《华尔街日报》:网络安全培训中讲故事的力量

Rick Wash

企业已投入数百万美元培训员工防范网络钓鱼,但很大程度上收效甚微。

他们应该考虑一种强大却未被充分利用的武器:讲故事。

近期撰文探讨了许多公司用于培训(或者说威慑)员工提升网络警惕性的"钓鱼测试"。这些测试会发送虚假钓鱼邮件,并统计点击人数。但我的研究表明,这类测试实际上可能适得其反——它们会在员工中制造恐惧、压力和猜疑,最终对提升反钓鱼能力收效甚微。

文章发表后,许多读者提出了一个简单的问题:如果钓鱼测试无效,什么方法有效?

我认为更有效的培训方式是让同事分享亲身经历的诈骗故事。人类天生具备从他人故事中学习的能力——即便是闲聊中随口提及的轶事。我的相关研究证实了故事在网络安全教育中的显著效果:当人们听闻他人遭遇钓鱼攻击或侥幸脱险的经历后,会更严肃对待安全问题,并避免重蹈覆辙。

突破认知障碍

需要说明的是,我并非主张完全摒弃传统培训。试想:整天与电子邮件打交道的工作人员必须掌握防范钓鱼攻击的基本知识。

但这种培训的效果并未达到其应有的水平,因为在某种程度上,它过于表面化,在真正忙碌时很容易被遗忘或忽视。相比之下,好的故事通过将安全与个人经历联系起来,让你深刻理解为何需要谨慎。当同事讲述一个警示故事时,我们能在其中看到自己的影子,从而更深刻地吸取教训。

例如,雇主提供的标准钓鱼邮件建议常常脱离实际情境,笼统地告诫人们“警惕邮件中的紧急诉求”。但当你收到的每封邮件都要求立即处理时,这条建议又意味着什么?而一个故事可以描述你认识的人如何因为点击了“需立即操作”或“您的包裹被暂存”的链接导致信用卡被盗。哪种方式更能让你警醒并引起重视?

要理解故事的强大影响力,不妨参考我与Emilee Rader及Brandon Brooks合作的研究。在我们访谈的700人中,近半数曾听过关于电脑病毒、账户入侵、身份盗窃以及钓鱼攻击等事件的故事。

关键的是,这群人中四分之三表示从这些故事中学到了重要的网络安全知识,超过一半的人因此改变了思维方式和行为习惯。

例如,有人讲述了她室友的故事:室友发现Facebook Messenger上有多个陌生的聊天窗口,有人冒充她向朋友和同事索要个人信息——那些通常用于“奇怪的安全问题”的细节。这位室友不得不修改密码,并警告所有联系人他们可能也已遭到黑客攻击。

当一个人听到同龄人的故事时,更容易将自己代入那种情境。插图:乔恩·克劳斯研究中的女性表示,在听完室友的经历后,她学会了"不要向任何人透露你的信息,即使他们是你的朋友"。

我们发现,这样的故事之所以能引起共鸣,有多种原因。首先,个人化的讲述至关重要。64%报告听过这类故事的人是从朋友和家人那里听来的。70%的故事是在家庭或朋友家等非正式场合听到的,且主要通过面对面交流传播。

明确传达教训的故事效果尤为显著:这类故事让听众改变想法和后续行为的可能性比其他故事高出20个百分点以上。例如,室友的告诫之所以有效,是因为听众听到了具体问题及其解决方案。

相反,那些被认为没有教育意义——或说教失败——的故事则无法引发共鸣。比如,讲述者可能没有提供足够细节说明如何避免问题,或者故事对听众缺乏适用性。又或者教训过于浅显(如"不要在网上做违法的事以免被黑客攻击")而显得不值一提。

无论这些故事是否改变了人们的行为,它们往往会被反复传播,从而可能影响更多人。总体来看,45%的听众会向他人转述这些故事。平均每个故事会被传播给两个人,但有24%的转述者会将故事告诉四个或更多人。

职场故事的力量

企业能从这一洞察中获得什么启示?网络安全"专家"给员工的训导,其效果远不及同事亲身经历的故事来得深刻。

试想,你在网络安全培训中会重复专家的话多少次?对大多数人而言,答案恐怕是零。

这是因为专家的故事常被视作批评而非教育。安全专家也因对潜在风险"狼来了"式的警告而闻名。当人们听到同龄人的故事时,更容易产生代入感:“这可能会发生在我身上”,从而更专注吸取教训。

此外,听闻同事成功避开钓鱼陷阱的故事,能帮助人们意识到自己确实具备识破骗局的能力。许多人误以为只有技术极客才能应对钓鱼攻击,同侪的亲身经历会让人产生"我也能做到"的信心。

在与莫莉·库珀的合作研究中,我们设计了在培训网页展示故事的钓鱼测试。故事描述某员工收到伪装成IT部门的钓鱼邮件后点击链接,最终不得不重置账户密码。核心教训是:点击前务必悬停检查链接真实性。

测试中,我们向读者呈现同一故事的两种版本:一个标注为安全专家撰写,另一个标明是普通员工经历。结果显示,阅读"同事版"故事的受试者点击钓鱼邮件比例为24%,显著低于"专家版"34%的点击率。

让同事参与进来

鉴于同事间讲述故事可能产生的强大影响力,研究人员已开始探索如何最有效地实施这一策略。

一种可行的方法是招募普通员工作为安全倡导者,在组织内部推动网络安全。这些倡导者有时是技术专家,但更多时候只是对安全感兴趣的普通员工。正是这种身份使他们的故事讲述更具可信度和说服力。

研究发现,倡导者善于消除"公司安全建议令人恐惧/困惑/无聊"的成见。他们以坦诚的态度讨论风险,提供实用建议,展现热情,并通过故事引发共鸣。

这一理念前景广阔。人们已经在互相分享钓鱼邮件的故事,从中学习应对骗局的经验。职场反钓鱼培训的最佳方式,正是鼓励员工彼此分享这些真实经历。

里克·沃什 是威斯康星大学麦迪逊分校信息学院的副教授。联系方式:[email protected]

出现在2023年11月27日的印刷版中,标题为’讲故事在网络安全培训中的力量’。