每年9月份第三周是我国的国家网络安全宣传周,是由中央网信办会同多个部委联合举办的国家级网络安全意识与文化宣传活动。自2014年举办首届活动以来,已经走过十届。除了国家级活动,各行各业也在积极响应国家号召,大力营造“网络安全,人人有责,人人可为”的良好氛围。
不可否认,这些年政府、社会、企业多方联动,对于提升社会公众/员工的安全意识水平起到了一定的积极作用。但回首走过的十年,我们不禁要反思:年复一年的宣传周活动真得人人参与,人人受益了吗,还是安全圈一厢情愿的一时热闹?公众/员工的网络风险行为在活动结束后真得有效降低了吗?还是只留下了一堆活动礼品?本文试图从行为学及文化角度探索网络安全宣传周活动成败的因素。
意识到,行为就到了吗?
但凡提升意识类纪念日或宣传活动,例如:无烟日、安全周、反诈月等等,其最重要的目的都是影响行为(改变不良的行为或养成良好的行为),而不仅仅是传播知识。细心的专业人士不难发现,在网络安全宣传周期间,互联网上及微信公众号上发表或转发的相关内容(视频、海报、信息长图等)大多是雷同、单调或陈旧的知识性内容,且缺少原创性。如果宣传材料是足够有趣的、实用的、新颖的、可操作性强且通俗易懂的,那么这些知识性内容对于弥补受众的信息差或认知差可能会有一定作用。然而,有效的行为影响需要的绝不是一遍又一遍地告知人们风险是什么、应该做什么、不应该做什么(在如今信息大爆炸时代,人们缺的不是知识)。
安全意识、安全培训和安全教育,是三个不同层面的概念,其对象、目的和实施策略都不尽相同。但由于中文的表达习惯,我们通常说成安全意识培训或安全意识教育。参考NIST相关标准的定义:“安全意识不是安全培训,安全意识活动的目的是使受众将注意力聚焦于安全,以识别安全风险并做出相应的响应。”换句话说,人们不仅需要意识到可能的安全风险(意识或知识层面),还需要相应地采取行动(行为层面)。以电信诈骗为例,大多数人都有一定的防范意识,知道一些方法,但往往会心存侥幸或过于自信,认为电信诈骗这么低级的圈套自己是不可能上当的。然而现实生活中当真正发生在自己身上时,由于被诈骗分子“操控”,人们可能并不会按以前学到的正确知识行事(如出于信任或碍于面子问题等,而执意选择汇款而未第一时间报警)。
影响行为的九大关键因素
英国行为科学家~Paul Dolan教授在将行为经济学应用于理解并改变个人行为领域颇有研究,他曾提出了影响行为的九个关键因素,即:
信使(Messenger:传达信息的人);
激励(Incentives:人们对于激励的反应是由可预测的心理捷径塑造的,如损失厌恶);
社会规范(Norms: 他人如何强烈地影响我们);
默认选项(Defaults:我们遵循预设的选项);
显著性(Salience:与我们相关的东西通常会引起我们的注意);
启动效应(Priming:我们的行为经常受到潜意识线索的影响);
情感(Affect:情感关联可以有力地塑造我们的行为);
承诺(Commitment:我们寻求与自己的公开承诺保持一致,并采取相应的行动);
自我(Ego:我们的行为方式使我们自我感觉良好)。
这些因素暗示了影响个体或群体行为改变的关键在于“心理机制”,它是人们做出任何决策的核心。网络安全领域也不例外,这些“心理机制”会影响公众/员工采用安全周活动所建议的安全知识并采取相应行动的动机。安全周活动可以根据以上因素巧妙地设计一些环节,潜移默化影响公众/员工的思想方式和行为方式。
影响行为的个人因素
为推进行为变革,需要确定当前的行为影响来源(个人的、环境的或社会的)。个人对网络安全的知识、技能和理解,以及他们的经历、看法、态度和信仰,是影响他们行为安全与否的主要因素。其中,个人动机和个人能力是影响最强的两个来源,人们会根据自己是否有能力完成要求的事情以及付出的努力是否值得来做出相应决定。在很多情况下,需要解决的是“知与行”之间的差距问题。为了形成新的行为习惯,不得不突破现有的思维模式。
人们有时会对安全制度和流程感到厌烦,特别是当员工认为安全控制措施有碍于他们完成手头的工作任务时(例如,无法访问外网、无法外发邮件、无法拷贝文件、不得下载好用的第三方软件、系统频繁要求更换密码、难以识别歪歪扭扭/模糊不清的验证码等),人们就会想办法绕过管控措施,而且理所当然地将自己的违规行为解释为为了提升工作效率。另外,安全意识宣传材料中时常使用“不得、不要、禁止、严禁、切勿”等否定性、震慑性词汇,给员工带来的是消极暗示和压力。久而久之,上述这些“安全摩擦”会让员工产生“安全疲劳”,从而忽视安全制度和建议的安全行为,甚至产生对抗情绪,对整个组织健康的安全文化极为不利。另外,感知控制(掌控感)也很关键,即人们感觉自己拥有的控制量,而不是他们实际控制的量。感知控制的积极效应主要体现在个体可以通过自身努力改善自身状况的情况下,而且,实际安全威胁越大,感知控制所能发挥的价值就越大。人们的大脑是极度喜欢掌控感的,而在网络安全领域,员工的感受往往是被高度管控的,被动的接受,缺少信任和赋能,而没有多少自由和掌控感。久而久之,即使面临安全威胁,“不作为”或“无力感”也就成为了员工的常态。在安全周活动中加入以激励而非惩罚为目的的钓鱼演练,加入动手实操的互动环节等等,可以增强员工的掌控感和自我效能感。
影响行为的文化因素
文化与社会因素也会对产生安全行为带来积极影响。在设计安全意识宣传信息和培训材料时,企业文化是重要的考虑因素之一。当安全意识宣传信息、海报、视频等内容与组织现有的企业文化匹配度高时,通常会更受员工欢迎。
一个社会或组织的文化系统塑造了人们的各种心理过程。由内在动机引发的行为源于自我(从内心自动自发的兴趣、求知欲或好奇心等),并以参与一项活动的享受和满足为标志。相反,外在动机是指为了达到某种工具性目的(如获得奖励或避免惩罚)而从事某项活动的动机。当安全周活动与公众或员工的认知、情感或动机特征等相匹配时,活动效果往往会更好。
另外,在设计和策划安全周活动时需要意识到不同组织的安全文化特征与差异性。从管控严格到管控宽松,从注重外部到注重内部,一家组织的网络安全文化大致可以分为四种:流程文化、合规文化、信任文化与自主文化。在自主文化中,员工更倾向于根据一些内在属性(如独立、创新和个人发展等)来定义成功。在网络安全文化宣传活动方面,在自主型文化中使用的信息往往会更侧重于安全对于个人的好处。而在合规型文化中,员工更倾向于根据遵从、保守、集体利益等来定义成功。在这种组织安全文化背景下,员工倾向于以大局为重,避免导致组织陷入不利的个人行为。
总结
在网络安全宣传周活动中,简单地重复宣导关于网络安全最佳实践的知识性信息是远远不够的。活动的成功不能以人们知道什么或不知道什么来衡量。在知识性测试或竞赛中选中正确答案,并不意味着个人会在实际工作中采取相应行动。
转自超安全