員工資安教育訓練管不管用？研究：成效有限

william77

德國艾爾朗根-紐倫堡大學以學生為對象，研究員工資安訓練的成效，分別以電子郵件、臉書進行未知來源的釣魚訊息測試，結果25%的受測者點開釣魚郵件的連結，而有高達43.5%會點開釣魚臉書訊息的連結，資安教育還可能為企業帶來弊大於利的效果。

要避免員工誤按可疑連結導致後續的資安攻擊，持續提供人員訓練與告誡提醒是最好的方法？德國艾爾朗根-紐倫堡大學的研究結果卻顯示，效果一點也不顯著。
該大學資安與隱私研究團隊的人為因素小組召集人Zinaida Benenson在周三的美國黑帽駭客年會上，展示其以學生為樣本的研究顯示，依據開放系統互連模式定義的網路第8層，亦即人類行為所導致的安全問題，要解決實在困難重重。
受測者被安排進行釣魚訊息的測試，並被研究人員透過電子郵件與Facebook通訊服務以未知來源寄送訊息，聲稱連結能夠觀看除夕派對的照片，還要求收訊者不要再把訊息轉發給第三者。有25%的受試者點開了透過郵件傳輸的連結，更有高達43.5%的使用者點擊了透過Facebook而來的連結。
此外，受測者還會對自己的行為撒謊。只有15.5%的受測者坦承有點擊釣魚郵件中的連結，而較多受測者點擊的Facebook連結，卻只有18%的受測者坦承有點擊。多數受測者表示，點擊不明連結的原因是好奇。
值得注意的是，儘管實驗是透過不明對象的身分寄發訊息，有點擊者中卻有16%聲稱他們認識發來連結的人，所以相信連結是安全的，另有5%的受測者表示瀏覽器很安全，應該可以保護他們不受惡意程式攻擊。
Benenson表示，儘管企業可以要求員工對所有收到的信件或訊息採取「007龐德模式」，亦即都抱持高度懷疑來檢驗與看待，但這種作法本身不但不切實際，而且還可能導致不健康的生活形式。
此外，在企業環境中，這種政策還帶來的壞處可能比好處還大，一方面可能摧毀企業中員工彼此的信任關係，IT人員也可能因為處理假警報而疲於奔命，而將正常郵件誤判為病毒郵件而擱置處理造成的商業損失，更是難以估計。
她建議，企業或許可以採用數位簽章，但要確保員工真正理解數位簽章的意義，而非照單全收所有具備數位簽章的郵件，此外，企業內部的電子郵件或訊息風格最好一致，以免合法的郵件被誤認。