[專訪] 落實資安教育別成為勒索病毒下一個受害者

2017 / 07 / 07

編輯部

5月12日，勒索病毒「WannaCry」全球爆發，為全球大眾上了一堂寶貴的資安教育課程。大家突然都了解「系統更新」與「資料備份」的重要。但這兩者都不是什麼很先進，或很複雜的產品或技術，那為何之前都做不到呢？問題還是出在「人」的身上。卡巴斯基台灣技術總監謝長軒提到，使用者不良習慣是引發資安事件主要的原因之一，所以對於「人」的教育也是資安防護相當重要的一環。

傳統教育訓練流於形式
要強化資安意識，當然就想到教育訓練，但現在許多企業的內部訓練課程，要協調時間、場地，增加人員負擔，教材一成不變，最重要的是上完課後往往難以評量課程的效果，使教育訓練往往流於形式。既然要做，為何不做得更好？俄羅斯知名防毒軟體廠商卡巴斯基推出的線上資安訓練課程，就希望能以更便利、有效的方式提升企業員工的資安意識。

此課程是架構在雲端平台上，所以使用者只需點選E-mail內的網站連結，或透過瀏覽器登入帳號即可使用，不受任何場地、時間的限制。課程內容上，目前共有21個模組，包括密碼安全、網頁瀏覽安全、行動裝置安全、資料保護與銷毀等主題。每個模組下還有數個章節，每章課程長度約10至15分即可完成，未來也會不定期的更新模組題庫。教材難易度上適合一般員工，內容也相當貼近日常生活，且兼具圖片與文字的形式，讓教材內容更具可讀性。以此次爆發的勒索病毒為例，卡巴斯基教育平台中也有「防止受勒索軟體侵害」的模組，教導使用者如何學習辨識勒索軟體，並透過系統更新等方式來避免遭受攻擊。

互動式設計統計報表掌握學習狀況
線上訓練課程常為人所垢病的就是無法了解員工上課情況，因此不少人會直接不斷點擊螢幕，或任其播放結束來完成課程。為避免這種情況，此平台是採互動式的設計，使用者需按螢幕指示來完成指定動作才能再繼續課程。課程到每一個段落也都有安排測驗，像是「教您判斷密碼強度的差別？」等，不論回對錯都會出現提示或說明原因來協助學員完成課程。

在課後效果的評鑑上，卡巴斯基雲端平台也提供了完整的後台管理報表，讓企業人資能掌握每個員工的學習狀況。例如可從員工回答的歷史記錄，來確認員工是否靠一直重複答題才完成課程。也能從整體統計看哪些模組的成績最差？或哪些題目最多人答錯，這樣就能了解員工在哪方面的資安意識還有不足，需要再加強教育。

結合社交演練驗證所學
即使線上統計的成績再好，重點還是要看能否能應用在日常工作上。卡巴斯基教育平台的特色之一，就是整合釣魚郵件的社交演練功能，向受測者發送釣魚測試郵件。而釣魚郵件的內容可使用內建範本，甚至是按客戶需求來客製化，以實地檢視員工的資安意識是否有所提升？

謝長軒強調，「惡意程式來自人，使用者也是人，所以威脅就是一種人到人的行為」。也因此有些安全問題不一定靠產品就能解決，而資安意識也只能靠不斷的教育慢慢累積而成，以免人為的錯誤成為企業資安的無形漏洞。