网络安全和人为因素

每年，英国政府都会进行“网络安全漏洞调查”，以帮助组织了解网络安全威胁形势，包括漏洞的影响以及漏洞最初是如何发生的。

关于数据泄露是如何发生的，结果显示，与去年同期相比，英国公司80% -90%的数据泄露是由员工行为造成的。这可能包括工作人员无意中点击了钓鱼邮件中的链接，下载了附件，在被看似合法的请求欺骗后将信息泄露给第三方，或者没有检查网站访问者的ID。

去年，Intertek NTA受委托对一家机构进行了一次网络钓鱼活动，前提是该机构设法获得了少量的PlayStation 5游戏机，用户必须“点击这里”加入一个队列(永无止境!)，并在等待时输入他们的详细信息。在超过半数的目标员工中，点击率非常高。

在我们评估网络安全威胁的许多物理社会工程练习中，我们利用工作人员的善良本性进入建筑物或办公室楼层。玩“我忘了我的通行证”这句话已经奏效了很多次，就像在周五跟踪一群团队成员喝完酒回来一样。通常，假装很忙，或者看起来你知道你要去哪里就足够了——没有人想在电话里纠缠一个匆忙的商人。

员工不愿询问一位不认识的访客是否签到，或者他们善意地愿意相信这个人确实是他们所说的那个人，最终都被视为一种责任下放。人性中这些积极的方面也为入侵者提供了可利用的漏洞。

我们发现，这种冷漠的部分原因是员工认为他们是组织安全的旁观者，而不是参与者——“黑客为什么要我的信息?”或者“这个信息对我组织以外的任何人都没用。”

这个问题并不是网络安全所特有的，而是固有的人类如果我们没有看到或经历过后果，就更容易否认它。好莱坞让我们相信，黑客攻击是一场复杂的华丽舞蹈，而现实是，大多数黑客入侵的发生，都是因为一个投机取巧的骗子利用了普通人缺乏网络意识和善良的本性。

如果更多的人明白他们不是黑客的“目标”，而更像是“看门人”，他们可能会意识到使用易于记忆的密码的重要性，在工作电子邮件中注册一些个人信息，或者对未知访客报以友好的微笑，睁一只眼闭一只眼。当你不了解后果时，很容易对干预置之不理，但当你意识到你可能成为更有破坏性的事情的催化剂时，继续做旁观者就更难了。

-这最初出现在天祥集团的网站。天祥集团是CFE媒体和技术内容合作伙伴。由Chris Vavra编辑，web内容经理，CFE媒体和技术，cvavra@cfemedia.com。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。