人为错误：网络安全的最大隐患！？

人为错误或人性的弱点，是网络安全的最大隐患及薄弱环节。网络安全的攻防对抗，实质上就是两端人力的较量。2020年RSA大会的主题设定为“人的因素”（Human Element）也是基于这一共同认知。据英国信息专员办公室（ICO）的研究，2019年人为错误导致了90％的数据泄露，比2018年的87％和2017年的61％有所增加。

英国Tessian公司发布的一份《人为错误心理学》调查报告显示，43%的员工在工作中曾犯过错误，导致出现网络安全问题，对他们自己或他们的公司产生影响。研究认为，人为错误是当今数据漏洞的主要原因，并分析了为什么人会犯错误，以及如何在错误变成漏洞之前加以预防。图1中显示，33%人确定自己的错误导致了公司网络安全的影响，可能没有造成影响的占24%，而对此问题不确定的占33%。

基于决策的错误是指用户做出错误的决策。可能有许多不同的因素在起作用：它常常包括用户没有必要的知识水平、没有关于特定情况的足够信息、或者甚至没有意识到他们是通过他们的不作为来做决定。

造成错误地址电子邮件的主要原因是疲劳（43%)，其次是分心(41%）。57%的受访者说他们在家工作时更分心，突然转向远程工作可能会使企业更容易受到人为错误造成的安全事件的影响。

不幸的是，黑客攻击了正是利用了这个弱点。因此，企业需要对员工进行教育，让他们了解黑客在这段时间里如何利用他们的压力，以及可能由人为错误造成的安全事件。图2表明，发送错误地址的邮件造成的后果，由高到底依次是：组织不得不通知客户(41%)、出错的员工必须发致歉邮件（36%）、组织推动了客户（20%）、隐瞒不报告事件（16%）、丢掉工作（12%）、即使报告也无动于衷（12%）。

• 18-30岁的员工中有一半说他们犯了损害公司网络安全的错误，而51岁以上的员工中只有10%；
• 在18-30岁的人中，65%的人说他们发错了邮件，而在51岁以上的人中，这一比例为34%；
• 70%承认点击钓鱼邮件的员工年龄在18-40岁之间。相比之下，在51岁以上的人中，只有8%；

• 如图3所示，科技行业的员工最有可能点击网络钓鱼邮件中的链接，该行业47%的受访者承认他们曾经点击过。银行和金融部门的雇员紧随其后（45%），紧随其后的是业务咨询、卫生健康、零售、工程和制造业、公众服务、教育培训和慈善。

研究还显示，男性因网络钓鱼被诈骗而中招的可能性是女性的两倍，男性受访者中有34％的人说他们单击了网络钓鱼电子邮件中的链接，而女性受访者中只有17％的人。

Tessian首席执行官蒂姆.萨德勒(Tim Sadler)表示，“网络安全培训需要反映这样一个事实，即不同的时代都以不同的方式通过技术来实现成长。期望每个员工都能100%地发现一个骗局或做出正确的网络安全决策也是不现实的。为了防止简单的错误演变成严重的安全事件，企业必须在人的层面优先考虑网络安全。这需要了解员工个人的行为，并利用这种洞察力调整培训计划和策略，使有效的网络安全实践真正产生共鸣。”