3 人为错误
心理学家詹姆斯·莱森(James Reason)在30多年的事故和安全研究中发现,人们犯下的几乎所有错误都是可以预测的。它们是潜在故障(组织和当地工作场所条件)和主动故障(人为错误和违规)共同导致事故发生的结果。图2显示了Reason的“瑞士奶酪”安全模型。安全事件的发生是因为威胁通过组织防御系统中的一系列漏洞传播。可能是某人按下了错误的按钮或点击了链接,导致了事件的发生。然而,在此之前还有其他几次失败,导致此人被置于一个似乎是正确的选择却被证明是错误的位置。
|
系统中的潜在可用性故障人们也不能假设所有系统都是从头开始设计的,并且考虑到了可用的安全性考虑。大多数情况下,系统实际上是系统中的系统 (SoS),它源自组合原本独立的系统,这些系统组合在一起以协调特定的服务或任务。已经研究了 SoS 中的集成问题,例如并且必须考虑由于集成期间做出的决策而出现的潜在故障。可用性差和任务疲劳对 SoS 的安全性构成了足够的风险,需要进行前期投资以避免潜在故障。
|
Reason 和他的安全研究同事的工作导致组织被要求负责在发现上游安全问题时解决它们,而不是等待事故发生。未遂事故的概念描述了安全问题变得明显但在最后一刻避免事故的情况。在大多数受安全法规约束的行业中,有义务在发现任何故障后立即报告未遂事故并进行调查——并要求解决通过调查确定的根本原因,以便减少未来的故障。
应用于安全,不遵守安全程序的员工构成主动失败,应进行调查和修复。如果调查显示生产任务和安全需求的冲突导致员工忽视安全,那么这种冲突就是组织需要解决的潜在故障。通常,在事件发生之前,安全不合规性会被忽略。与安全不同,安全没有与之抗衡的积极对手。但是可以通过应用安全概念对当前的安全实践进行许多改进(如第2.1.2节所述)。
![网络安全知识体系1.1人为因素(六):人为错误]( "网络安全知识体系1.1人为因素(六):人为错误")
正如在2.1.2节中已经提到的,人们经常执行的任务是自动执行的,而他们第一次或很少执行的任务是有意识的、逐步执行的。2002 年诺贝尔经济学奖得主、心理学家丹尼尔·卡尼曼 (Daniel Kahneman) 描述了系统 1 和 2 这两个领域,以及它们的工作方式,即快速思考和慢速思考。一个非常重要的见解是,人们进行的大多数活动都是在系统 1 模式下进行的,这就是我们高效的原因。如果人们在系统 2 模式下进行大部分活动,他们将不会完成太多工作。劝勉“拿五个” 5当人们收到数十封带有嵌入式链接的工作电子邮件时,每次点击链接之前都是不现实的。此外,如果不点击该链接或提供个人信息,就无法完成主要任务,生产力就会受到严重威胁。不具体的建议,例如“停止
图 2:Reason 的“瑞士奶酪”模型的安全版本。漏洞是潜在的和主动的故障。当威胁在连续层中找到一个威胁时,威胁就成功了。“奶酪片”是安全策略和机制提供的防御。
并且认为“很少奏效,因为仅仅阻止人们前进,而不支持他们安全地实现目标是没有帮助的。”此外,考虑到安全措施的工作量,安全专家需要考虑遵循他们的建议对人们完成主要任务的能力的进一步影响,以及对组织和员工之间一般沟通的有效性的影响。例如,使用基于域的消息身份验证报告和一致性(DMARC)应该使员工能够区分真正的内部通信和潜在的网络钓鱼企图。使用DMARC提供“安全”发件人的可靠指示,可以减少用户必须谨慎处理的电子邮件数量。更好的是,现在可以使用的超安全浏览技术意味着点击链接不会产生负面的技术后果,因此用户教育和培训可以专注于解释社会工程和操纵技术。
在处理复杂问题时,人类通常必须将快速和慢速过程结合起来,并且存在一种介于两者之间的混合模式,其中任务执行不是全自动的:一些行为是自动的,但需要停下来有意识地确定选择哪种行为。除了生产力成本,安全专家建议人们应该“停下来思考”假设“慢模式”等于“安全模式”。例如,使用慢速模式还可能导致过度思考、合理化或解释证据、带来不相关的担忧、关注错误的目标(例如,生产目标)以及浪费大量时间和精力。事实上,这些操作模式中的每一种都带有自己的人为错误类型(表1)。
|
|
|
|
|
|
自动模式
(快速)
|
疏忽和失误
|
识别失败
内存故障
注意力衰竭
|
“在输入信用卡详细信息之前,我忘了检查挂锁。”
|
|
混合模式
|
错误一
|
人类选择了错误的反应
|
“我没有检查挂锁,因为我的iPhone上的网站是安全的。”
|
|
意识模式
(慢)
|
错误二
|
人类不知道正确的反应
|
“在输入信用卡详细信息之前,我不知道要检查挂锁。”
|
![网络安全知识体系1.1人为因素(六):人为错误]( "网络安全知识体系1.1人为因素(六):人为错误")
即使在有意识的模式下,人们也会努力提高效率,诉诸“他们所知道的最接近的事情”,也就是说,他们最有可能选择他们经常使用的行为,或者那些看起来与他们遇到的情况最相似的行为。攻击者通过创建外观非常相似的网站或将安全消息合并到他们的网络钓鱼电子邮件中来利用这一点。
Reason 确定了四种更可能导致人们犯错误的潜在故障。
1、个人因素包括疲劳(如第2.1.2节所述),但也包括缺乏经验和冒险态度。
2、人为因素包括记忆的限制(如第2.1.1节所述),但也包括常见的习惯和广泛共享的假设。
3、任务因素包括时间压力、高工作量和多项任务,但单调和无聊同样会导致错误,因为人们将注意力转移到消遣上。角色、职责和规则的不确定性也会导致错误的选择。
4、工作环境因素包括任务中断(如第2.1.2节所述)以及设备和信息不佳。当规则和程序发生变化时,人们也特别容易出错。
|
任务和工作环境因素显然是组织的责任。应该定期审查政策的执行情况。如果不是,则必须确定并解决根本原因。未遂事故的原因,即发生但未导致事故的错误,应类似地用于识别和改变根本原因。我们还需要更好地了解人类在压力条件下的反应,例如,在面临展开的攻击时的实时反应。
“永远不要发布无法遵守的安全政策”(或:麦克阿瑟将军,影子安全和安全卫生)著名的二战军事领导人道格拉斯·麦克阿瑟将军创造了一句话“永远不要发布无法遵守的命令”他认识到,一项在现实中无法执行的单一命令会产生腐蚀性影响,它会破坏所有命令和发布命令的上级的信誉,并滋生不确定性和怀疑。安全政策也是如此:当员工遇到无法遵守或明显无效的安全政策时,它为怀疑所有安全政策提供了理由。这就是为什么安全卫生至关重要。当政策没有得到遵守时,安全专业人员必须以非对抗性的方式调查原因,如果是因为他们不可能或过于繁重而无法遵循和重新设计解决方案。Kirlappos等人指出,在大多数情况下,员工不会表现出对安全的公然漠视,而是试图以他们所知的最佳方式管理风险,即所谓的影子安全。从安全角度来看,他们的“业余”安全解决方案可能并不完全有效,但由于它们是“可行的”,因此询问“我们如何使其安全”是找到适合人们工作方式的有效解决方案的良好起点。
|
网络安全知识体系1.1人为因素(一):了解安全中的人类行为
网络安全知识体系1.1人为因素(二):可用的安全性——基础
网络安全知识体系1.1人为因素(三):可用的安全性——目标和任务
网络安全知识体系1.1人为因素(四):可用的安全性——交互上下文
原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1人为因素(六):人为错误
评论