为何员工总是忽视职场网络安全规则？——《华尔街日报》

高德纳研究显示，过去12个月中69%的员工曾绕过公司安全政策。插图：乔恩·克劳斯企业耗费大量时间确保员工知晓网络安全规范。他们软硬兼施，或哄劝或恳求，甚至威胁。要求员工参加培训、签署文件、观看视频。

然而收效甚微。

高德纳去年研究显示，69%的员工在过去一年曾规避企业安全政策，74%表示若有助于达成业务目标愿意这样做。尽管多数人清楚人为失误往往是主因。

这种漠然引出一个问题：为何？为何面对严惩仍无视安全指引？为何明知对雇主与自身不利仍违规？

答案或许是犯罪学家所称的"中和技术"——人们本能地用合理化说辞"中和"行为的错误或危害。网络安全研究表明，这类心理机制极大影响员工违反安全政策的意愿。

我们所说的谎言

中立化概念由美国犯罪学家格雷沙姆·赛克斯和大卫·马茨亚于1950年代提出，用于解释青少年违法者如何"中和"与不良行为相关的内疚感。他们识别了数种中立化技术，为后世犯罪学家补充新技巧奠定了基础。

员工常用以下典型合理化说辞来规避雇主的安全规定。这些说辞大多听起来耳熟，但都有一个共同点：它们能帮助人们摆脱违反安全准则时通常产生的负罪感。通过这种方式，员工可以在偶尔违规的同时，保持自己遵纪守法的自我形象。

否认伤害是指员工说服自己忽略安全政策不会造成损害，因此破例是可以接受的。既然可以接受，自然不应受到惩罚。

诉诸更高忠诚表现为员工将工作项目或管理者的要求置于安全准则之上。他们明知违反政策是错误的，但将对某人或某事的忠诚视为压倒一切的义务。

推卸责任是员工拒绝为自身行为负责，将行为归因于超出自己控制的情形。他们可能声称不了解具体安全政策，或未接受过相关培训。

功劳簿隐喻这种技巧让员工在心理上计算所有积极行为（如加班或完成指标），并与其偶尔的负面行为对比。如果功大于过，他们就告诉自己偶尔违反安全规定无需愧疚。

必要性辩护是指员工说服自己，在特定情境下被迫采取某种行为，因此并非他们的过错。例如，他们为从互联网上未经授权下载软件辩护，理由是需要在紧迫的截止日期前完成任务。

谴责谴责者涉及批评那些执行和实施安全政策的人，并以此作为忽视规则的正当理由。例如，员工可能认为安全团队不合理或与业务需求脱节，因此他们认为这些政策无效，可以接受忽视。

管理层能做什么？

人们可能会认为，制裁的威胁会让员工在违反公司信息安全规则前三思。不幸的是，对不当行为的制裁正是中和技术如此有效消除的东西。如果有人说服自己，在他们的情境下违反政策并没有错，他们为什么会害怕被抓到或受到惩罚？

但如果制裁不起作用，什么能起作用呢？

首先，安全团队可以通过培训课程直接解决中和技术，解释其使用方式及为何无效。由于许多这些技术是本能反应，将其暴露出来让人们以之前未曾有过的方式审视它们。

在一项研究中，对一家大型跨国公司的87名员工进行了实验性安全培训。其中，21名员工接受了标准安全培训，66名员工接受了额外涉及特定中和技术的培训。

例如，培训师描述了人们如何普遍使用"必要性辩护"来为选择弱密码辩解，认为强密码使用起来过于繁琐。随后培训师讨论了这种观念为何未必正确，并演示了如何选择既安全又实用的密码。另一个例子中，培训师解释了人们如何运用"否认伤害"技巧来合理化使用弱密码无害的观点。接着培训师通过展示黑客如何轻易猜出弱密码以及由此可能引发的损害，证明了这种观点的谬误。

与对照组相比，后一组员工在未来遵守安全政策的意愿显著提高，对中立化技巧的认同度明显降低。这些差异在三周后的跟踪调查中依然存在。

传达信息

其次，若开展培训课程不切实际，组织可在发送给员工的信息中点明中立化技巧。在某项研究中，200名职场专业人士被呈现假设场景：某人使用"必要性辩护"或"否认伤害"的说辞违反安全政策。随后询问他们在类似情境下采取相同行为的可能性。其中半数场景包含直接驳斥特定中立化技巧的信息，例如：“尽管人们认为在某些情况下共享密码不会造成实际后果，但遵守该政策至关重要；任何理由都不应成为共享密码的借口。”

研究结果显示，那些接收到直接驳斥特定中立化技巧信息的人表示，未来在相同情境下违反安全政策的可能性大幅降低。这表明，仅仅意识到中立化技巧背后的谬误就有助于减少其使用。

这些研究的关键启示在于：组织需要明白，中立化是人们的天性，任何威胁和强制手段都无法改变这一点。但管理层可以帮助员工识别并摒弃合理化借口，让他们认识到网络安全政策所发挥的关键作用。

安东尼·万斯是弗吉尼亚理工大学潘普林商学院商业信息技术系的伦茨教授兼联邦网络安全计划研究员。泽伊内普·萨欣是弗吉尼亚理工大学专门研究网络安全人力问题的博士生。联系方式：[email protected]。

本文发表于2023年9月28日印刷版，标题为《为何员工总是忽视职场网络安全规则》。