从一场舆论漩涡，看钓鱼模拟演练的“反噬”

近日，某银行安全合规主管向超安全咨询，遇到以下情况，该如何破局？

简单归纳上图中爆料员工的不满：辽宁某大行把员工最朴素的端午节节日福利期待邮件，变成了一场“陷阱测试”~美其名曰：信息安全演习的钓鱼邮件，中招的人员工还被“全行通报”。这名员工表达了强烈的质疑和愤怒：这家银行还有人性吗？员工的尊严值几分？这种“钓鱼演习”是玩弄信任，破坏员工关系，是妥妥的整人，是纯纯的恶意！这不是信息安全，这是人性的冷漠和无耻！多让员工失望和伤心！管理层多么冷血！

作为甲方安全团队或提供钓鱼模拟演练服务的乙方供应商，你是否遇到过或考虑过钓鱼演练的“反噬效应”？笔者曾在某大型金融集团主导钓鱼模拟演练、网络安全意识教育和网络安全文化建设工作，也曾碰到过类似情况，深有体会！

钓鱼模拟演练，并没你想象的那么容易！

为了应对不断演变的钓鱼攻击和HW大考，许多不同行业的政企单位都已经不同程度地开展了常态化钓鱼模拟演练活动。以期通过“培训（基线性）--->钓鱼（摸底性）--->再培训（针对性强化）--->再钓鱼(难度升级)”的持续循环，不断提升员工的反钓鱼意识，和精准识别与响应钓鱼邮件的能力。

钓鱼模拟演练，是典型的看起来门槛不高，入门见山，似乎谁都能搞好几次演练，但真正跨入专业门槛之后，会发现其实还有很多障碍和高峰需要攀爬。钓鱼模拟演练之道，是一门学问，也是一门艺术。如果演练策略使用不当，沦为“为了钓鱼而钓鱼”的形式主义，不仅会让员工感到沮丧，产生抵触心理(感觉被“捉弄”，中招后“没面子”)，使得员工与安全团队的关系紧张，甚至破坏员工与组织的信任关系，演练效果适得其反。

演练带来的一系列“反噬效应”，足以让一些企业望而却步：钓也不是，不钓也不是。过于令人信服或过于频繁的钓鱼演练，可能会导致心理压力和影响业务运营，而过于温和或次数过少的模拟演练，又可能会使员工对真实的钓鱼威胁准备不足（风险感知和敏感性不足，钓鱼不过如此，产生侥幸心理或盲目自信）。

另外，克服来自公司内部其它利益相关方的阻力和不理解，也是一件极具挑战的事情，对于钓鱼演练的“最强反对声音”有可能来自领导层或话语权更高的业务部门，他们可能会认为钓鱼演练是“得不偿失”的，会影响业务正常运营，会对现有企业文化带来负面影响，会破坏员工关系、信任和满意度，会不利于团结友爱的和谐局面等等。

钓鱼演练的破局之道：“以人为本”

钓鱼演练的目的应该是为全体员工赋能，增强员工的自我效能感，更好地发挥每一名员工作为“最后一道”安全防线的积极作用，从而与安全团队形成高效的“联防联控”！

对于文章开头引用的真实案例，笔者建议从以下四个方面“破局”：

1.通知策略，改为提前通知(公开透明地告知演练周期，但不告知具体日期)，而不是搞“突然袭击”，“单向奔赴”的钓鱼演练往往拿不到想要的结果。实践证明，确保员工的知情权，是一个更佳的钓鱼演练策略。

2.沟通策略，对于钓鱼演练的目的和意义，需要做大量的内部沟通和宣传工作。搞演练是为员工赋能，为了员工个人及公司利益，而绝不是“整人”或利用安全与合规的旗号进行“权利变现(展示权利欲和优越感)”。从短期来看，演练确实会带来一些阵痛和不满，但长期来看，会使企业的安全防线更牢固，业务经营更稳健。

3.模板策略，尤其是涉及员工福利类或冒充公司内部其他部门的钓鱼，一定要特别谨慎，提前与相关利益方沟通，获得认可与同意。虽然真实的钓鱼攻击不会考虑员工关系与信任，反而会肆无忌惮地利用和操纵员工情绪，但在企业内部毕竟是搞演练，钓鱼模板的难度等级、分寸把握和可能负面影响还是需要慎重评估。

4.游戏化策略，把钓鱼演练变为一场“全员游戏”，把着重通报批评改为“正向激励”。看谁能主动发现可疑邮件，及时并精准上报钓鱼风险。并配套相应的激励机制，可以是个人和团队排行榜/积分/徽章，颁发“反钓鱼达人”证书，或是一封公开的表扬信，或是实物形式的具有安全元素的小礼品等等，及时认可表现优秀的员工。

对于此次某行钓鱼演练引发的舆论风波，您怎么看？欢迎后台留言或加入私享群，一起交流探讨。

结束语

是时候改变传统的钓鱼演练策略了！安全团队提前在组织内部做好双向及多向沟通，确保员工对于钓鱼演练的知情权和获得掌控感，使员工以最舒服的方式和最愉悦的状态迎接钓鱼演练，有助于提升演练实际参与率和有效性，得到更真实的演练指标数据。

只有责难和通报而没有激励和认可的钓鱼演练，效果会大打折扣。当每个人都觉得自己在为结果的改变做出贡献，任何员工都可以成为良性循环的一部分时，员工就越有可能发挥个体能动性，越有信心识别和应对钓鱼威胁，从而个体能动性促进集体能动性，在正向增强回路下形成“复利效应”的势能，更有效地抵御网络钓鱼攻击。

更多有关“以人为本”的钓鱼模拟演练策略及实战指导，欢迎咨询超安全！

欢 迎 加 入 超 安 全 文 化 进 化 私 享 群！

分享 · 赋能 · 共进

• 私享群定位：超安全文化进化私享群是安全圈唯一一个面向网络安全意识宣贯与培训、人为因素安全风险管理、网络安全文化建设专业人士/研究者/兴趣爱好者的高端社群。

• 私享群愿景：让“人的因素”不再成为安全短板，让员工成为“最强大”的一道防线，让网络安全文化入脑、入心、入行！

入群方式详见：欢迎加入超安全文化进化私享群，一步领先，步步领先！

原文始发于微信公众号（网空闲话plus）：钓鱼演练到底该怎么搞？安全意识如何破局？