四个常见且令人困扰的误解——但每个都有切实可行的解决方法。
译自 4 Cybersecurity Misconceptions to Leave Behind in 2025,作者 Dr Jason Nurse。
大多数人都知道网络威胁潜伏在各个角落。无论是机会主义的单人犯罪分子,还是拥有国家力量支持的黑客,都感觉全世界都想访问你的私人数据。
然而,除此之外,人们对威胁的理解程度如何?根据CybSafe的最新研究,该研究调查了“五眼联盟”国家、德国和印度的7000多名个人,答案是相当复杂的。虽然迹象表明一些领域员工的网络安全意识有所提高,但我们许多人仍然对我们的在线安全抱有不准确或过时的看法。
许多人年初立志改掉坏习惯,但许多决心很快就会被抛诸脑后。然而,网络犯罪分子仍然纪律严明,而且比以往任何时候都装备精良。本着变革的精神,以下是网络误区的“四大天王”——以及企业和员工如何在2025年摒弃它们。
67%的参与者对识别网络钓鱼尝试充满信心
67%的“哦,行为!报告”受访者相信他们能够识别网络钓鱼尝试。虽然这最初看起来很有希望,但这并不能让首席信息安全官们放心——事实上,这可能会让他们的血压飙升。虽然我们可能相信自己发现诈骗的能力是完美的,但恶意行为者不断进化。当我们考虑发现诈骗时,我们可能会想象充满拼写错误的电子邮件,或者弹出窗口宣布我们是百万分之一的幸运访客。但诈骗已经远远超出了这些刻板印象。今天的威胁要复杂得多。特别是人工智能(AI)正在改变游戏规则:就像它帮助撰写最后一刻的报告一样,它也可以帮助罪犯构建更复杂和更有说服力的骗局。
员工需要避免陷入虚假的安全感,而组织必须确保他们经常更新建议和策略,以降低员工成为受害者的可能性。
此外,我们发现这种信心并不一定转化为行动。相当一部分受访者(29%)承认,即使他们确实识别出网络钓鱼诈骗,他们也不会报告可疑信息,尽管存在方便的举报工具,例如“举报网络钓鱼”按钮。
组织可以做些什么来改善这一数字?他们可以采取的一个“决议”是基于简单的行为激励。人们普遍怀疑举报工具是否有影响,许多人声称,如果他们有切实的进展迹象,他们更有可能举报诈骗。在收件箱中发现更少的垃圾邮件会有所帮助,但更直接地说,承认他们的报告正在被调查会提高员工标记诈骗的比率。
30%的人表示,保护自己没有意义,因为他们的信息已经在线上
我们的第二个误区源于员工的无力感。如果这种网络冷漠得不到解决,它可能会变成一个危险的自我实现的预言。
关键问题是,即使信息已经在线上,但这并不等同于直接受到威胁,而且风险级别不同。知道有人知道你的家庭住址是一回事;知道他们把你的前门钥匙放在口袋里是另一回事。即使很难隐藏所有数据,但这并不意味着不值得采取措施保护关键信息。虽然当如此多的个人数据公开可用时,保持安全似乎是不可能的,但这应该是加强网络安全措施的动力,例如不要在密码中包含个人信息。
另一个变体是关于成本的担忧。大约一半(52%)的受访者表示,完全保护自己在线太贵了。这是一种可以理解的情绪,当大多数员工觉得他们负担不起必要的保护时,这对企业来说是一个真正的问题。事实上,随着许多企业继续支持和扩大灵活的在家办公政策,员工对保护公司数据充满信心和支持比以往任何时候都更加重要。这里有一个机会。随着组织展望未来一年,他们可以通过减轻通常限制他们参与网络安全实践的感知负担,来投资资源以保护自己和他们的员工。
28% 认为密码足够安全的参与者未使用多因素身份验证 (MFA)
在我们一系列令人惊讶的统计数据中,我们发现,近三分之一在 2024 年选择放弃多因素身份验证的参与者,这么做是因为他们认为自己的密码足够安全。
这是一种可以理解的反应——但这忽略了 MFA 的用途。无论你的密码多么强大,如果它在泄露中暴露出来,它就和“1234”一样糟糕。MFA 为防止恶意行为者增加了另一层保护。展望 2025 年的不断变化的威胁环境,组织应该鼓励对 MFA 和强密码采取“两者兼顾”的方法——而不是“非此即彼”。
对那些经常使用 MFA 的人的细分,对企业来说可能更令人担忧。即使是在那些看似更注重安全的受访者中,大多数也主要将 MFA 用于银行和金融应用程序 (81%)。关于工作账户(包括电子邮件),这一数字急剧下降到仅 39%。答案再次不是教育员工为什么他们的工作电子邮件和他们的个人银行业务一样重要——而是企业需要尽可能方便地让员工在工作场所设置和使用 MFA,并了解其在当今威胁环境中的重要性。
四分之一的人对他们的设备是否安全持中立态度
最后,我们有令人恐惧的“不知道”。我们调查的约四分之一的人不知道他们在网上受到多少保护,也不知道如何提高他们的安全性。
对于首席信息安全官来说,这是最不令人惊讶的统计数据。事实上,根据我的经验,许多员工对网络安全并不特别关注。这对安全专业人员来说可能令人沮丧,但这是可以理解的:人们都很忙!许多人觉得他们没有时间或精力将良好的网络卫生维护添加到他们的待办事项列表中。也许与直觉相反的是,这使得我们的四个误解中最容易解决。这表明这些员工乐于接受教育——但也可能表明,通过视频课程进行的传统培训的效果不如公司希望的那么好。
在这种情况下,公司应该超越过去的培训制度,这些制度通常很费时,而且会让人感觉是毫无意义的额外工作。行为改变、仔细的数据收集和个性化建议都可以帮助最大限度地减少不确定性,并创造一支更知情、更警惕的员工队伍。
每个人都知道新年决心很难坚持。人们努力坚持目标,发现自己一年又一年地犯同样的错误。最重要的是,糟糕的网络安全习惯被认为是所有习惯中最顽固的——但它们不必如此。最后要说明的一个积极方面是,在我们进行这项研究的四年中,数据显示,在大多数情况下,这些误解正在逐渐减少。如果决策者决心解决所概述的误解,那么我相信他们将在来年看到真正的进步。
四个常见且令人担忧的误解——但每个误解都有切实可行的解决方法。没有人说保持高安全标准很容易——如果容易的话,每个人都会这样做。重要的是,企业领导者也不要屈服于冷漠。如果他们希望员工优先考虑网络安全,他们需要以身作则。通过解决其中的一些误解,企业可以在 2025 年朝着改善其网络文化并更好地保护自己、员工和客户免受迫在眉睫的威胁方面取得重大进展。