员工资安教育训练管不管用？研究：成效有限

要避免员工误按可疑连结导致后续的资安攻击，持续提供人员训练与告诫提醒是最好的方法？德国艾尔朗根-纽伦堡大学的研究结果却显示，效果一点也不显著。

该大学资安与隐私研究团队的人为因素小组召集人Zinaida Benenson在周三的美国黑帽骇客年会上，展示其以学生为样本的研究显示，依据开放系统互连模式定义的网络第8层，亦即人类行为所导致的安全问题，要解决实在困难重重。

受测者被安排进行钓鱼讯息的测试，并被研究人员透过电子邮件与Facebook通讯服务以未知来源寄送讯息，声称连结能够观看除夕派对的照片，还要求收讯者不要再把讯息转发给第三者。有25%的受试者点开了透过邮件传输的连结，更有高达43.5%的使用者点击了透过Facebook而来的连结。

此外，受测者还会对自己的行为撒谎。只有15.5%的受测者坦承有点击钓鱼邮件中的连结，而较多受测者点击的Facebook连结，却只有18%的受测者坦承有点击。多数受测者表示，点击不明连结的原因是好奇。

值得注意的是，尽管实验是透过不明对象的身份寄发讯息，有点击者中却有16%声称他们认识发来连结的人，所以相信连结是安全的，另有5%的受测者表示浏览器很安全，应该可以保护他们不受恶意程式攻击。

Benenson表示，尽管企业可以要求员工对所有收到的信件或讯息采取“007庞德模式”，亦即都抱持高度怀疑来检验与看待，但这种作法本身不但不切实际，而且还可能导致不健康的生活形式。

此外，在企业环境中，这种政策还带来的坏处可能比好处还大，一方面可能摧毁企业中员工彼此的信任关系，IT人员也可能因为处理假警报而疲于奔命，而将正常邮件误判为病毒邮件而搁置处理造成的商业损失，更是难以估计。

她建议，企业或许可以采用数位签章，但要确保员工真正理解数位签章的意义，而非照单全收所有具备数位签章的邮件，此外，企业内部的电子邮件或讯息风格最好一致，以免合法的邮件被误认。