企業在網絡安全上常犯的最大錯誤及如何避免——《華爾街日報》

如今每位管理者都心知肚明：網絡攻擊頻發且危害巨大。唯有構築堅固防線，方能保障安全。

這個道理人盡皆知。但管理者在網絡安全方面仍頻頻犯錯。

我們在麻省理工學院斯隆管理學院的研究中，探索了管理者應如何打造具有網絡威脅韌性的組織，發現諸多被管理者長期誤解的概念——這些誤區導致資源浪費、決策失誤，甚至可能引發災難性網絡安全漏洞。

我們認為，問題根源在於管理者將安全簡單視為購買正確軟件或加強防禦，而非將其作為企業首要任務，也未採取強化業務韌性以抵禦攻擊並快速恢復的措施。

以下是六種常見誤區及規避方案：

1. 重技術輕員工

管理者常誤認為網絡安全主要是技術問題，認為加大技術投入就能保障安全。這忽視了企業最大的安全隱患：員工本身。

技術方案固然對數據保護至關重要。但事實上，80%-90%的網絡攻擊都有內部人員無意"助攻"：員工點擊釣魚郵件、訪問惡意軟件網站等細微行為，都可能釀成大禍。

企業必須在加強技術防護的同時，着力轉變員工安全意識與價值觀，讓全員理解安全重要性，共同守護數據的銅牆鐵壁。

2. 依賴培訓而非改變態度

但即便企業試圖讓員工參與網絡安全，其方式也往往是錯誤的。在許多公司，讓員工成為網絡安全的一部分意味着：基礎培訓。換句話説，就是要求所有人每年觀看一次短視頻。

這些努力遠遠不夠。管理者們反覆告訴我們，那些順利完成培訓的員工仍會被誘騙打開可疑網站、下載惡意軟件等。許多員工不好意思地承認，他們在完成在線課程時還在寫郵件或玩網絡遊戲。

更有效的方法是建立網絡安全文化——這種努力超越培訓，讓員工將安全視為工作的一部分。

具體方法多種多樣，從大動作到（看似）小舉措。例如，我們研究的一家金融機構開始使用"數據保護"而非"網絡安全"這一術語。原因是許多員工不理解自己在網絡安全中的角色。但保護公司和客户數據是每個員工都明白的事——多年來公司每天都在強調這一點——因此措辭的改變對推動員工參與產生了顯著效果。

定期測試及切實後果對強化態度和習慣也很重要。在我們研究的一家公司，員工需定期接受釣魚測試。首次失誤（點擊郵件中的惡意鏈接）後，員工必須參加關於識別危險郵件的短期在線課程。後續兩次失誤將分別導致與主管和人力資源部門談話。第四次犯錯會收到可能被解僱的警告——再犯則直接被辭退。該政策傳遞了明確信號，顯著減少了釣魚攻擊的成功率。

3. 樹立不良榜樣的領導者

然而，要讓所有這些安全舉措在員工中紮根，公司高層也必須參與其中。但這種情況往往未能實現。領導者常將技術視為技術部門的專屬領域，把維護安全系統和確保公司網絡安全的責任完全交給他們。

但組織中的每一位領導者都必須持續敲響警鐘，保持團隊的警惕性。在我們研究的一家公司中，首席執行官每次全員會議都以網絡安全故事開場，這些故事通常來自新聞：可能是一次大規模的安全漏洞事件，或是最新的大型勒索軟件攻擊。

一上來就討論這些攻擊事件，向員工表明網絡安全對高層管理至關重要——因此員工明白自己也應將其列為優先事項。

董事會也必須以身作則。當他們表現出對網絡安全的關注時，能確保高級管理人員將其作為優先事項，並層層傳遞至整個組織。但董事會往往不會向管理人員索取網絡安全報告。即使索取，也常依賴這些管理人員選擇報告內容——通常只是日常數據，如多少員工未通過釣魚測試，而非更廣泛的戰略信息。

例如，董事們可能會詢問運營經理公司已部署哪些防護層級，以及發生網絡入侵時將如何恢復。董事會應明確表示，他們希望瞭解公司最重要資產的保護措施是否到位，以及網絡安全投資是否充足。提交給董事會的報告還必須包含更高層次的指標，幫助董事們理解他們承擔的風險、如何降低這些風險，以及正在遵循的網絡安全策略。

4. 忽視“微小”決策的分析

教導員工識別釣魚郵件是一回事，但企業在日常運營中會做出許多看似微小的決策——往往未充分考慮其後果。

我們研究的一起網絡攻擊案例中，數據竊取活動持續了至少九個月——導致數百萬客户的隱私信息被盜——直到入侵行為被制止。

漏洞的根源在於該公司本應監控可疑或異常網絡流量的“入侵檢測與防禦系統”長期失效。原因何在？該系統需要數字證書（驗證軟件或網站合法性的電子憑證）來獲取網絡流量訪問權限，但這些證書已過期。

那麼為何證書未能及時更新？該公司擁有數千份此類證書，依賴人工跟蹤和更新極易出錯。這個問題過去曾被指出，且有提案建議開發自動化集中式證書管理流程。

但該提案未被列為重點事項。無人意識到這個決策——連同我們發現的另外17個類似決策——可能使企業蒙受超10億美元的損失。

管理者必須自問：企業是否建立了評估日常決策（例如升級桌面軟件或新增系統供應商）影響的流程？在決策鏈條中增加一兩個步驟以確保不產生新漏洞，這非常值得。

5. 過度側重預防而忽視災後恢復

多數企業僅關注網絡防護——試圖阻止漏洞演變為網絡安全事件。這固然重要。但領導者還需確保組織具備韌性，應預見到網絡攻擊必然會發生，並確保企業能快速恢復且將影響降至最低。

他們需思考：若丟失這些數據該如何應對？若此次泄露導致核心業務停擺該如何處置？若管理者未對此類情形做好準備，當危機來臨時，他們可能會發現應急手電筒的電池早已耗盡。

新澤西州殖民管道公司的儲油罐。該公司遭遇的網絡攻擊導致美國東部部分地區燃油供應中斷。圖片來源：Mark Kauzlarich/Bloomberg News假設某公司遭遇勒索軟件攻擊導致數據被鎖。具備韌性的企業會提前預判，以不受攻擊影響的方式存儲數據副本。而許多勒索攻擊的受害企業未在此層面考慮恢復機制，其備份數據常連帶受損——甚至可能未做備份。這會導致恢復進程延緩，甚至徹底失敗。

韌性還意味着需防範針對其他企業的攻擊，因為關鍵供應商或客户遭襲也可能波及自身。例如去年遭遇網絡攻擊後，承擔美國東海岸45%燃油供應的殖民管道公司關閉輸油管道，導致部分地區出現燃油搶購潮，數千加油站油料售罄。

6. 錯失競爭優勢

許多企業將網絡安全視為需要管控的成本。但將其視作競爭優勢會更有價值。

如果一家公司強調擁有強大的網絡安全防護，它可能會在注重安全性的客户羣體中獲得優勢。加強安全措施最終還可能節省資金——因為更具韌性的企業受安全事件的影響更小。

拉斯維加斯一塊宣傳蘋果公司iPhone安全性的廣告牌。圖片來源：David Paul Morris/彭博新聞社例如，蘋果公司已將網絡安全作為其廣告宣傳的重點——關注隱私與安全的消費者會認為購買蘋果產品具有優勢。此外，這為蘋果所有競爭對手設定了更高標準。它們至少需要達到同等級別的安全能力才能保持競爭力。但實際上，若想吸引蘋果用户轉投，它們必須超越蘋果的安全標準。

我們的調研中，高管們表示越來越關注供應商如何管理安全問題。許多公司在同意採購前，會要求潛在供應商填寫關於其內外網安實踐的詳細問卷。那些無法證明自身達到可接受安全水平的公司，正日益面臨銷售困境。未來，證明自身安全實踐將成為入場籌碼。而現在，它可以成為競爭優勢。

Pearlson博士是麻省理工學院斯隆管理學院網絡安全聯盟的執行主任。Madnick博士是麻省理工學院斯隆管理學院信息技術榮譽教授，同時也是麻省理工學院工程學院系統工程教授。他們的聯繫方式是[email protected]。

本文發表於2022年6月8日的印刷版，標題為《企業在網絡安全方面犯的最大錯誤》。