为何员工会中招钓鱼邮件？起决定作用的是安全文化，而不是安全培训

反复培训，可以降低钓鱼中招率吗？

安全意识培训依然很重要！但是，如果仅仅是停留在知识传播层面(反复告诉员工什么是钓鱼、该做什么、不该做什么)的简单重复，然后便想当然地认为员工在下一次面对真实钓鱼邮件或模拟钓鱼邮件时能够做出明智的安全决策，那么，你会发现安全意识培训几乎起不到多大作用。因为，员工缺少的并不是反钓鱼知识，攻击者在钓鱼攻击中实施的是“心理战”，员工屡屡中招钓鱼攻击的主要原因包括：认知偏差、情绪操控和社会身份等因素，而那些拥有坚定安全信念和自我效能感的员工，往往不会被攻击者轻易拿捏。

大多数数字行为的核心是更深层次的力量：信念、价值观、群体规范和环境氛围等。人们不是在真空中工作的，他们在系统内行动，而这个系统是由领导承诺、团队影响、心理安全感以及行为规范形成的。安全文化不是虚无缥缈的幻影，而是影响人们行为的底层操作系统。一些研究也证明了这一点：2023年Gartner的一项研究发现，与那些只注重安全培训的组织相比，拥有成熟安全文化的组织经历的“人为错误”相关安全事件减少了45%。

如果组织内钓鱼中招事件频频发生或钓鱼模拟演练中招率居高不下，我们有必要反思一下：

• 员工应对钓鱼邮件攻击的自我效能感如何？员工被充分赋能了吗？

• 员工的高风险行为是得到理解、辅导和纠正，还是仅仅以罚了之？

• 员工上报可疑钓鱼邮件的行为被视为理所当然，还是被肯定和表扬？

• 企业文化是鼓励员工挑战权威，还是顺从服从？是鼓励创新尝试，还是墨守陈规?

• 收发邮件时小心谨慎一些是值得肯定的行为，还是被视为拖慢工作进度，影响工作效率？

当有员工点击了钓鱼链接，下载了附件或扫描了二维码时，可能并不是因为他们没有接受过相关安全培训，而是在现有企业文化环境之下，员工表现出了有悖于最佳安全实践的的风险行为，理解这种深层影响是真正改变的起点。

风险行为背后的深层文化因素

想要降低真实钓鱼攻击及钓鱼模拟演练中招率，改善风险行为，并提升组织网络弹性？需要跳出表象看本质。

真正改变行为的，不是知识系统，而是“信念系统”和“规范系统”。不是懂了什么，而是信了什么。在人为因素风险管理和网络安全文化建设中，规范指的是指导员工行为的成文或约定俗成的一套规则-例如：哪些安全态度/价值观/行为是组织倡导的、什么是可接受的安全思维方式和行为模式、什么是值得奖励的，哪些是不安全的、不提倡的、值得批评或处罚的等等，这些规范影响着组织内每一个个体的信念。许多理论，包括社会控制理论、计划行为理论和技术接受模型都强调了社会环境对个人态度和信念的影响。在工作环境中，规范影响着员工如何做出决策，如何讨论风险，以及个人在压力下的行为表现。这些潜在的文化影响有着强大的行为约束力。如果组织的网络安全文化建设工作没有考虑到这些因素，很可能会偏离轨道。

一些最容易被忽视但却至关重要的规范性因素包括：

• 行为规范与价值观：什么样的行为方式和价值观是值得期待或值得推崇的？员工会因为在处理邮件时小心谨慎，仔细辨别钓鱼邮件线索得到认同吗？

• 挑战、质疑与决策：员工是否被鼓励挑战权威或服从权威？适当质疑与批判精神是否被倡导，还是过度信任？是否鼓励员工积极上报风险，还是隐瞒风险？

• 风险容忍与规则遵守：员工偶尔中招钓鱼邮件或无意中犯了人为错误，是被一味惩戒，还是被适度包容？员工认为安全合规(遵守安全制度)是一种束缚，会影响工作效率，还是理解安全与便利、安全与效率的平衡？

• 个人主义与集体主义：是鼓励员工只要保证自己不中招就行，还是鼓励员工顾全大局，及时上报钓鱼邮件？鼓励员工自行解决，还是及时求助？

这些因素因团队、部门和公司而异。对于全球性或集团型组织来说，没有充分考虑个性化和差异化的“一刀切式”的安全意识与培训计划、以及安全行为与文化计划，往往收效甚微。

要建立一个强大的数字风险文化，组织必须考虑：哪些现有规范和信念在起作用？哪些规范和信念会阻碍安全行为的发生？扎根于这些更深层次的文化洞察，安全意识与培训计划及安全行为与文化计划才能更顺畅地在组织内推行，随着时间的推移，产生的摩擦和疲劳才会更少。

安全行为在支持性环境中成长

一切行为的背后都有它的动机和需求，而文化是动机背后的重要影响因素。文化不仅塑造了个体的价值观和行为，还在很大程度上影响了人们的动机和决策。员工是否点击钓鱼链接或下载恶意附件，并不一定是与是否接受过适当的安全培训有关，还可能受其他因素影响，例如：身体疲劳、注意力不集中、工作压力太大、责任心不足、过于追求效率而忽视风险、过于信赖邮箱系统的安全性、过分自信可以精准识别钓鱼邮件、担心中招后上报风险会被处罚等等。

在这一切的背后是文化层面的因素，人们的行为方式和思考模式是文化的投射。文化决定了什么样的行为在组织内会持久存在下去，什么样的行为只是一时之风。如果员工的安全行为仅仅是靠反复提醒、强迫遵守和限制处罚来维系，那么它们很可能会在压力之下或在无人监督的情况下消失。

停止生硬措施，开启弹性文化

在超安全服务过的一些企业中，我们发现很多安全意识与培训计划对员工风险行为的反应是生硬的、对抗性的：更多的安全培训、更严格的安全控制或更严格的安全策略。但是，如果不首先了解员工产生这风险行为背后的内在动机和文化环境因素，这些干预措施就很有可能是短暂的或无效的。人为因素风险管理的有效性不在于重复，不在于强制，而在于相关性。只有当安全行为与文化计划植根于行为背景、文化洞察力和对员工实际工作环境的感同身受时，相关性才会出现，员工才会真切感受到安全行为与文化计划对自己的收益。

有效的网络安全文化建设需要通过在上下文背景中观察员工风险行为，了解其背后的文化驱动因素，并针对风险优先级向个人及团队提供个性化支持。不是通过重复或惩罚，而是通过规范、相关性和正向强化，组织才有可能从初级的安全培训向更成熟的文化转型迈出坚实的一步。人为因素风险管理是一个文化问题，不要只关注表象的钓鱼中招率，真正的问题是：中招率背后的安全文化是怎样的？如果您的组织也计划或开始着手塑造网络安全文化，欢迎联系超安全！超安全通过科学评估、行为分析和“以人为中心”的理念，助力组织打造更加成熟的网络安全文化。

原文始发于微信公众号（超安全）：为何员工会中招钓鱼邮件？起决定作用的是安全文化，而不是安全培训