企业在网络安全上常犯的最大错误及如何避免——《华尔街日报》

如今每位管理者都心知肚明：网络攻击频发且危害巨大。唯有构筑坚固防线，方能保障安全。

这个道理人尽皆知。但管理者在网络安全方面仍频频犯错。

我们在麻省理工学院斯隆管理学院的研究中，探索了管理者应如何打造具有网络威胁韧性的组织，发现诸多被管理者长期误解的概念——这些误区导致资源浪费、决策失误，甚至可能引发灾难性网络安全漏洞。

我们认为，问题根源在于管理者将安全简单视为购买正确软件或加强防御，而非将其作为企业首要任务，也未采取强化业务韧性以抵御攻击并快速恢复的措施。

以下是六种常见误区及规避方案：

1. 重技术轻员工

管理者常误认为网络安全主要是技术问题，认为加大技术投入就能保障安全。这忽视了企业最大的安全隐患：员工本身。

技术方案固然对数据保护至关重要。但事实上，80%-90%的网络攻击都有内部人员无意"助攻"：员工点击钓鱼邮件、访问恶意软件网站等细微行为，都可能酿成大祸。

企业必须在加强技术防护的同时，着力转变员工安全意识与价值观，让全员理解安全重要性，共同守护数据的铜墙铁壁。

2. 依赖培训而非改变态度

但即便企业试图让员工参与网络安全，其方式也往往是错误的。在许多公司，让员工成为网络安全的一部分意味着：基础培训。换句话说，就是要求所有人每年观看一次短视频。

这些努力远远不够。管理者们反复告诉我们，那些顺利完成培训的员工仍会被诱骗打开可疑网站、下载恶意软件等。许多员工不好意思地承认，他们在完成在线课程时还在写邮件或玩网络游戏。

更有效的方法是建立网络安全文化——这种努力超越培训，让员工将安全视为工作的一部分。

具体方法多种多样，从大动作到（看似）小举措。例如，我们研究的一家金融机构开始使用"数据保护"而非"网络安全"这一术语。原因是许多员工不理解自己在网络安全中的角色。但保护公司和客户数据是每个员工都明白的事——多年来公司每天都在强调这一点——因此措辞的改变对推动员工参与产生了显著效果。

定期测试及切实后果对强化态度和习惯也很重要。在我们研究的一家公司，员工需定期接受钓鱼测试。首次失误（点击邮件中的恶意链接）后，员工必须参加关于识别危险邮件的短期在线课程。后续两次失误将分别导致与主管和人力资源部门谈话。第四次犯错会收到可能被解雇的警告——再犯则直接被辞退。该政策传递了明确信号，显著减少了钓鱼攻击的成功率。

3. 树立不良榜样的领导者

然而，要让所有这些安全举措在员工中扎根，公司高层也必须参与其中。但这种情况往往未能实现。领导者常将技术视为技术部门的专属领域，把维护安全系统和确保公司网络安全的责任完全交给他们。

但组织中的每一位领导者都必须持续敲响警钟，保持团队的警惕性。在我们研究的一家公司中，首席执行官每次全员会议都以网络安全故事开场，这些故事通常来自新闻：可能是一次大规模的安全漏洞事件，或是最新的大型勒索软件攻击。

一上来就讨论这些攻击事件，向员工表明网络安全对高层管理至关重要——因此员工明白自己也应将其列为优先事项。

董事会也必须以身作则。当他们表现出对网络安全的关注时，能确保高级管理人员将其作为优先事项，并层层传递至整个组织。但董事会往往不会向管理人员索取网络安全报告。即使索取，也常依赖这些管理人员选择报告内容——通常只是日常数据，如多少员工未通过钓鱼测试，而非更广泛的战略信息。

例如，董事们可能会询问运营经理公司已部署哪些防护层级，以及发生网络入侵时将如何恢复。董事会应明确表示，他们希望了解公司最重要资产的保护措施是否到位，以及网络安全投资是否充足。提交给董事会的报告还必须包含更高层次的指标，帮助董事们理解他们承担的风险、如何降低这些风险，以及正在遵循的网络安全策略。

4. 忽视“微小”决策的分析

教导员工识别钓鱼邮件是一回事，但企业在日常运营中会做出许多看似微小的决策——往往未充分考虑其后果。

我们研究的一起网络攻击案例中，数据窃取活动持续了至少九个月——导致数百万客户的隐私信息被盗——直到入侵行为被制止。

漏洞的根源在于该公司本应监控可疑或异常网络流量的“入侵检测与防御系统”长期失效。原因何在？该系统需要数字证书（验证软件或网站合法性的电子凭证）来获取网络流量访问权限，但这些证书已过期。

那么为何证书未能及时更新？该公司拥有数千份此类证书，依赖人工跟踪和更新极易出错。这个问题过去曾被指出，且有提案建议开发自动化集中式证书管理流程。

但该提案未被列为重点事项。无人意识到这个决策——连同我们发现的另外17个类似决策——可能使企业蒙受超10亿美元的损失。

管理者必须自问：企业是否建立了评估日常决策（例如升级桌面软件或新增系统供应商）影响的流程？在决策链条中增加一两个步骤以确保不产生新漏洞，这非常值得。

5. 过度侧重预防而忽视灾后恢复

多数企业仅关注网络防护——试图阻止漏洞演变为网络安全事件。这固然重要。但领导者还需确保组织具备韧性，应预见到网络攻击必然会发生，并确保企业能快速恢复且将影响降至最低。

他们需思考：若丢失这些数据该如何应对？若此次泄露导致核心业务停摆该如何处置？若管理者未对此类情形做好准备，当危机来临时，他们可能会发现应急手电筒的电池早已耗尽。

新泽西州殖民管道公司的储油罐。该公司遭遇的网络攻击导致美国东部部分地区燃油供应中断。图片来源：Mark Kauzlarich/Bloomberg News假设某公司遭遇勒索软件攻击导致数据被锁。具备韧性的企业会提前预判，以不受攻击影响的方式存储数据副本。而许多勒索攻击的受害企业未在此层面考虑恢复机制，其备份数据常连带受损——甚至可能未做备份。这会导致恢复进程延缓，甚至彻底失败。

韧性还意味着需防范针对其他企业的攻击，因为关键供应商或客户遭袭也可能波及自身。例如去年遭遇网络攻击后，承担美国东海岸45%燃油供应的殖民管道公司关闭输油管道，导致部分地区出现燃油抢购潮，数千加油站油料售罄。

6. 错失竞争优势

许多企业将网络安全视为需要管控的成本。但将其视作竞争优势会更有价值。

如果一家公司强调拥有强大的网络安全防护，它可能会在注重安全性的客户群体中获得优势。加强安全措施最终还可能节省资金——因为更具韧性的企业受安全事件的影响更小。

拉斯维加斯一块宣传苹果公司iPhone安全性的广告牌。图片来源：David Paul Morris/彭博新闻社例如，苹果公司已将网络安全作为其广告宣传的重点——关注隐私与安全的消费者会认为购买苹果产品具有优势。此外，这为苹果所有竞争对手设定了更高标准。它们至少需要达到同等级别的安全能力才能保持竞争力。但实际上，若想吸引苹果用户转投，它们必须超越苹果的安全标准。

我们的调研中，高管们表示越来越关注供应商如何管理安全问题。许多公司在同意采购前，会要求潜在供应商填写关于其内外网安实践的详细问卷。那些无法证明自身达到可接受安全水平的公司，正日益面临销售困境。未来，证明自身安全实践将成为入场筹码。而现在，它可以成为竞争优势。

Pearlson博士是麻省理工学院斯隆管理学院网络安全联盟的执行主任。Madnick博士是麻省理工学院斯隆管理学院信息技术荣誉教授，同时也是麻省理工学院工程学院系统工程教授。他们的联系方式是[email protected]。

本文发表于2022年6月8日的印刷版，标题为《企业在网络安全方面犯的最大错误》。