觀點

[專訪] 落實資安教育 別成為勒索病毒下一個受害者

2017 / 07 / 07
編輯部
[專訪] 落實資安教育 別成為勒索病毒下一個受害者
5月12日,勒索病毒「WannaCry」全球爆發,為全球大眾上了一堂寶貴的資安教育課程。大家突然都了解「系統更新」與「資料備份」的重要。但這兩者都不是什麼很先進,或很複雜的產品或技術,那為何之前都做不到呢?問題還是出在「人」的身上。卡巴斯基台灣技術總監謝長軒提到,使用者不良習慣是引發資安事件主要的原因之一,所以對於「人」的教育也是資安防護相當重要的一環。

傳統教育訓練流於形式
要強化資安意識,當然就想到教育訓練,但現在許多企業的內部訓練課程,要協調時間、場地,增加人員負擔,教材一成不變,最重要的是上完課後往往難以評量課程的效果,使教育訓練往往流於形式。既然要做,為何不做得更好?俄羅斯知名防毒軟體廠商卡巴斯基推出的線上資安訓練課程,就希望能以更便利、有效的方式提升企業員工的資安意識。

此課程是架構在雲端平台上,所以使用者只需點選E-mail內的網站連結,或透過瀏覽器登入帳號即可使用,不受任何場地、時間的限制。課程內容上,目前共有21個模組,包括密碼安全、網頁瀏覽安全、行動裝置安全、資料保護與銷毀等主題。每個模組下還有數個章節,每章課程長度約10至15分即可完成,未來也會不定期的更新模組題庫。教材難易度上適合一般員工,內容也相當貼近日常生活,且兼具圖片與文字的形式,讓教材內容更具可讀性。以此次爆發的勒索病毒為例,卡巴斯基教育平台中也有「防止受勒索軟體侵害」的模組,教導使用者如何學習辨識勒索軟體,並透過系統更新等方式來避免遭受攻擊。

互動式設計 統計報表掌握學習狀況
線上訓練課程常為人所垢病的就是無法了解員工上課情況,因此不少人會直接不斷點擊螢幕,或任其播放結束來完成課程。為避免這種情況,此平台是採互動式的設計,使用者需按螢幕指示來完成指定動作才能再繼續課程。課程到每一個段落也都有安排測驗,像是「教您判斷密碼強度的差別?」等,不論回對錯都會出現提示或說明原因來協助學員完成課程。

在課後效果的評鑑上,卡巴斯基雲端平台也提供了完整的後台管理報表,讓企業人資能掌握每個員工的學習狀況。例如可從員工回答的歷史記錄,來確認員工是否靠一直重複答題才完成課程。也能從整體統計看哪些模組的成績最差?或哪些題目最多人答錯,這樣就能了解員工在哪方面的資安意識還有不足,需要再加強教育。

結合社交演練 驗證所學
即使線上統計的成績再好,重點還是要看能否能應用在日常工作上。卡巴斯基教育平台的特色之一,就是整合釣魚郵件的社交演練功能,向受測者發送釣魚測試郵件。而釣魚郵件的內容可使用內建範本,甚至是按客戶需求來客製化,以實地檢視員工的資安意識是否有所提升?

謝長軒強調,「惡意程式來自人,使用者也是人,所以威脅就是一種人到人的行為」。也因此有些安全問題不一定靠產品就能解決,而資安意識也只能靠不斷的教育慢慢累積而成,以免人為的錯誤成為企業資安的無形漏洞。