据美国投资咨询机构 Cyber security Ventures 发布的一组数据预测,到 2025 年,全球网络犯罪造成的经济损失将达到 10.5 万亿美元。在堪比世界第三大经济体的网络犯罪市场背后,每一位互联网用户都可能沦为网络犯罪的潜在受害者。普及全民网络安全意识教育,提升全民应对网络安全威胁的意识和能力,成为很多国家网络安全战略的一项重要内容。美国作为互联网技术起源国及网络安全技术领先的国家,长期以来重视网络安全中“人”的因素,从顶层设计上出台了一系列国家政策、法律、标准等,建立了由政府、社会、高校、企业与个人共同参与、高效协同的全民网络安全意识教育体系,让每一位公民都成为“网络安全卫士”,以最小的社会代价提升网络安全总体能级与效率。美国在网络安全意识教育的这些举措,可为我国加强网络安全意识教育工作提供借鉴。
美国先后出台了一系列网络安全政策,通过国家战略、国家行动计划、总统行政令等形式为全民网络安全意识教育做出统筹安排。早在 1999 年,美国就将信息安全意识培养工作明确写入了《国家信息安全战略框架》。2003 年,美国发布了《保护网络空间安全国家战略》,强调广泛的美国民众需要在网络安全方面发挥优势,确立了安全意识与培训计划是国家网络安全的 5 个优先任务之一。2004 年,美国启动了国家网络安全意识月活动,每年设定特定主题,呼吁美国公众加强安全保护意识以应对各类网络犯罪活动。2009 年,美国发布《网络空间政策评估》报告,倡议发起一个全国性的网络空间安全公众意识教育运动,使公众充分认识网络安全问题的重要性。2010 年,美国启动《国家网络安全教育计划》(NICE),旨在通过系统化、规范化开展网络安全常识普及、正规学历教育、职业化培训和认证等三个方面工作,全面提高美国的信息安全能力。2014 年,美国将每年 1 月 28 日定为国家数据隐私日,以提高公众对隐私重要性和保护个人信息的意识。2016 年,美国发布《网络安全国家行动计划》,成立国家网络安全促进委员会,制定包括提高公众网络安全意识方面的十年行动建议。该委员会发布的《加强国家网络安全—促进数字经济的安全与发展》报告指出,应持续提高美国公众的网络安全意识与能力,并将公众塑造为国家网络安全保障的主要参与者。2018 年,美国发布《国家网络战略》,指出从客观需要和长远发展上看,加强公众网络安全意识教育是维护国家网络安全的重要方面。2021 年,美国网络空间日光浴委员会发布《对拜登政府的网络安全建议》,提出要促进国民教育、数字素养和公众意识。
美国还通过法律法规、标准等形式将网络安全意识教育纳入法律保护范畴。《联邦信息安全管理法案》(FISMA)要求联邦机构建立安全意识培训计划,对联邦雇员、合同商等在内的人员进行信息安全培训,增强信息安全意识。《健康保险可携性和责任法案》(HIPAA)的隐私规则及安全规则要求为所有员工(包括新员工、管理层、合作伙伴等)实施安全意识和培训计划。《金融服务现代化法案》(GLBA)要求培训员工如何识别和应对欺诈或身份盗窃,妥善处理客户信息。《萨班斯 - 奥克斯利法案》(SOX)提出上市公司应开展安全意识培训计划。《公平和准确信贷交易法案》(FACTA)要求员工应该接受身份盗窃预防计划相关培训。《马萨诸塞州数据保护法案》要求为长期雇员和临时合同雇员提供持续的安全培训,培训应侧重于对包含个人信息的任何电子、纸质或其他记录的安全性、机密性和/或完整性造成的合理可预见的内部和外部风险。
除了法律法规要求的安全意识培训外,美国的相关行业规范、标准也对开展安全意识培训提出了要求。《支付卡行业数据安全标准》(PCI-DSS)要求至少每年一次实施正式的安全意识培训计划,以使所有人员了解持卡人数据安全的重要性。美国国家标准技术研究院《NIST SP 800-53:为联邦信息系统和组织而推荐的隐私与安全控制》指出组织应根据特定的组织要求和人员有权访问的信息系统,确定人员安全意识培训和安全意识技术的适当内容。北美电力可靠性委员会(NERC)要求评估人员风险、开展培训和安全意识教育。美国证券交易委员会(SEC)的网络安全考试倡议指南要求公司应向其员工开展有关信息安全和风险的培训。
然而,美国大多数法律法规、标准对于安全意识教育应覆盖的培训主题、培训时长、培训周期与频率、考核与度量方法等没有明确的规定。
三、政府、社会、学校、企业合力共促网络安全意识教育
美国政府机构负责对安全意识教育进行整体规划、协调、指导工作。例如美国国土安全部是网络空间安全意识教育工作的主要职能部门,通过一停二想再连接(Stop.Think.Connect)项目开展各种宣传活动,以帮助美国公众了解网络行为风险和应对。美国商务部通过国家标准和技术研究院(NIST)承担国家网络空间安全教育计划(NICE)的推广与协调,向学校、办公职场推广普及网络安全知识。
社会机构发挥安全意识宣传普及、培训、认证等作用。例如国家网络安全联盟(NCSA)是美国国家网络安全意识月的主要发起者和承办方之一,培训组织和认证机构开展专业化培训与认证。
学校肩负网络安全专业课程与知识普及职责。美国重视通过学校开展网络安全意识教育,从小培养公众的网络安全意识,从幼儿园至 12 年级基础教育阶段中就开始对学生灌输网络安全知识,通过制定激励措施增加学生对网络安全知识的兴趣,为培养具有安全意识的合格数字公民做好准备。高校依托高校资源和特色开设网络安全专业,组织和制定网络安全培训计划、奖学金计划、网络信息安全大赛等,增加大学生的安全知识和技能,鼓励和引导大学生加入网络安全行业。
企业对内部员工开展安全意识教育及安全技能培训。数据泄露造成的企业经济损失屡创新高,相比之下,安全意识培训的成本相当低。在大多数情况下,培训成本不到违规成本的 1%。各种规模的企业都开始认识到内部威胁与外部威胁一样重要,尤其是由于新冠肺炎疫情大流行下远程办公模式成为新常态,员工的安全意识教育比以往任何时候更为重要,需要补齐“人的漏洞”这一短板。接受安全意识教育的员工越多,企业整体安全风险就越低,企业便更具网络弹性。
大型企业组织纷纷开展全面的安全意识培训计划,很多配备一名专职安全意识岗位(或等效人力)。美国国家网络空间安全教育计划—网络安全人才队伍框架(NCWF)分为 7 个类别 32 个专业领域,其中在监管与治理类别下包含培训、教育与意识专业领域,相关的工作角色包括网络安全讲师、网络安全课程开发师这两个与安全意识工作相关的岗位。而在网络安全人才招聘市场,企业安全团队对诸如安全意识教育/培训经理,安全意识与文化经理、安全意识传播经理、安全意识布道师、安全意识总监等岗位有迫切的需求,安全意识专业人员的平均年薪为 10.3 万美元。有的企业甚至为专注于“人为因素”风险管理的负责人设置了人为因素风险官、安全意识官等高级职位。
组织迫切寻求能够有效管理和衡量人为因素安全风险的专业人才,安全意识专业化认证在近几年应运而生。非营利机构信息保障认证审查委员会(IACRB)于 2018 年 8 月推出的“注册安全意识员认证”(Certified Security AwarenessPractitioner,CSAP),是业界第一个面向安全意识从业人员的专业级认证,旨在帮助安全意识专业人士成功创建和管理企业安全意识教育计划,降低企业人为因素安全风险。美国系统管理、审计、网络与安全研究院(SysAdmin,Audit,Network,Security,SANS)于 2019 年推出“安全意识专业人员 认 证”(SANS Security Awareness Professional,SSAP),用于评定和证明认证持有者拥有构建、维护和衡量成熟的安全意识计划所需的知识和专业技能。认证机构 H Layer Credentialing 于 2021 年推出厂商中立的“安全意识与文化专业人员认证”(SecurityAwareness and Culture Professional,SACP), 用于认证安全意识与文化专业人士运用“以人为本”的方法开发、评估、管理和维护安全意识计划的专业能力,提高受众的安全知识、信念和行为。
对于日趋复杂的网络攻击,企业往往侧重于技术防御和强调遵守合规性,而最重要的受攻击面——员工可能仍然没有受到保护。事实上,人比技术、制度或流程更能直接影响安全结果。据Cyber security Ventures 调查,2021 年大部分财富500 强和全球 2000 强企业将安全意识培训视为其网络防御战略的“基础”,中小企业紧随其后。
大部分美国企业开展安全意识培训已经常态化,从仅仅为了满足监管合规要求而开展,演变为组织“人为因素”网络安全风险管理能力的一个关键部分。美国企业安全意识计划成熟度水平逐年提升,约 7 至 8 成企业处于中间位置——“促进意识提升与行为改变”阶段,即企业开展的安全意识计划形成了体系化,能够根据不同岗位角色和风险优先级开展针对性和进阶性培训。培训定期开展,并贯穿全年进行持续强化;培训内容形成体系,形式多样化,兼顾专业性、通俗性与趣味性,满足不同群体的学习偏好,员工参与积极性高。培训不仅关注传播安全知识,更注重以正面强化的方式鼓励员工的风险行为改变,让全体员工能够自觉遵守组织的安全制度/策略/规范,能够积极识别、预防和报告安全事件,充分发挥“人力防火墙”和“风险感应器”的积极作用。约一成企业处于更高级的“指标框架”阶段,即企业安全意识计划形成了一个强有力的度量指标框架,与组织战略和使命保持一致,能够跟踪过程、衡量成效、持续改进,并充分展示和证明安全意识计划的投资回报,通过可量化的指标体系从多个维度来衡量和证明成功与否。约 15% 的企业处于“文化变革”阶段,即企业安全意识计划形成了一个长期的、动态的、有竞争力的生命周期,流程规范、资源充足、员工自主配合度高、领导支持力度强。在组织内已经塑造起网络安全文化,并成为企业文化的有机部分,安全意识融入员工的一言一行,不仅改变了员工的风险行为,而且改变了员工的安全认知、态度、责任感、价值观等。
当前,企业安全意识成熟度提升不上去的两个最大的挑战,一是管理安全意识计划的时间投入不足,二是规划、实施与管理安全意识计划的人力不足。其他挑战还包括缺少预算、未能吸引员工参与、企业文化保守/官僚、缺乏度量指标、缺少专业知识与技能、缺领导支持等。负有安全意识教育职责的安全人员仅将一半甚至更少的工时用于安全意识教育,安全意识工作往往是一项“副业”,是在安全职责中兼任的一小部分。这意味着安全意识教育的深度与广度远远不够。
另外值得注意的是,多数企业安全意识负责人是技术背景出身,往往缺乏沟通和营销等软技能,在有效吸引员工积极参与方面的能力依然存在局限性,他们很可能陷入“知识的诅咒”,缺乏以通俗易懂的方式进行知识转移并提升员工参与度的技能。对于尚未设置安全意识专职岗位或资源受限的中小企业,“购买时间与人力”专业服务,即安全意识托管服务,是当前较好的选择。
(本文刊登于《中国信息安全》杂志2022年第1期)