《中国企业网络安全意识教育现状与发展报告》(以下简称《报告》)近日发布,该报告调研历时一年时间,由CEAC(The Cyberspace Security Talent Education Alliance of China)中国网络空间安全人才教育论坛·网安意识工作组与INSEC WORLD成都·世界信息安全大会联合出品。
《报告》时间跨度从2020年11月23日开始,至2021年11月23日结束,期间结合网络在线调研、现场问卷调研、专家访谈调研、报告文献调研及典型抽样调研等多种方法,最终形成了685份有效问卷及10+深度访谈,调研样本涵盖金融、制造、电信、交通、互联网、IT/科技、零售、外资等行业,调研对象涉及北京、上海、深圳、成都等城市。
《报告》基于真实、全面数据考量,该《报告》还深入到各类安全活动进行现场调研,包括EISS-2020企业信息安全峰会上海站、INSEC WORLD成都·世界信息安全大会、CIS 2020网络安全创新大会、2021中国(上海)国际技术进出口交易会、2021上海网络安全博览会暨高峰论坛、2021 SDC第五届看雪安全开发者峰会。
《报告》指出,一系列网络安全法律法规的推出,企业网络安全建设已进入“合规+刚需”新时代,然而从满足合规到有效落地,整体安全防护工作仍存在不少短板,其中网络安全意识教育问题尤为突出。从全球网络攻击趋势来看,相比利用软硬件漏洞发起技术性攻击,黑客更倾向于从渗透阻力最小的“人”下手,以此绕过企业的层层安全技术防御手段。
《报告》进一步强调,尤其是随着新冠疫情席卷全球,远程办公、云办公模式成为新常态,员工脱离办公环境安全管控边界使得企业面临的网络攻击与数据泄露等安全威胁呈爆炸式增长。某种程度上,企业员工的网络安全意识不足,已经成为网络犯罪分子可利用的“首先武器”。
是公司安全意识教育最大障碍
《报告》基于调研数据显示,因企业文化和背景的差异,受访者对公司开展全员安全意识教育的最大困难看法不一,有近22%受访者认为是企业内部管理问题,最大难点来源于部门协同困难,推进过程会碰到各种障碍;同时推进受阻也因领导不重视有关,该项以18%占比紧随其后,缺少合适的工具、方法、内容,员工参与度不高也较多被提及。
受监管合规是第一驱动力
多项选择的统计数据显示,企业开展安全意识教育的首要目的是满足合规与监管的要求,随着《网络安全法》、等保2.0、《密码法》、《数据安全法》、《个人信息保护法》等一系列与网络安全相关的法律法规出台,企业为满足合规要求而开展安全意识教育的越来越普遍。其中选择“打造企业的网络信息安全文化”和“改变员工安全行为”相对较少,《报告》指出,国内多数企业还处在比较初级的合规性安全意识教育阶段。
以新员工、开发人员为主
从覆盖群体来看,《报告》指出,企业培训重心仍集中在内部利益相关者,诸如新员工、开发人员、高管、财务等人员,其中网络安全已纳入新员工的入职培训与职业发展,有的企业将之作为转正或晋升的考核指标之一。《报告》强调的是能真正做到全员安全意识教育全覆盖的企业凤毛麟角,仅有一家企业报告开展了全员教育。对于第三方、客户和外包人员等外部人员的安全意识教育覆盖明显不足。
仍以完成为主
在如何衡量安全意识教育效果的问题上,员工的培训完成情况是企业的最多选择,《报告》认为这是一个比较容易量化和统计的数据,便于向领导层汇报,但缺乏对培训效果的持续跟踪,其中员工的知识保留情况、员工的行为变化情况虽然没有预期高,但仍然被视较为满意的水平。
在100-200元/年之间
对于人均预算的看法,企业能接受的范围在100元/人/年至200元/人/年有418人,占61%。企业能接受范围在500元/人/年及以上的有210人,占30%。0元或极少预算的也有57人,占比8%,这类企业可能以中小企业为主,在安全技术的投入十分有限的情况下,难以再抽出更多的资源投入到安全意识教育上。
以数据安全、法律合规为主 差旅被忽视
关于最有价值的安全意识教育主题,选择最多的是数据安全,有334人,第二是法律合规,有284人,《报告》指出该项选择企业同样受政策合规驱动影响较重。而差旅安全、办公安全、第三方安全和企业管理在新形势下已接近被无视。
但需反馈与提醒
调研数据显示,83%的企业认为钓鱼测试有必要或者非常有必要,其在安全意识教育体系中的重要地位可见一斑。同时数据表明,36%的受访者认为钓鱼测试要考虑到员工接受度,因此做好钓鱼测试的前置条件是管理层充分沟通,对钓鱼中招的员工要及时反馈与友情提醒,表明这是钓鱼测试邮件。
《报告》指出,国内安全意识教育尚处于起步阶段,在观念、制度、产业及技术等方面与国际先进相比存在较大差距,目前阶段国内面临着不少痛点和挑战需要解决。《报告》将其扩展为企业治理层面和实施层面,其中治理层面存在的问题包含观念较薄弱、制度不协调、教育体系不全、产业化不足、技术欠融合;实施层面的问题则突出在缺专业素材、缺学习兴趣、缺行为改变、缺专业人才、缺度量分析、缺乏个性化及不足的预算投入方面。
《报告》强调,随着我国网络安全领域法律法规的日趋完善,企业加强建设网络安全意识教育已是大势所趋,越来越多的企业已经认识到安全意识在整个安全体系中的作用,不管是满足合规要求,还是保护企业自身数字资产,将之作为安全体系和企业文化的一个部分,纳入到管理体系之中,夯实制度建设,做好统筹规划,抓好贯彻落实,强化员工教育等来推进网络安全意识教育。
安全意识做得好的企业一个共同的特质是管理层重视,这是开展工作的重要前提。无论是被监管单位的网络安全一把手负责制,还是出于合规要求成立信息安全委员会,或者是外资企业中专门设立的CSAO(首席安全意识官),都是从管理层的角度高度重视的一种表现。有了这个抓手,自上而下向下推动安全意识教育工作的阻力将降低许多,很多困难也就迎刃而解。
网络安全文化是以持续运营为目标,以人为本,也是各种保护数据资产的行为模式总和。网络安全文化是企业文化的基础和重要组成部分。一个企业的安全教育,应该是和企业文化、管理文化相一致的,有一种持续改进的机制,比如有些企业将网络安全文化融入到安全生产文化之中,员工接受起来就自然而然,成为企业DNA的一部分。
企业从满足合规要求到打造网络安全文化,在安全意识计划从低成熟度迈向高成熟度的过程中,适时推行“网络安全大使”计划已成为一条必经之路,是一项经业内反复验证的最佳实践。网络安全大使,是安全团队的延伸和扩展。作为安全团队的联络人和代言人,网络安全大使在企业内部各节点担任安全意识与文化的传播者、倡导者、指导员与协调员角色。
培训来源于网络,也应立足于网络,因此应当选择和推广标准化的培训平台。一是易于贯彻落实,通过统一平台实施培训,有助于教材教案、师资力量、质量评估、效果检测等多方面实现统一;二是多维度评价,允许动态可视化评估各方效果,可以客观评估各部分、各分支机构的实训绩效;三是培训信息共享,实现培训过程全程回溯与培训效果评价。
安全意识教育纯粹的技术人员做不了,同时网络安全的专业性而言人力资源部门人员又难以胜任,这也催生了安全意识方向的专职专岗。Gartner预计,到2022年,60%的大型企业/组织都将开展全面的安全意识教育培训,并至少配备一名专职安全意识岗位(或同等的兼职人力投入)。
Gartner和Cybersecurity Ventures曾作出了相同的预测:预计到2027年,全球员工网络安全意识培训支出预计将达到100亿美元。
《报告》指出,中国安全意识教育市场相对于国外市场虽有一定的滞后性,但是随着合规需求、政府引导、护网行动等外部因素,和企业降低安全风险的内部因素的双轮驱动,中国也将迎来市场的大爆发。据CNNIC报告显示,中国网民规模为9.04亿,其中在线教育用户规模达4.23亿,企业用户以2.5亿估算,按照国际通行的计算方式,企业为员工支付200元/人的教育费用,则可以预测未来中国的市场规模为500亿人民币。
如果以国内目前通行的企业客单价来计算,《2020中国企业发展数据年报》显示中国企业数量4457.2万家,其中2.5%的企业开展安全意识教育,客单价10万元/家,则可以估算未来中国的市场规模为100亿。
长期以来,如何衡量员工的安全意识的高低一直是个难题,没法量化就很难说服管理层投入更多的资源用于提高人员的安全意识,这是“人员漏洞”长期存在的根本原因之一。
《报告》认为,解决度量问题目前国际上重要趋势是走平台化道路,通过平台对员工学习过程、行为数据、测评结果等数据进行记录,应用数学分析模型对数据进行量化分析,从而将安全意识工作进行体系化、可视化和度量化,以提升企业安全意识成熟度水平,更有效满足合规要求及降低“人为因素”风险。
平台化的另一个优势是对分支机构地域分布广泛的企业,便于大规模开展,快速实现全员全覆盖,以低成本的方式满足合规要求的同时,也能及时发现风险、降低风险,这是未来发展的一个重要方向。
传统意识教育工作内容枯燥、难以吸引员工注意力,通过互动化、游戏化、榜单排名、个人积分、答题抽奖等行为激励和创新手段,将对企业运营管理安全意识教育工作大有裨益,有助于吸引、提高员工对安全意识教育的积极性,甚至能改变以往员工学习网络安全知识被动的局面,驱动员工进入到自主学习的新局面,从而学以致用。
《报告》认为,随着元宇宙概念的火热,安全意识教育与AI、VR、AR等技术应用集成成为业界热议的发展方向,目前已被广泛使用的文字、漫画、图文、视频、游戏等教育方式,尽管形式多样,但安全意识教育的效果依然不尽如人意。
元宇宙概念的植入,将给安全意识教育带来全新的革命,这种浸入式的教育方式,本身就带有游戏化、互动化、度量化等属性,目前在泛安全领域(防火、防震、防溺水等)的安全教育应用已经日臻成熟,网络安全教育培训也将紧随这种发展趋势。阻碍这一趋势发展的因素是开发成本太高,而随着Meta World编辑器这类开发工具的大规模应用,开发人员将能以低成本轻松创作VR安全意识教育内容。
需要完整报告,请移步下载: