他们说犯罪没有好处。但当我们谈论网络犯罪时,数字却告诉我们一个不同的故事。与网络犯罪相关的损失预计将达到2021年6万亿美元一个人。随着COVID-19大流行导致远程工作的兴起,企业比以往任何时候都更成为黑客的攻击目标。
90%的公司面对因疫情而增加的网络攻击,2020年6月对1000名CXO进行的调查显示。更令人担忧的是,93%的首席执行官表示,为了帮助管理公司向远程工作的过渡,他们被迫推迟了安全项目。
TalentLMS与Kenna安全,一个行业领先的渗透测试和漏洞管理公司,调查1200名员工的网络安全习惯、最佳实践知识和识别安全威胁的能力.以下是一些令人震惊的研究结果,为网络犯罪发展成为如此有利可图的行业提供了一些解释:
- 69%的受访者接受过雇主的网络安全培训,然而,当我们问他们的时候
参加基本测验的,有61%的人不及格 - 在接受调查的信息服务业员工中,只有17%的人通过了测试,而医疗保健行业的这一比例为57%
员工 - 59%的员工获得网络安全培训,以应对Covid-19的偏远工作的增加
流感大流行 - 60%没有通过网络安全测试的员工表示,他们对威胁感到安全
- 以明文形式保存密码的员工比将密码保存在密码管理器中的员工要多
- 办公室员工表示,比起远程员工,他们在网络安全威胁面前感觉更安全,但他们的安全习惯要糟糕得多
- 专家们就如何改进网络安全培训计划以取得更好的效果提出了建议
员工对网络安全究竟了解多少?
让我们面对它 - 学习网络安全可能不是平均员工的首要任务,特别是如果他们从未成为攻击的受害者(他们知道)。在办公室工作或远程使用计算机的大多数员工进行他们的大部分工作。但他们对强密码,恶意软件,网络钓鱼企图等多数了多少?
在TalentLMS顶级安全专家的帮助下Kenna安全,我们设计了一个七个问题测验,发现员工有多少员工或不知道基本的网络安全原则。受访者在年龄的18-54 + +中等,并在美国的各种行业中工作。他们都使用电脑做他们的大部分工作从办公室工作43%,远程工作57%。答对4道或以上问题的受访者被认为通过了测试,而答对3道或以下的受访者则不及格。
基于这个评分系统,60%的受访者未能通过评估.实际上,7%的受访者错误地回答了每一个问题,而不到1%的受访者得到了所有七个问题。
你可能会想,“但这不公平!”如果员工从来没有接受过网络安全风险和最佳实践的培训,那么他们也不可能知道答案。”
除了69%的受访者接受过当前雇主的网络安全培训(是的,我们问)。奇怪的是,这些员工的测试结果略低于那些没有接受过雇主网络安全培训的员工。
在接受过培训的受访者中,61%的人答对了少于四个问题。和在所有7个问题都答错的受访者中,80%的人表示接受过培训。
这些惊人的结果导致了这样的结论简单地拥有网络安全培训计划还不够。(阅读更多关于通过有效的网络安全培训获得更好结果的信息,请参阅下文)。
尽管他们对技术非常熟悉,18-24岁的员工统称在测验上最糟糕的是,其中只有16%的传递。二十五至34岁的人与54岁及以上的人捆绑在一起,以获得最佳集体绩效,通过率为43%。
预计某些行业工作的员工将有更多关于网络安全的知识,这将是合理的,而不是看似无关的行业。例如,您希望在Quiz上工作的专业人员比在医疗保健和社会援助中工作的专业人员更好。
但信息服务部门只有17%的员工通过了测试,而医疗保健部门的这一比例为57%.事实上,在测试中,前一组员工的整体表现比任何其他主要行业的受访者都要差。
然而,93%的受访者在信息服务报告中接受网络安全培训,而67%的医疗保健受访者则。虽然所有这些员工从计算机上做了大部分工作,但很明显他们的不同行业的网络安全知识差异很大。
现在你可能会想,“这次测验有多难?”看看我们向受访者提出的确切问题,以及每个问题的正确回复率:
数据显示,员工在笔记本电脑安全方面的知识最为渊博。另一方面,他们在保护带有敏感信息的文件和识别有害文件类型方面的知识最少。
总的来说,这些测验结果表明一般员工对网络安全威胁和最佳实践的了解有限。尽管大多数雇主都在为员工提供这方面的培训,但这并没有达到目的,投资回报也很低。
公司采取了哪些措施?
虽然保护自己不受网络安全威胁和攻击一直是企业的长期优先事项,但COVID-19大流行进一步巩固了这一需求,因为世界上很多地方都转向了远程工作。随着在线工作的大量提升也让黑客充分机会利用员工系统和通信的任何弱点。他们做了。
根据德勤最近的一份报告在美国,2020年2月至5月期间,全球有超过50万人受到视频会议服务网络攻击的影响。这些黑客窃取并在暗网上出售他们从视频通话中截获的个人数据。
大多数公司至少意识到远程工作带来的威胁正在增加,并试图对此做出回应。
大多数员工还报告称,他们的公司已经实施了正确的基本保障措施,为防范网络安全威胁提供了基本保护:
- 66%要求员工使用2因素身份验证
- 67%的人已经确定设备遗失和失窃报告政策
- 75%执行强制定期修改密码
尽管有这些数字,但决定的秘密黑客远远领先于公司已经实施的保护措施,有很多地方需要迎头赶上。
“这些调查结果表明,虽然大多数受访员工表示,他们的公司正朝着正确的方向发展,有很多公司没有提供基本的网络安全培训(31%),也没有为他们的系统提供多因素身份验证(18% - 34%)。这些基本网络安全卫生方面的漏洞正是攻击者经常利用的,这也很好地提醒我们还有很多工作要做。”
杰瑞Gamblin
肯娜安全公司的安全研究主管
自信vs知识——员工有多受保护?
无论员工是否遵循最佳实践,展览安全行为直接取决于他们是否需要。
当我们询问所有受访者在网络安全威胁面前是否感到安全时,56%的人回答“是”,25%的人回答“否”,19%的人回答“不确定”。当我们查看失败测验的员工的回复时,数字甚至进一步偏离。
在回答了少于4个问题的人中,有60%的人对威胁感到安全的回答是“是”。通过考试的学生中有49%的人持同样观点。
这种现象被称为邓宁-克鲁格效应。该理论认为,在某一特定领域知识非常有限或没有知识的人往往会高估自己在该领域的能力他们会感到比正常情况下更自信。当我们在某一特定领域获得知识时,我们会更加意识到所有我们实际上不知道的事情,我们的自信也会迅速下降。
这个推理为为什么提供了一个解释74%回答错误的受访者表示感觉安全.相反,对7个问题全部答对的1200名(0.33%)人中,没有一个人回答同样的问题。
强制执行良好的习惯 - 更容易说完
建立全公司的政策是一回事,但真正让员工遵守又是另一回事。事实是只有当员工遵循网络安全最佳做法时,公司才能真正受到保护。IBM 2014年网络安全情报指数发现,95%的违规是由人为失误造成的.一个类似的CybSafe在2019年进行的研究在英国的网络数据泄露事件中,这一比例高达90%。
根据我们的调查结果,77%的员工表示,他们的公司有既定的网络安全政策,但19%的人承认他们不熟悉。
公司保护数据安全的最基本方法之一是使用强大而安全的密码。我们询问了员工他们的密码存储在哪里,结果令人很不满意。
高达33%的员工将密码保存在浏览器中——这一习惯的风险比大多数人意识到的要大得多。假设一个员工没有设置主密码;在这种情况下,任何人只要能访问他们的电脑,无论是物理上还是远程上,都可以打开浏览器,查看个人的实际密码。
甚至比在浏览器中存储密码更糟糕的是在明文中存储,或者在纸上写入。以这种方式存储它们完全不受保护。任何人都可以找到该文件,或者访问他们写的未加密文件,以最少的努力。
9%的员工甚至声称他们能记住所有的密码。但考虑到普通人拥有的大量密码,他们不太可能记住所有密码,而不为多个账户重复使用同一个密码。
在COVID-19大流行之前,NordPass进行的一项研究发现,一般人有70-80个密码.该公司重新进行了这项研究,并于2020年10月披露现在这个数字大约是100个,增长了25%。
理想情况下,一个人的每张密码都应该是他们所有人的完全独特的。但这是安全的,这是至少的情况73%的受访者不使用密码管理器。
一个调查受访者甚至指定,“我通常不会把密码写下来。我尽量让它们保持不变。当我必须改变其中一个的时候,我会改变其他的来匹配。”
由于这些原因,专家认为,对于人们应该将工作和个人密码存储在哪里,唯一正确的答案是密码管理器。
与员工知识一样,培训对员工行为的影响是混合。尚未收到培训的员工的五个百分之五的员工不使用任何安全功能来保护他们的工作计算机。在完成培训的员工中,该数字下降到1%。
经过培训的员工通常表现出更好的习惯在保护计算机时比那些没有收到培训的计算机。百分之八十八分利用密码,相比于79%没有培训。48%的使用加密,而没有培训28%。和29%的训练有素的员工使用密码经理,而没有培训的22%。
有两个明显的例外,受过培训的员工实际上比没有受过培训的员工表现出更多的不安全行为:
- 接受过培训的用户中,有34%的人仍然以明文形式存储密码,而没有接受过培训的用户中,这一比例为16%
- 60%的人使用公共WiFi工作,而未经培训的这一比例为52%
办公室和远程工作——不同的环境产生不同的习惯
偏远工人始终对公司努力保护自我侵害网络安全威胁,以及COVID-19大流行导致的远程工作激增只会加剧这一问题。
网络攻击每天都在变得越来越复杂,黑客们也在加紧行动,尤其是在去年。在COVID-19大流行之前,20%的攻击是通过以前未见过的恶意软件或其他方法进行的。自疫情爆发以来,这一数字已跃升至35%。
远程员工意识到情况已经发生了变化。调查结果表明远程工人总是比办公员工更安全——但真的是这样吗?
这种安全感知上的差异可能解释了远程办公的员工实际上表现出了比办公室员工更好的网络安全习惯:
- 32%远程员工使用密码管理器,相比之下只有20%办公室员工
- 49%远程员工使用加密保护他们的笔记本电脑,相比之下32%的上班族
- 65%办公室职员报告说他们有时会使用他们的个人设备来工作,相比之下49%说同样话的远程工作者
- 36%相比之下,只有办公室职员以明文形式存储密码22%远程工作者
底线是,无论员工是远程工作、在办公室工作,还是两者的结合,公司需要采取积极和有针对性的措施来加强安全行为来保护自己免受不断发展的网络攻击。
如何更好地保护自己?
受访者对测验的整体表现非常令人沮丧,其中一半以上未能正确地回答至少四个问题。虽然调查结果表明培训确实对员工网络安全习惯的某些方面有积极的影响,但这些影响并非在所有领域都一致,并且有足够的改进空间。
那么,企业如何才能做得更好呢?
TalentLMS的首席信息安全官维克多·克里塔基斯告诉我们:
“仅仅提供一个网络安全培训项目并不能从本质上保证有技术或受过教育的员工。这些程序通常是理论的,充满了技术术语,而且,嗯,很无聊。网络安全培训应该是有趣的、实际操作的,并使用现实生活中的例子。这是因为在网络空间中保持安全和受保护是一项动手实践的技能。”
改进培训项目的最快最简单的方法之一就是从学习者的角度来评价它们。事实是,没有人愿意坐着接受冗长、枯燥、满是术语的培训。如果你的课程引人入胜、具有互动性,并且吸引多种学习方式,那么它更有可能与你的员工产生共鸣。
当我们问受访者什么能让网络安全培训更令人愉快时,他们的回答响亮而明确。培训应该更简单,使用更少的技术语言,更有趣,更互动,并且应该被分解成更小、更容易消化的单元。
不知道如何或从哪里开始建立互动网络安全课程?
看看TalentLibrary就知道了。准备16个现成的、简短的、动画的视频课程,让你的员工了解强大密码的重要性、勒索软件的风险、保持数据安全等等。
“一个有吸引力的项目会让你的员工得到更有效、更充分的培训,从而提高安全意识和安全的上网习惯。”
维克多Kritakis
CISO, TalentLMS
结论:训练是第一道防线
无论您公司拥有五名员工,或超过5,000人,网络安全威胁都是一种真正的风险。当绝大多数违规行为是人体错误引起的时,数据不应该在开放状态下被偷窃,以被黑客和网络犯罪分子偷来。培训员工如何现场威胁威胁,并遵循网络安全最佳实践,是保持公司及其数据安全的基础。
虽然培训是答案,但仅仅有一个项目是不够的。虽然黑客和网络罪犯可能是匿名的,但他们是真实的人,拥有专业知识和技能,可以利用哪怕是最微小的漏洞。
这就是为什么要实现实际结果和重大回报您的培训投资,请确保您的计划是为人类而非机器的互动,参与和设计。