超過(guò)30%的24歲以下員工承認(rèn)，會(huì)直接繞過(guò)某些企業(yè)安全策略來(lái)完成工作。

惠普近期發(fā)布的調(diào)查研究表明，試圖改善遠(yuǎn)程辦公員工網(wǎng)絡(luò)安全狀況的IT團(tuán)隊(duì)面臨危險(xiǎn)而有爭(zhēng)議的境況。

[[426349]]

HP Wolf Security調(diào)查訪問(wèn)了1100位IT決策者，并通過(guò)YouGov在線收集了8443位居家辦公員工的看法，發(fā)布了《反抗與拒絕》(Rebellions & Rejections)報(bào)告。

這份調(diào)查研究報(bào)告發(fā)現(xiàn)，IT員工常覺(jué)得自己別無(wú)選擇，只能犧牲網(wǎng)絡(luò)安全，從而安撫那些抱怨某些措施拖慢業(yè)務(wù)流程的員工。一些遠(yuǎn)程工作的員工，尤其是24歲及以下的那些，堅(jiān)決拒絕他們認(rèn)為“妨礙”了自己到期交工的網(wǎng)絡(luò)安全措施。

超過(guò)75%的IT團(tuán)隊(duì)聲稱，新冠肺炎疫情期間，網(wǎng)絡(luò)安全的重要性被放到了業(yè)務(wù)連續(xù)性之后;91%的IT團(tuán)隊(duì)報(bào)告稱，被迫為業(yè)務(wù)操作而犧牲了安全性。

近一半的24歲員工認(rèn)為網(wǎng)絡(luò)安全工具是“阻礙”，31%承認(rèn)會(huì)直接繞過(guò)某些企業(yè)安全策略來(lái)完成工作。

遺憾的是，全部受訪員工中幾乎半數(shù)都認(rèn)為網(wǎng)絡(luò)安全措施浪費(fèi)了自己的時(shí)間，而在24歲以下的受訪員工中，持這種觀點(diǎn)的人占64%。調(diào)查發(fā)現(xiàn)，相比會(huì)不會(huì)引發(fā)數(shù)據(jù)泄露，18~24歲的員工中54%更關(guān)心自己的工作能不能按時(shí)完成。

研究人員發(fā)現(xiàn)，39%的受訪者并不完全清楚自家公司都有哪些安全策略，導(dǎo)致83%的受訪IT員工都將遠(yuǎn)程辦公認(rèn)為是數(shù)據(jù)泄露“定時(shí)炸彈”。

惠普個(gè)人系統(tǒng)全球安全主管Ian Pratt表示，每一位CISO都應(yīng)該擔(dān)憂員工主動(dòng)規(guī)避安全措施的問(wèn)題。

Pratt稱：“這是數(shù)據(jù)泄露滋生的溫床。”

“如果安全措施過(guò)于繁瑣，使人心生厭煩，那人們總會(huì)找出各種規(guī)避方法。相反，安全措施應(yīng)盡量采用低調(diào)、設(shè)計(jì)安全和直觀的技術(shù)，適應(yīng)現(xiàn)有工作模式和流程。最終，我們需要將安全辦公設(shè)計(jì)得跟不安全辦公一樣‘便捷’，而這可以通過(guò)從一開始就將安全內(nèi)置入系統(tǒng)中來(lái)實(shí)現(xiàn)。”

IT主管應(yīng)采取特定措施來(lái)應(yīng)對(duì)桀驁不馴的遠(yuǎn)程辦公員工，例如更新安全策略和限制訪問(wèn)某些網(wǎng)站與應(yīng)用。

但這些操作會(huì)導(dǎo)致員工不滿，37%的受訪員工表示，安全策略“常常限制過(guò)于嚴(yán)苛”。針對(duì)IT主管的調(diào)查訪問(wèn)發(fā)現(xiàn)，90%的受訪者因安全控制措施而遭到了抵制，67%聲稱每周都會(huì)遭到投訴。

超過(guò)80%的IT員工表示，“由于個(gè)人生活和工作之間的界限相當(dāng)模糊，幾乎不可能圍繞網(wǎng)絡(luò)安全制定和實(shí)施公司策略”，同樣比例的受訪者認(rèn)為，安全已經(jīng)成了一項(xiàng)“吃力不討好的任務(wù)”。

近70%的受訪IT員工稱，由于施加用于保護(hù)員工的安全限制措施，自己被視為“壞人”。

惠普首席信息安全官Joanna Burkey稱：“CISO面對(duì)的網(wǎng)絡(luò)攻擊越來(lái)越多，攻擊速度越來(lái)越快，嚴(yán)重性也越來(lái)越高。他們的團(tuán)隊(duì)不得不夜以繼日地工作，在保障業(yè)務(wù)安全的同時(shí)，克服疫情期間可見(jiàn)性降低的難題，推動(dòng)大規(guī)模數(shù)字化轉(zhuǎn)型。網(wǎng)絡(luò)安全團(tuán)隊(duì)不應(yīng)該再獨(dú)自承擔(dān)保護(hù)業(yè)務(wù)安全的重?fù)?dān);網(wǎng)絡(luò)安全人人有責(zé)。

Burkey補(bǔ)充道，IT團(tuán)隊(duì)?wèi)?yīng)向員工普及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不斷上升的情況，同時(shí)深入了解安全措施會(huì)給工作流和生產(chǎn)效率帶來(lái)怎樣的影響。

YouAttest首席執(zhí)行官Garret Grajek這樣的網(wǎng)絡(luò)安全專家曾說(shuō)過(guò)，每種新型訪問(wèn)方式、每個(gè)新用戶池和每項(xiàng)新技術(shù)，都會(huì)為攻擊者引入新的攻擊渠道和漏洞。

Grajek指出：“50萬(wàn)飛塔虛擬專用網(wǎng)用戶暴露在網(wǎng)上的案例，證明了即使是最好的居家辦公計(jì)劃也難免存在漏洞。面對(duì)其他攻擊渠道，企業(yè)必須假設(shè)自己終將遭遇攻擊，然后確保能夠緩解或限制惡意用戶訪問(wèn)和操作。”