為何員工總是忽視職場網絡安全規則？——《華爾街日報》

高德納研究顯示，過去12個月中69%的員工曾繞過公司安全政策。插圖：喬恩·克勞斯企業耗費大量時間確保員工知曉網絡安全規範。他們軟硬兼施，或哄勸或懇求，甚至威脅。要求員工參加培訓、簽署文件、觀看視頻。

然而收效甚微。

高德納去年研究顯示，69%的員工在過去一年曾規避企業安全政策，74%表示若有助於達成業務目標願意這樣做。儘管多數人清楚人為失誤往往是主因。

這種漠然引出一個問題：為何？為何面對嚴懲仍無視安全指引？為何明知對僱主與自身不利仍違規？

答案或許是犯罪學家所稱的"中和技術"——人們本能地用合理化説辭"中和"行為的錯誤或危害。網絡安全研究表明，這類心理機制極大影響員工違反安全政策的意願。

我們所説的謊言

中立化概念由美國犯罪學家格雷沙姆·賽克斯和大衞·馬茨亞於1950年代提出，用於解釋青少年違法者如何"中和"與不良行為相關的內疚感。他們識別了數種中立化技術，為後世犯罪學家補充新技巧奠定了基礎。

員工常用以下典型合理化説辭來規避僱主的安全規定。這些説辭大多聽起來耳熟，但都有一個共同點：它們能幫助人們擺脱違反安全準則時通常產生的負罪感。通過這種方式，員工可以在偶爾違規的同時，保持自己遵紀守法的自我形象。

否認傷害是指員工説服自己忽略安全政策不會造成損害，因此破例是可以接受的。既然可以接受，自然不應受到懲罰。

訴諸更高忠誠表現為員工將工作項目或管理者的要求置於安全準則之上。他們明知違反政策是錯誤的，但將對某人或某事的忠誠視為壓倒一切的義務。

推卸責任是員工拒絕為自身行為負責，將行為歸因於超出自己控制的情形。他們可能聲稱不瞭解具體安全政策，或未接受過相關培訓。

功勞簿隱喻這種技巧讓員工在心理上計算所有積極行為（如加班或完成指標），並與其偶爾的負面行為對比。如果功大於過，他們就告訴自己偶爾違反安全規定無需愧疚。

必要性辯護是指員工説服自己，在特定情境下被迫採取某種行為，因此並非他們的過錯。例如，他們為從互聯網上未經授權下載軟件辯護，理由是需要在緊迫的截止日期前完成任務。

譴責譴責者涉及批評那些執行和實施安全政策的人，並以此作為忽視規則的正當理由。例如，員工可能認為安全團隊不合理或與業務需求脱節，因此他們認為這些政策無效，可以接受忽視。

管理層能做什麼？

人們可能會認為，制裁的威脅會讓員工在違反公司信息安全規則前三思。不幸的是，對不當行為的制裁正是中和技術如此有效消除的東西。如果有人説服自己，在他們的情境下違反政策並沒有錯，他們為什麼會害怕被抓到或受到懲罰？

但如果制裁不起作用，什麼能起作用呢？

首先，安全團隊可以通過培訓課程直接解決中和技術，解釋其使用方式及為何無效。由於許多這些技術是本能反應，將其暴露出來讓人們以之前未曾有過的方式審視它們。

在一項研究中，對一家大型跨國公司的87名員工進行了實驗性安全培訓。其中，21名員工接受了標準安全培訓，66名員工接受了額外涉及特定中和技術的培訓。

例如，培訓師描述了人們如何普遍使用"必要性辯護"來為選擇弱密碼辯解，認為強密碼使用起來過於繁瑣。隨後培訓師討論了這種觀念為何未必正確，並演示瞭如何選擇既安全又實用的密碼。另一個例子中，培訓師解釋了人們如何運用"否認傷害"技巧來合理化使用弱密碼無害的觀點。接着培訓師通過展示黑客如何輕易猜出弱密碼以及由此可能引發的損害，證明了這種觀點的謬誤。

與對照組相比，後一組員工在未來遵守安全政策的意願顯著提高，對中立化技巧的認同度明顯降低。這些差異在三週後的跟蹤調查中依然存在。

傳達信息

其次，若開展培訓課程不切實際，組織可在發送給員工的信息中點明中立化技巧。在某項研究中，200名職場專業人士被呈現假設場景：某人使用"必要性辯護"或"否認傷害"的説辭違反安全政策。隨後詢問他們在類似情境下采取相同行為的可能性。其中半數場景包含直接駁斥特定中立化技巧的信息，例如：“儘管人們認為在某些情況下共享密碼不會造成實際後果，但遵守該政策至關重要；任何理由都不應成為共享密碼的藉口。”

研究結果顯示，那些接收到直接駁斥特定中立化技巧信息的人表示，未來在相同情境下違反安全政策的可能性大幅降低。這表明，僅僅意識到中立化技巧背後的謬誤就有助於減少其使用。

這些研究的關鍵啓示在於：組織需要明白，中立化是人們的天性，任何威脅和強制手段都無法改變這一點。但管理層可以幫助員工識別並摒棄合理化藉口，讓他們認識到網絡安全政策所發揮的關鍵作用。

安東尼·萬斯是弗吉尼亞理工大學潘普林商學院商業信息技術系的倫茨教授兼聯邦網絡安全計劃研究員。澤伊內普·薩欣是弗吉尼亞理工大學專門研究網絡安全人力問題的博士生。聯繫方式：[email protected]。

本文發表於2023年9月28日印刷版，標題為《為何員工總是忽視職場網絡安全規則》。