網安訓練年復一年卻無效:專家呼籲以人為本,告別恐懼與羞辱式教育
回到上一頁

網安訓練年復一年卻無效:專家呼籲以人為本,告別恐懼與羞辱式教育

2025-11-21
儘管網路安全意識宣導與訓練已行之有年,各組織年復一年投入大量資源,但令人沮喪的是,企業仍舊在與最基礎的安全問題苦苦掙扎。密碼衛生不佳、員工點擊網路釣魚連結等「舊病」一犯再犯。在今年(2025年)十月的「網路安全意識月」期間,來自《Dark Reading》、《TechTarget Search Security》和《Cybersecurity Dive》三家資安媒體的資深記者齊聚一堂,對當前網路安全教育訓練的「慘敗現狀」進行了坦率的探討。他們一致認為,問題的根源在於訓練方式根本誤解了人類決策的機制,將深層次的「人為問題」當成了單純的「技術問題」。
 
 

密碼考古學:近三成企業仍在用過時的短密碼

 
《Dark Reading》在意識月期間進行的一項民意調查,描繪了一幅令人憂心的畫面:
  • 近 30% 的公司仍然堅持使用那些強制混合大小寫字母、數字和特殊字符的八位數複雜短密碼。這類密碼通常每 90 天到期,是讓員工感到最煩躁的政策之一。
  • 與此同時,僅有 17% 的受訪者正在採用業界專家(依據 NIST 指引)推廣的「密碼短語」(Passphrases),例如「my cat clarinet loves Sam」這類更長、更容易記住、但駭客更難破解的組合。
資安專家們多年來不斷倡導使用密碼短語,因其在防禦暴力破解上具備指數級的優勢。然而,企業似乎仍陷在十幾二十年前的「密碼考古學」思維中。儘管單點登入(Single Sign-On, SSO)解決方案(34%)和密碼管理器(21%)的採用率緩慢上升,但進展仍遠遠不夠。
 
 

駭客的進化:六成高管竟是「釣魚受害者」

 
在網路釣魚方面,形勢更加嚴峻。隨著人工智慧(AI)的廣泛應用,釣魚郵件正變得越來越精巧且個人化,使得這場貓鼠遊戲變得更加激烈。
但更令人震驚的數據來自 SiteGuarding 的研究:
  • 高達 64% 的企業高階主管(Executive)承認自己曾點擊過釣魚連結。諷刺的是,這些高層正是負責制定公司安全政策的人。
  • 其中更有 17% 的高管在點擊後從未報告,即便公司政策要求必須揭露。
《TechTarget Search Security》執行編輯 Sharon Shea 指出,雖然攻擊變得更複雜,但基本指導原則仍是「如果擔心,就不要點擊」。然而,這些驚人的高管「中招」數據表明,網路釣魚已不再是單純的「紅旗辨識」問題,而是對人類心理的深度利用。
 
 

訓練無效的根源:側重知識,而非行為改變

 
更令人感到洩氣的,可能是對現行安全訓練本身的質疑。《Cybersecurity Dive》資深記者 Eric Geller 深入探討了多項回溯至 2008 年的研究,發現了一個殘酷的事實:
  • 傳統的安全意識訓練,包括年度必修課和「釣魚測試」的懲罰性通知,並沒有有效降低員工的點擊率
  • 在某些案例中,訓練甚至可能帶來「虛假的安全感」,使員工過度自信,反而更容易進行危險操作。
Eric Geller 採訪了一位專注於資安心理學的行為心理學家,對方直言不諱地批評:「這種基於恐懼和羞辱的模型,不僅沒有奏效,它與我們對行為心理學的認知完全背道而馳。」當員工點擊了測試郵件後收到的懲罰性通知,不僅沒有建設性,反而讓人感到羞恥。
專家指出,問題在於資安界長期以來將安全意識視為一個「技術問題」,訓練的設計目標是傳遞知識(Knowledge),而非塑造行為(Behavior)。知識是行為改變的前提,但並非等同於行為本身。許多資安專家往往缺乏行為心理學的專業知識,他們只專注於防止壞結果,卻沒有深入理解「是什麼驅動人們做出不安全行為」的根本原因。
 
 

轉機:從羞辱走向人性化設計

 
那麼,該如何移動這個「難以撼動的針頭」?
專家們建議,組織必須從根本上改變訓練思維:
  1. 找出根源:理解導致危險行為的根本原因,而不是一味指責。
  2. 避免羞辱:放棄基於恐懼和羞恥的策略,轉而採取鼓勵員工主動變得更好的正向模式。
  3. 行為導向:設計旨在真正改變行為的訓練,而非僅僅是傳遞「釣魚很危險」的知識。
例如,一位歐洲足球俱樂部的 CISO 提到,他們不再進行大型年度培訓,而是要求員工在登入工作應用程式前,先完成一些小巧(snackable)的、與工作情境相關的意識測驗。這種「隨時隨地」的微訓練,被認為比年度大課更有效。
 
總結來說,資安界必須從只專注於「技術防禦」中走出來,正視「人為因素」這一最薄弱的一環。只有當訓練的設計者開始像行為科學家一樣思考,才能真正有效地讓員工從「點擊用戶」轉變為「保護性管理者」。
出處: 本文根據《Dark Reading》管理編輯 Tara Seals 於 2025 年 11 月 21 日發布的文章〈Same Old Security Problems: Cyber Training Still Fails Miserably〉,以及其引用的三位資深資安記者(Tara Seals, Sharon Shea, Eric Geller)的討論內容整理撰寫。