社工攻擊佔資安事件逾三分之二，傳統意識訓練如半年一次模組及釣魚遊戲，無法有效降低風險。領先企業轉向「人類風險管理」模式，應用心理學及認知科學原則，設計行為改變課程，讓使用者從弱點轉為第一道防線。Cognitive Security Institute執行長Matthew Canham博士表示：「訓練從告知政策轉向驅動行為改變。」資安主管強調，COM-B模型（能力、機會、動機）及情境意識訓練，助員工在壓力下激活「慢思考」，台灣企業AI轉型加速，此模式成關鍵，呼籲融入企業文化，防範深度偽造及BEC攻擊導致巨額損失。

 

Ericka Chickowski於Dark Reading專文指出，現代資安威脅多源使用者錯誤，傳統訓練僅提供事實及遊戲，點擊率低即視為成功，但無法改善風險。Canham表示：「意識不等於行為改變，如健康知識不保證行動。」University of Kent資安讀者Jason Nurse博士強調，訓練需聚焦TTP策略，而非技術細節，教導攻擊背後操縱心理，如急迫感及恐懼，助員工在疲勞或多任務時暫停驗證。

 

應用COM-B模型驅動行為 Nurse建議以COM-B模型設計訓練：能力包括意識及程序訓練；機會提供安全架構及護欄；動機透過文化獎勵安全選擇及報告。Keeper Security資安長Shane Barney表示：「當資安成文化，透過對話、領導示範及回饋，員工從弱點轉為防線。」台灣企業可效法，設立跨部門委員會，整合CISO、CIO及HR，確保訓練融入業務。

 

激活「慢思考」反射 Darktrace資安及AI策略副總裁Margaret Cunningham博士指出，訓練應教導操縱戰術背後「為何」及引發情緒，如急迫或職涯恐懼，讓員工在壓力下暫停。「情境意識優於數位攻擊知識，疲勞、多任務及急迫可壓垮謹慎用戶。」Canham強調，軍事訓練模擬戰鬥情境，資安訓練應模仿真實攻擊，教導情緒反應如慌亂時需驗證。台灣企業可開發情境模擬App，定期推送「慢思考」提醒，防範AI生成電郵如假CEO指令。

 

咬合式教育「輕推」模擬真實 領先程式強調頻繁、咬合式輕推及情境模擬，Barney表示：「威脅每日演變，年度訓練過時，持續小量教育連結真實事件，保持相關及可行動。」Canham同意，模擬真實生活最有效，避免Mario Bros式遊戲，員工易怨恨浪費時間。Cunningham警告，過度訓練致燒盡及習慣化，若視資安為噪音，將忽略。「最佳應用為自願參與及排行榜遊戲，基於情境測試行動。」台灣企業可透過企業App推送每日資安挑戰，獎勵報告可疑行為。

 

指標更具意義 Nurse批評，點擊率及模組完成率過時，CybSafe開發SebDB開源資料庫，記錄101種資安行為，如蓋網路攝影機或防尾隨。Canham表示，紀律化指標助改善訓練內容及交付，爭取預算。「資安常被視為事後，適當指標助領導溝通並爭取資金。」Nurse建議隨機對照試驗（RCT），比較訓練組與控制組，驗證效能。台灣企業可採用RCT評估訓練ROI，量化行為改變如報告率提升。

 

謹慎使用遊戲化 遊戲化熱門，但Canham謹慎：「若不模擬真實，易無效或引起怨恨。」最佳為自願參與及基於行動排行榜。Cunningham同意，情境錨定日常工作，避免過度。

 

強調正面強化 領先程式獎勵報告及模擬表現，避免懲罰錯誤。Canham表示：「失敗是學習，懲罰阻礙報告。」Barney強調，準備而非完美，員工感賦權而非責備，更願報告。

 

聘請心理學專家 Nurse指出，優秀程式聘心理學及行為科學家設計課程。「職缺從技術或HR轉向心理背景，理解行為改變並對應資安。」台灣企業可與大學合作，引入行為專家，開發客製訓練。

 

 

此報導與近期資安趨勢呼應，如OpenAI揭AI優化釣魚、Ironscales報告85%企業遭深度偽造，顯示人類因素關鍵。Canham強調，文化轉型讓員工成防線。台灣政府可推廣COM-B訓練，強制企業年度行為評估。企業防禦之道包括：RCT驗證訓練、獎勵報告、聘行為專家。隨著AI攻擊演進，行為改變訓練成