每年9月份第三周是我國的國家網(wǎng)絡(luò)安全宣傳周,是由中央網(wǎng)信辦會同多個部委聯(lián)合舉辦的國家級網(wǎng)絡(luò)安全意識與文化宣傳活動。自2014年舉辦首屆活動以來,已經(jīng)走過十屆。除了國家級活動,各行各業(yè)也在積極響應(yīng)國家號召,大力營造“網(wǎng)絡(luò)安全,人人有責,人人可為”的良好氛圍。
不可否認,這些年政府、社會、企業(yè)多方聯(lián)動,對于提升社會公眾/員工的安全意識水平起到了一定的積極作用。但回首走過的十年,我們不禁要反思:年復(fù)一年的宣傳周活動真得人人參與,人人受益了嗎,還是安全圈一廂情愿的一時熱鬧?公眾/員工的網(wǎng)絡(luò)風險行為在活動結(jié)束后真得有效降低了嗎?還是只留下了一堆活動禮品?本文試圖從行為學(xué)及文化角度探索網(wǎng)絡(luò)安全宣傳周活動成敗的因素。
意識到,行為就到了嗎?
但凡提升意識類紀念日或宣傳活動,例如:無煙日、安全周、反詐月等等,其最重要的目的都是影響行為(改變不良的行為或養(yǎng)成良好的行為),而不僅僅是傳播知識。細心的專業(yè)人士不難發(fā)現(xiàn),在網(wǎng)絡(luò)安全宣傳周期間,互聯(lián)網(wǎng)上及微信公眾號上發(fā)表或轉(zhuǎn)發(fā)的相關(guān)內(nèi)容(視頻、海報、信息長圖等)大多是雷同、單調(diào)或陳舊的知識性內(nèi)容,且缺少原創(chuàng)性。如果宣傳材料是足夠有趣的、實用的、新穎的、可操作性強且通俗易懂的,那么這些知識性內(nèi)容對于彌補受眾的信息差或認知差可能會有一定作用。然而,有效的行為影響需要的絕不是一遍又一遍地告知人們風險是什么、應(yīng)該做什么、不應(yīng)該做什么(在如今信息大爆炸時代,人們?nèi)钡牟皇侵R)。
安全意識、安全培訓(xùn)和安全教育,是三個不同層面的概念,其對象、目的和實施策略都不盡相同。但由于中文的表達習(xí)慣,我們通常說成安全意識培訓(xùn)或安全意識教育。參考NIST相關(guān)標準的定義:“安全意識不是安全培訓(xùn),安全意識活動的目的是使受眾將注意力聚焦于安全,以識別安全風險并做出相應(yīng)的響應(yīng)。”換句話說,人們不僅需要意識到可能的安全風險(意識或知識層面),還需要相應(yīng)地采取行動(行為層面)。以電信詐騙為例,大多數(shù)人都有一定的防范意識,知道一些方法,但往往會心存僥幸或過于自信,認為電信詐騙這么低級的圈套自己是不可能上當?shù)摹H欢F(xiàn)實生活中當真正發(fā)生在自己身上時,由于被詐騙分子“操控”,人們可能并不會按以前學(xué)到的正確知識行事(如出于信任或礙于面子問題等,而執(zhí)意選擇匯款而未第一時間報警)。
影響行為的九大關(guān)鍵因素
英國行為科學(xué)家~Paul Dolan教授在將行為經(jīng)濟學(xué)應(yīng)用于理解并改變個人行為領(lǐng)域頗有研究,他曾提出了影響行為的九個關(guān)鍵因素,即:
信使(Messenger:傳達信息的人);
激勵(Incentives:人們對于激勵的反應(yīng)是由可預(yù)測的心理捷徑塑造的,如損失厭惡);
社會規(guī)范(Norms: 他人如何強烈地影響我們);
默認選項(Defaults:我們遵循預(yù)設(shè)的選項);
顯著性(Salience:與我們相關(guān)的東西通常會引起我們的注意);
啟動效應(yīng)(Priming:我們的行為經(jīng)常受到潛意識線索的影響);
情感(Affect:情感關(guān)聯(lián)可以有力地塑造我們的行為);
承諾(Commitment:我們尋求與自己的公開承諾保持一致,并采取相應(yīng)的行動);
自我(Ego:我們的行為方式使我們自我感覺良好)。
這些因素暗示了影響個體或群體行為改變的關(guān)鍵在于“心理機制”,它是人們做出任何決策的核心。網(wǎng)絡(luò)安全領(lǐng)域也不例外,這些“心理機制”會影響公眾/員工采用安全周活動所建議的安全知識并采取相應(yīng)行動的動機。安全周活動可以根據(jù)以上因素巧妙地設(shè)計一些環(huán)節(jié),潛移默化影響公眾/員工的思想方式和行為方式。
影響行為的個人因素
為推進行為變革,需要確定當前的行為影響來源(個人的、環(huán)境的或社會的)。個人對網(wǎng)絡(luò)安全的知識、技能和理解,以及他們的經(jīng)歷、看法、態(tài)度和信仰,是影響他們行為安全與否的主要因素。其中,個人動機和個人能力是影響最強的兩個來源,人們會根據(jù)自己是否有能力完成要求的事情以及付出的努力是否值得來做出相應(yīng)決定。在很多情況下,需要解決的是“知與行”之間的差距問題。為了形成新的行為習(xí)慣,不得不突破現(xiàn)有的思維模式。
人們有時會對安全制度和流程感到厭煩,特別是當員工認為安全控制措施有礙于他們完成手頭的工作任務(wù)時(例如,無法訪問外網(wǎng)、無法外發(fā)郵件、無法拷貝文件、不得下載好用的第三方軟件、系統(tǒng)頻繁要求更換密碼、難以識別歪歪扭扭/模糊不清的驗證碼等),人們就會想辦法繞過管控措施,而且理所當然地將自己的違規(guī)行為解釋為為了提升工作效率。另外,安全意識宣傳材料中時常使用“不得、不要、禁止、嚴禁、切勿”等否定性、震懾性詞匯,給員工帶來的是消極暗示和壓力。久而久之,上述這些“安全摩擦”會讓員工產(chǎn)生“安全疲勞”,從而忽視安全制度和建議的安全行為,甚至產(chǎn)生對抗情緒,對整個組織健康的安全文化極為不利。另外,感知控制(掌控感)也很關(guān)鍵,即人們感覺自己擁有的控制量,而不是他們實際控制的量。感知控制的積極效應(yīng)主要體現(xiàn)在個體可以通過自身努力改善自身狀況的情況下,而且,實際安全威脅越大,感知控制所能發(fā)揮的價值就越大。人們的大腦是極度喜歡掌控感的,而在網(wǎng)絡(luò)安全領(lǐng)域,員工的感受往往是被高度管控的,被動的接受,缺少信任和賦能,而沒有多少自由和掌控感。久而久之,即使面臨安全威脅,“不作為”或“無力感”也就成為了員工的常態(tài)。在安全周活動中加入以激勵而非懲罰為目的的釣魚演練,加入動手實操的互動環(huán)節(jié)等等,可以增強員工的掌控感和自我效能感。
影響行為的文化因素
文化與社會因素也會對產(chǎn)生安全行為帶來積極影響。在設(shè)計安全意識宣傳信息和培訓(xùn)材料時,企業(yè)文化是重要的考慮因素之一。當安全意識宣傳信息、海報、視頻等內(nèi)容與組織現(xiàn)有的企業(yè)文化匹配度高時,通常會更受員工歡迎。
一個社會或組織的文化系統(tǒng)塑造了人們的各種心理過程。由內(nèi)在動機引發(fā)的行為源于自我(從內(nèi)心自動自發(fā)的興趣、求知欲或好奇心等),并以參與一項活動的享受和滿足為標志。相反,外在動機是指為了達到某種工具性目的(如獲得獎勵或避免懲罰)而從事某項活動的動機。當安全周活動與公眾或員工的認知、情感或動機特征等相匹配時,活動效果往往會更好。
另外,在設(shè)計和策劃安全周活動時需要意識到不同組織的安全文化特征與差異性。從管控嚴格到管控寬松,從注重外部到注重內(nèi)部,一家組織的網(wǎng)絡(luò)安全文化大致可以分為四種:流程文化、合規(guī)文化、信任文化與自主文化。在自主文化中,員工更傾向于根據(jù)一些內(nèi)在屬性(如獨立、創(chuàng)新和個人發(fā)展等)來定義成功。在網(wǎng)絡(luò)安全文化宣傳活動方面,在自主型文化中使用的信息往往會更側(cè)重于安全對于個人的好處。而在合規(guī)型文化中,員工更傾向于根據(jù)遵從、保守、集體利益等來定義成功。在這種組織安全文化背景下,員工傾向于以大局為重,避免導(dǎo)致組織陷入不利的個人行為。
總結(jié)
在網(wǎng)絡(luò)安全宣傳周活動中,簡單地重復(fù)宣導(dǎo)關(guān)于網(wǎng)絡(luò)安全最佳實踐的知識性信息是遠遠不夠的。活動的成功不能以人們知道什么或不知道什么來衡量。在知識性測試或競賽中選中正確答案,并不意味著個人會在實際工作中采取相應(yīng)行動。
轉(zhuǎn)自超安全
