《華爾街日報》:網絡安全培訓中講故事的力量

Rick Wash

企業已投入數百萬美元培訓員工防範網絡釣魚,但很大程度上收效甚微。

他們應該考慮一種強大卻未被充分利用的武器:講故事。

近期撰文探討了許多公司用於培訓(或者説威懾)員工提升網絡警惕性的"釣魚測試"。這些測試會發送虛假釣魚郵件,並統計點擊人數。但我的研究表明,這類測試實際上可能適得其反——它們會在員工中製造恐懼、壓力和猜疑,最終對提升反釣魚能力收效甚微。

文章發表後,許多讀者提出了一個簡單的問題:如果釣魚測試無效,什麼方法有效?

我認為更有效的培訓方式是讓同事分享親身經歷的詐騙故事。人類天生具備從他人故事中學習的能力——即便是閒聊中隨口提及的軼事。我的相關研究證實了故事在網絡安全教育中的顯著效果:當人們聽聞他人遭遇釣魚攻擊或僥倖脱險的經歷後,會更嚴肅對待安全問題,並避免重蹈覆轍。

突破認知障礙

需要説明的是,我並非主張完全摒棄傳統培訓。試想:整天與電子郵件打交道的工作人員必須掌握防範釣魚攻擊的基本知識。

但這種培訓的效果並未達到其應有的水平,因為在某種程度上,它過於表面化,在真正忙碌時很容易被遺忘或忽視。相比之下,好的故事通過將安全與個人經歷聯繫起來,讓你深刻理解為何需要謹慎。當同事講述一個警示故事時,我們能在其中看到自己的影子,從而更深刻地吸取教訓。

例如,僱主提供的標準釣魚郵件建議常常脱離實際情境,籠統地告誡人們“警惕郵件中的緊急訴求”。但當你收到的每封郵件都要求立即處理時,這條建議又意味着什麼?而一個故事可以描述你認識的人如何因為點擊了“需立即操作”或“您的包裹被暫存”的鏈接導致信用卡被盜。哪種方式更能讓你警醒並引起重視?

要理解故事的強大影響力,不妨參考我與Emilee Rader及Brandon Brooks合作的研究。在我們訪談的700人中,近半數曾聽過關於電腦病毒、賬户入侵、身份盜竊以及釣魚攻擊等事件的故事。

關鍵的是,這羣人中四分之三表示從這些故事中學到了重要的網絡安全知識,超過一半的人因此改變了思維方式和行為習慣。

例如,有人講述了她室友的故事:室友發現Facebook Messenger上有多個陌生的聊天窗口,有人冒充她向朋友和同事索要個人信息——那些通常用於“奇怪的安全問題”的細節。這位室友不得不修改密碼,並警告所有聯繫人他們可能也已遭到黑客攻擊。

當一個人聽到同齡人的故事時,更容易將自己代入那種情境。插圖:喬恩·克勞斯研究中的女性表示,在聽完室友的經歷後,她學會了"不要向任何人透露你的信息,即使他們是你的朋友"。

我們發現,這樣的故事之所以能引起共鳴,有多種原因。首先,個人化的講述至關重要。64%報告聽過這類故事的人是從朋友和家人那裏聽來的。70%的故事是在家庭或朋友家等非正式場合聽到的,且主要通過面對面交流傳播。

明確傳達教訓的故事效果尤為顯著:這類故事讓聽眾改變想法和後續行為的可能性比其他故事高出20個百分點以上。例如,室友的告誡之所以有效,是因為聽眾聽到了具體問題及其解決方案。

相反,那些被認為沒有教育意義——或説教失敗——的故事則無法引發共鳴。比如,講述者可能沒有提供足夠細節説明如何避免問題,或者故事對聽眾缺乏適用性。又或者教訓過於淺顯(如"不要在網上做違法的事以免被黑客攻擊")而顯得不值一提。

無論這些故事是否改變了人們的行為,它們往往會被反覆傳播,從而可能影響更多人。總體來看,45%的聽眾會向他人轉述這些故事。平均每個故事會被傳播給兩個人,但有24%的轉述者會將故事告訴四個或更多人。

職場故事的力量

企業能從這一洞察中獲得什麼啓示?網絡安全"專家"給員工的訓導,其效果遠不及同事親身經歷的故事來得深刻。

試想,你在網絡安全培訓中會重複專家的話多少次?對大多數人而言,答案恐怕是零。

這是因為專家的故事常被視作批評而非教育。安全專家也因對潛在風險"狼來了"式的警告而聞名。當人們聽到同齡人的故事時,更容易產生代入感:“這可能會發生在我身上”,從而更專注吸取教訓。

此外,聽聞同事成功避開釣魚陷阱的故事,能幫助人們意識到自己確實具備識破騙局的能力。許多人誤以為只有技術極客才能應對釣魚攻擊,同儕的親身經歷會讓人產生"我也能做到"的信心。

在與莫莉·庫珀的合作研究中,我們設計了在培訓網頁展示故事的釣魚測試。故事描述某員工收到偽裝成IT部門的釣魚郵件後點擊鏈接,最終不得不重置賬户密碼。核心教訓是:點擊前務必懸停檢查鏈接真實性。

測試中,我們向讀者呈現同一故事的兩種版本:一個標註為安全專家撰寫,另一個標明是普通員工經歷。結果顯示,閲讀"同事版"故事的受試者點擊釣魚郵件比例為24%,顯著低於"專家版"34%的點擊率。

讓同事參與進來

鑑於同事間講述故事可能產生的強大影響力,研究人員已開始探索如何最有效地實施這一策略。

一種可行的方法是招募普通員工作為安全倡導者,在組織內部推動網絡安全。這些倡導者有時是技術專家,但更多時候只是對安全感興趣的普通員工。正是這種身份使他們的故事講述更具可信度和説服力。

研究發現,倡導者善於消除"公司安全建議令人恐懼/困惑/無聊"的成見。他們以坦誠的態度討論風險,提供實用建議,展現熱情,並通過故事引發共鳴。

這一理念前景廣闊。人們已經在互相分享釣魚郵件的故事,從中學習應對騙局的經驗。職場反釣魚培訓的最佳方式,正是鼓勵員工彼此分享這些真實經歷。

裏克·沃什 是威斯康星大學麥迪遜分校信息學院的副教授。聯繫方式:[email protected]

出現在2023年11月27日的印刷版中,標題為’講故事在網絡安全培訓中的力量’。