸子云知识星球下载取用(加入诸子星球的途径在文末)。
付费版,即《2022中国网络安全产品用户调查报告》完整纸质版:该版本除了本报告精简电子版全部内容外,更有所有网络安全产品、服务和信创产品在细分领域详细的指标打分和用户评价,以及多个重要行业的数据分析和重要结论。完整纸质版后续会上架安在微店对外销售,保持往年一致,定价1000元/册,目前提供5折优惠价预售,一个月有效。
张耀疆长期关注安全圈,在他看来,早期安全意识工作就是开展讲座、做宣传海报或者小册子,但是这两年却有所变化,比如钓鱼邮件,这也是安全意识宣传的一些新方式,但使用这些手段,安全意识真的能提高吗?另外还有把邮件删除、防止被钓鱼类似这样的操作,能不能解决安全攻击的隐患,也就是安全意识教育能不能起到作用,需要嘉宾们共同探讨。
对此,谢超首指出,在其企业今年发布的《中国企业安全意识现状与发展报告》中显示,从数据来看,增长最快的是安全服务,国际上预测五年以后安全意识教育将达到100亿美元的规模,并且颇受投资领域青睐。
在2021年《中国企业安全意识现状与发展报告》中显示,中国目前安全意识教育的市场规模预计是100亿元左右,并且中国的安全意识教育目前还是处于初级阶段。
从调研的数据来看,企业内开展安全意识教育,绝大部分选择了就是去满足合规与监管的要求,但是如果仅是为了满足合规去做安全意识教育,企业便在该领域投入有限,且员工的参与度会非常低,落实到了员工日常工作中就更不值一提。这样的安全意识教育效果就很难达到满意的效果。
通过调研数据得知,83%的企业认为钓鱼测试是有必要的,36%的受访企业表示对于在企业内开展钓鱼演练存在顾虑,可能是安全团队发起的钓鱼面向的是全体员工,HR或品宣部门会认为钓鱼演练对员工正常办公和员工关系有一定负面影响。
陈昌杰站在医疗健康行业的角度表示,医疗健康行业范围较广,区别很大。但是整体来说大环境在变,不管是防诈骗、防攻击、防勒索,大家的整体安全意识都在提高。
然而,鉴于医疗行业的特殊性,所以安全意识不仅包含在网络安全层面,还有患者本身的生命安全、健康安全以及患者的数据安全等,所以安全意识拥有比较正能量的意义和价值。但是在某些细节方面,比如某些医生或者部门,也可能会受个人主观意识的影响,导致安全意识有所不足。
另外,医疗行业的信息安全意识体系存在欠缺的。医生对电子化数字化的使用习惯更多受到高校教育体系的影响,当勒索病毒从教育行业爆发蔓延时,医院往往也会面临一定的威胁,所以安全意识教育确实有待提高。
而关于大量安全意识培训的成果,陈昌杰则用一则小故事来阐述,在3-5月份上海疫情期间,互联网医院给大家带来了便利的同时,很多医护人员也意识到数据安全问题,他们会主动问“这个片子会不会在他看完之后落在他手机里,会不会安全”?能自主提出这个问题说明他们确实把安全意识刻印在心上。
在张耀疆问及医疗系统内是否存在被勒索的情况时,陈昌杰表示最担心的不是医院本身被勒索,反而更担心科研数据。
科研数据或者科研成果如果被窃取,对医院或者医生来说影响更为比较大。此前,上海某些医院确实遭到过勒索,因此需要警钟长鸣,不断加强安全意识教育。
关于这个话题,孙权则以自身就医过程中的例子作反面教材,针对医疗行业存在的漏洞提出警醒。
此前,孙权带女儿住院时,夜间孩子不舒服,就带孩子出病房随便走一走,在自主付款的设备上,孩子随便点点点,就出现了Windows的界面,或者点点点就出现软键盘的界面。
由于职业病的习惯,孙权看到出现软键盘后,随手按了Ctrl+R,接着按了Windows徽标键+E,就把设备文件夹调出来了。这显然对医院设备来说是一种安全漏洞,虽然是一件小事,但是说明医疗行业的安全意识还有待进一步提升。
听到孙权关于医疗领域安全意识缺失的分享,张耀疆有感而发,联想到孙权所在的汽车领域安全意识的问题。如今车联网是大势所趋,汽车安全也愈发受到重视,接二连三出了相关标准,其中也有安全意识相关的标准。那么汽车安全领域安全意识的整体状况又是什么呢?
对此,孙权表示,首先对自己切身利益来说,就是安装反诈APP就可以防止大家被诈骗。
其次从公共安全方面来看,震网病毒案件可窥一斑而见全豹,在震网病毒里面非常清晰地用到了安全意识,对人、对相关工程师以及对相应的环境,比如在工控环境里一定会用U盘去百度去控制对应的PLC,在其中用到了人的一些观念,并且定制针对国家、企业、流程或者相关之人的相应策略和攻击方式,基于此病毒,后续出现了很多类似的勒索病毒。
汽车行业的标准在安全意识层面上分为主动安全、被动安全。在此领域里面对应的国际标准就是ISO26262《道路车辆功能安全》。这个标准明确要求组织应该创立、培育并保持一种安全文化,以支持和鼓励有效的实施功能安全。
除此还有ISO21434要求,其要求组织应该培育并保持一种安全文化,组织应定义安全策略,其中包括承认存在的汽车信息安全的风险,管理层承诺管理相应的信息安全带来的风险。
此外,ISO21434里面明确的要求是基于WP.29组织,对应的国际汽车强制标准里面有对应的法规,比如R155和R156法规。215这个法规里面明确要求制造汽车的厂商就要建立自己的CSMS(网络安全管理体系)。
同样,我们国内也有这样的标准,比如整车信息安全的要求和试验方法,还有软件升级的信息安全的要求和试验方法。
除此之外,像德国这些老牌工业企业,他们很早就意识到整个供应链层面信息安全的重要性。他们专门为汽车行业做了TISAX信息安全可行性的评估的标准,它里面也明确的要求进行安全意识的培训。
我国《网络安全法》第34条也明确,定期对从业人员进行网络安全教育、技术的培训和技能的考核。还有等保2.0里边六七八九章中明确要求,各类人员应该进行安全意识教育,尤其是大型活动里面更要有安全意识的教育。
在汽车行业,因为供应链产,一辆车有上万个零件,需要几千家供应商去维护。OEM厂商对安全意识的教育方法和策略做的不错,但是供应链的下游企业则不尽如人意,2018年7月,100多家汽车产业链上下游公司的敏感文件已泄露,这些文件放在属于Level One Robotics的一台服务器上,“这是一家主攻自动化流程和装配的工程服务提供商,面向OEM(原始设备制造商)、一级汽车供应商以及我们的最终用户。”此事件中泄露数据的公司包括大众、克莱斯勒、福特、丰田、通用汽车、特斯拉和蒂森克虏伯等,泄露的157GB数据,包含近47,000个文件。10多年的装配线原理图、工厂平面图及布局、机器人配置及说明文档、身份证件申请表和VPN访问请求表,Level One员工的个人详细信息(包括驾照和护照的扫描件)以及Level One的商业数据(包括发票、合同和银行帐户详细资料),安全事件之后的复盘更值得我们警醒。
张耀疆提及网络最近的“滴滴80亿罚款”,“林志颖特斯拉车祸”等一系列事件,再次说明安全意识的重要性。但是目前在企业内安全工作最大的驱动还是合规,那么安全意识教育培训后能改观吗?现在做安全意识教育又有哪些新方法呢?数据显示安全意识大家都很重视,那主要投入在哪些方面呢?
首先,谢超首将企业的安全意识教育划分为三个阶段。
第一阶段是提升意识的阶段。即通过各种宣传途径,试图去提升我们员工的安全意识。就比如交通安全事故,车配置再好、性能再好,驾驶技能再好,如果司机的安全意识不到位,那还是没办法保命。
在网络安全领域也是一样,就是企业花很大的代价去部署各种各样的软硬件基础设施,但是并不是百分百奏效。并且我们强调安全合规、网络安全、个保法、数据安全法、关键信息基础设施保护条例等等中,都提到了安全意识教育培训。
第二阶段就是企业怎么去做。有了安全意识之后,怎么把安全观念落实到安全行为当中去。很多的企业只是满足在第一层,就做安全知识的传递,但是不足以去影响工作当中的一些行为。
比如新员工进来之后,发现老员工有一些不良行为,但是企业没有及时去纠正,则会出现风险漏洞。这就是行为的阶段,要影响其行为,需要去研究员工背后的心理、动机,有没有学的意愿,我们开展安全意识教育到底给他带来什么收益和好处。
如果员工只是被动地参与学习、被动的测试,那么员工的参与意愿则非常低,其学习效果就打了折扣。并且很多安全团队可能对安全法规也没有完全清晰的解读,从而也会产生巨大的落差。所以行为层面要分析其背后的心理原因。
第三阶段是打造企业的安全文化。在此阶段,不仅保证自己安全,也要保证大家安全。网络安全是人与人的对抗。这种对抗不仅仅是说安全团队冲在前面,去跟攻击方去对抗,而是需要发挥每一名员工的作用,因为每一名员工都可能被突破。
此外,谢超首强调,安全意识培养的形态可以分三类:
第一类就是比较传统视觉学习材料,视频、文字、活动等等;
第二类则是基于员工体验模式的互动教育。这种是以员工为中心出发点做安全意识教育,这时强调的是员工的收益,员工的参与;
第三类就是要去改变员工的行为,然后去度量员工的行为的变化,发展到一个相对比较智能化的平台的阶段,也就是真的是人为因素的风险管理。
由于企业及行业不同,其对安全意识或安全文化建设的重视程度、投入也不同。像强合规、强监管属性的金融行业,安全意识教育相对来说投入大些。汽车行业某些合规中也有专门提到企业安全文化建设的问题。医疗和教育相对来说在安全意识领域是滞后的。
在国际上,我们把安全意识教育工作划分为五个阶段,从风险阶段、合规阶段、意识阶段、度量阶段一直到文化阶段。
陈昌杰表示,在医疗行业,一般有针对医疗机构本身进行相关的安全意识培训。比如针对新入职的员工培训,针对医院的网络架构及网络安全等一系列知识培训。另外就是行政也有其相关的安全,比如病人转运等系列的生产安全及应急响应方面的培训。还有卫生医疗行业从主管及主管部门的角度进行相关的培训及竞赛。
孙权就汽车行业安全培训表示,企业行业也属于强监管,各部门检查需要做相对应的评估,从而对应内部的安全意识培训,每年会有预算来做这个标准和体系,同时会向测评公司购买相应的服务,比如等保的认证,需要相应的培训记录。
张耀疆总结称,针对安全意识的投入在国内来说虽然不尽相同,内部做培训基本都会做,而有的则是通过一些项目把安全意识嵌入到工作中,而在安全意识教育专项投入上则相对较少,在这条道路上我们还任重道远。
谢超首补充道,其实有大型集团每年都有专门项目“企业网络安全文化建设”,预算金额在50万至100万,至于效果,很多安全团队不知道怎样用量化的数据去评估。其实最简单的数据就是面向员工开展了多少场培训,最后有多少人通过;
另外,还有我们做了教育培训之后,企业的钓鱼中招率是否有所下降,员工内部违规行为是否下降等等;
此外,还有一些软性数据,比如员工对此次培训的满意度、对安全团队的感受以及员工的参与度等,还可以正能量地激励员工更好地识别风险,在安全攻防中发挥更大的作用。
张耀疆笑道,最近有一份钓鱼测试分析报告说,企业总有4%的人,会在一次钓鱼测试事件后,再次钓鱼测试还会重复掉坑,这和反诈宣传异曲同工,就是说,你永远叫不醒装睡的人,除了传统的手段,有没有更好的手段及花样去解决这些问题?
谢超首表示,在提升员工的学习体验层面,他们目前也在积极探索,主要表现在以游戏化的思路来提升员工的参与度及知识的保留率,努力做到寓教于乐,目前他们也推出了一些游戏化的课件。
另外,把传统的体验式教学线上化、虚拟化,让更多的员工参与体验,这也是目前正着重做的一个方向。游戏化的方式能够激发员工的学习兴趣,有粘性,而且有挑战、有成就感。在游戏过程中有实时的反馈,有积分、有勋章等等。
张耀疆认为游戏化的课件比视频的演示更进了一步,更注重体验互动,趣味性更强,其实更考验的是这个策划设计能力。同样在钓鱼邮件中是否可能设计一些无间道,钓中钓。
对此,孙权表示自己之前参与安全意识相关培训在体验环节中,大家头脑风暴就是想各种各样的剧本,比如诈骗剧本就有说的这种花样,其实都是把握人性弱点,能够把场景、语言让人中招。
在企业内部的话,现在在安全规划和报批预算,后续会相关的训练。策略是通过这种游戏化的方式,度量的一些指标,然后通过中招的程度进行有意识的培训,从而提升公司整体的安全意识。
陈昌杰也表示,易念科技的游戏化产品确实蛮好的,但是对打开市场存在疑虑。虽然目前医疗行业暂无创新,但是其认为,安全是一种意识,更是一种文化,需要潜移默化,更需要掌握一种平衡,不仅传统的安全培训教育要做,但是也要增加趣味性。
他认为通过剧本来提升大家安全意识很赞。另外也可以采取互助协作,共同策划剧本甚至搞一些剧本比赛,更多的贴近行业、贴近场景的花样冒出来,进一步提升趣味性增强效果。
提问:安全意识在员工层面有哪些收益?谢总能举个例子吗?
谢超首:首先从大的方面来说,开展安全意识工作,先是提升全员的数字安全素养。每一位员工的岗位、角色、权限等方面不同,但在工作中或多或少工作都会涉及到数据处理活动,比如HR掌握着非常重要的员工的个人信息数据,供应商、渠道管理部门掌握着非常重要的合作伙伴的信息数据,销售掌握客户的数据,研发掌握着核心源代码数据等等。
这些员工在工作当中如何去收集、存储、传输这些敏感数据?通过进行针对性安全意识培训,能够保证员工不违规,避免企业因疏忽大意造成数据泄露。
再者,全民数字素养是每一名职场人士的必备的基本素养。不管在哪家公司,提升的安全意识跟技能,到下一家公司同样能够去应用。所以安全意识不管是对个人工作还是公司,都是有益的,并且伴随着个人职场的发展,对未来职业晋升大有脾益。
安在有新榜,百家说百强|7.8/7.9两场直播预告
##推荐阅读
发布 | 安在新榜 · 2022中国网络安全产品用户调查报告
“凭啥我没上榜?”关于安在新榜最新报告,请看Q&A
安在有新榜,百家说百强|7.8/7.9两场直播预告
齐心抗疫 与你同在