ACM通信

的观点

即使用户不阅读安全指令，他们的行为也不会那么灾难性

文/ Vashek Matyas, Kamil Malinka, Lydia Kraus, Lenka Knapova, Agata Kruzikova
ACM通信，2022年1月，第65卷第1期，37-40页
10.1145 / 3471928
评论

二十多年前，亚当斯和萨塞在他们被高度引用的开创性研究中¹挑战了IT安全专业人员普遍持有的观点——用户是组织中的敌人——不关心安全的人，并以具有威胁性的方式行事。虽然从那时起，研究界作出了许多努力，以减轻终端用户的负担，并使安全系统更可用，⁶组织安全方面的情况似乎没有改善。根据一项调查⁴一项由IT安全专业人士在线社区开展的调查显示，大多数专业人士仍然认为“疏忽或违反安全政策的用户”是“最大的数据泄露风险”。此外，正如Herley所说，⁷用户不遵循安全建议可能有合理的原因，只是因为遵循安全建议的成本可能高于收益。

在马萨里克大学(MU)——一所拥有大约30000名学生的捷克大学——我们想从用户的角度了解更多关于当前事务的状态:用户(仍然没有)遵守安全策略吗?与此同时，我们大学的IT基础设施管理部门打算重新设计(过时的)安全指令，这为我们更深入地研究这个主题提供了一个理想的机会。

安全指令(又称信息安全策略)是一种高级文档，它为定义、沟通和执行组织的信息安全策略奠定了基础。它描述了用户必须遵循的原则，以支持保护组织的资产(例如，技术基础设施或知识)。有些人认为(我们也是这样认为的)，拥有一个可用的安全指令是激励用户安全行为的基石。²同样，当安全决策者在安全指令设计中忽略了可用性方面时，他们也多次受到批评。⁹

我们试图改进我们的安全指令，以激励用户遵守它。然而，正如我们在这里详细描述的那样，我们的信仰受到了沉重的打击，但这并不是徒劳的努力。作为副作用，我们获得的数据显示了这一领域的新视角。

回到顶部

提高指令

六年前，我们有很好的机会参与了摩大安全指令的现代化，因为我们渴望找到真相，我们当时决定，除了将现代趋势落实到指令中，⁸我们还将设计调查来衡量这些变化对(用户自我)报告的安全行为的影响。法律和IT团队都投入了相当大的努力，大学管理层也投入了相当大的努力，希望大学指令在实践中更容易遵循(它的伞形设计之后添加了额外的文件和措施，如用户培训，强调单一联络点以方便事件沟通，等等)，更可用(在可访问性和阅读方便方面)。因此也有更多的学生阅读，这将积极有助于改善他们的安全行为。

“大学计算机网络的管理和使用”指令随后被修改为“信息技术的使用”指令，重点关注可接受的使用(用于工作和学习任务等)、安全事件期间的行为和认证数据的保护。在重新设计过程中，指令长度从5.5页缩减到两页;此外，新指令的定义明显减少。前面提到的与所有用户无关的技术问题(例如，管理员任务或网络层次结构)被删除了，访问权限问题缩减为一句话，隐私问题留给了特定的指令。最终，没有明确的制裁措施。

显然，该指令还涉及到与MU信息系统(IS)的交互，因为学生使用IS完成重要任务，包括课程注册、考试期限、访问学习材料、成绩，并使用IS的电子邮件前端与工作人员沟通。

回到顶部

我们的研究:更好的指令=更好的安全?

为了找到答案，我们在密歇根大学组织了一项纵向研究，旨在调查安全态度/行为和机构安全指令的知识。该研究在2015年、2017年和2018-2019年重复进行，对应于机构生命的三个阶段:在(重新设计的)指令发布之前(随后在2017年9月发布，推迟了);通过标准机构渠道发布后两个月;最后，在几个安全问题，如密码共享，恶意软件的范围，或访问滥用受害者，等等的运动之后。

---

当我们在第三轮调查之后开始分析获得的数据时，我们发现了令人惊讶的结果，这引发了研究团队成员的热烈讨论。

---

我们在第三阶段之前协调的活动利用了大学杂志(唯一的全校期刊)的在线和纸质版本。我们在印刷版(6,000份)中有一个首页吸引器，在第一阶段呈现了令人惊讶的结果，密码安全性很差。我们还强调了新的安全指令的存在。为了增加曝光度，这篇文章在不同的Facebook群组上通过三个活动进行了宣传，覆盖了大约1.5万人。对于在线版本，我们获得了966个独立文章页面浏览量(650个来自Facebook)。这篇文章大约有1000字，以平均花费在文章页面上的时间为5分1秒，考虑到平均阅读速度约为每分钟200字，这篇文章是完整阅读的。¹¹

调查是在所有学生都可以使用的计算机馆里进行的。在学生登录时，研究问卷显示给每个学生，并有可能完全跳过它(有时在下次登录时显示)。密歇根大学所有9个学院的学生都参与了这项研究，主要目的是避免关注特定学科的学生，例如计算机。2015年有613名受访者，2017年有1100人，2019年有1309人。女性分别占52.7%、62.3%和63.3%，平均年龄分别为22.98、22.24和22.11岁。

当我们在第三轮调查之后开始分析获得的数据时，我们发现了令人惊讶的结果，这引发了研究团队成员的热烈讨论。虽然指令相关问题的结果相对容易解释(不令人满意)，但在一个由心理学家、社会学家、工程师、计算机科学家和管理人员组成的多学科研究团队中，对何为“坏”或“好”安全行为的看法自然存在很大分歧。尽管安全行为还不理想，但我们得出的结论是，在给定的环境下(大多数用户没有读过指令)，它是相当合理的，正如我们在这里所描述的。

回到顶部

用户阅读指令越来越少…

从来没有读过安全指令的用户比例随着时间的推移显著增加图1；以下报告的所有结果——如果没有明确指出——都在p< 0.05)，以及那些声称对该指令一无所知的人的百分比。请注意，大部分调查项目的回答量表都进行了分组和二分，以清楚地显示出行为和知识的差异。对该指令规定事项的了解程度也有所下降:2015年43.6%的受访者(正确)证实该指令规定了他们在宿舍网络中使用笔记本电脑，但2017年和2019年只有34.9%和34.1%的受访者证实了这一点。对于连接到大学Wi-Fi网络的私人智能手机，差异并不显著，但与第一波相比有所下降(分别下降了4个和1.8个百分点)——2015年为31.3%，2017年为27.3%，2019年为29.5%。这些发现让我们和密歇根大学的安全决策者们感到负面的惊讶，尤其是相关研究暗示，员工不阅读的比例要低得多。⁵

图1。该图表报告了从未读过指令的用户的份额和报告不知道内容的用户的份额。这些趋势与共享MU密码的用户比例的下降形成了对比。

回到顶部

然而，用户的安全行为并没有那么糟糕

然而，用户也报告说，在我们的研究期间，他们对电脑的保护水平是相当合理的，而且没有任何重大变化(除了更新应用程序，不定期更新的用户比例从2015年的30%上升到2017年的36%和2019年的34%)，只有约30%的用户不定期更新他们的操作系统(或者可能不知道发生了这种情况)。只有12%的人没有使用最新的恶意软件保护(或不知道这是在他们的操作系统中构建的)，只有5%的人报告没有使用防火墙(再次强调，他们可能甚至不知道这包括在他们的操作系统设置中)。我们认为这是非常积极的发现。

离开电脑厅时锁住正在使用的工作站是我们研究的另一个方面。作为图2我们发现，在离开工作场所时锁定屏幕的用户比例方面，趋势有所改善。

图2。该图通过三种不同的离开电脑大厅的原因收集的数据显示了电脑锁定的趋势——午餐(蓝色)、咖啡/饮料(橙色)和电话(灰色)。

从不同的角度来看同样的情况，我们想要找出那些遵循“如果你看到了什么，就做些什么”的原则，在经过时对别人未上锁的电脑采取行动的用户的百分比。在这里，尽管不愿对另一个用户解锁的电脑做任何事情的用户比例有所下降，但我们认为这一比例仍然高得令人不快——2015年为78.5%，2017年为73.7%，2019年为70.0%。

---

用户在处理密码时的行为既有积极的一面也有消极的一面。

---

用户在处理密码时的行为既有积极的一面也有消极的一面。我们的研究显示，分享过IS密码的受访者比例出现了非常积极的下降趋势——其中有51.1%的人报告在2015年分享过，2017年和2019年分别下降到35.9%和36.3%。类似地，大约四分之一(26.5%-27.3%)在其他地方重用IS密码，而在其他服务之间重用其他密码的频率更高(34.8%-37.4%)。我们认为后两个数字是一个令人惊喜的发现，因为在被研究的年龄组中，其他地方发现密码重用率高达76%。^3.消极的一面是，在那些共享密码以访问IS的用户中，超过一半(56.1%-59.4%)的人报告说之后没有修改密码，这使他们未来很容易受到冒充攻击。看到图3和它的标题了解更多细节。

图3。在最近的数据收集中，只有36.3%的受试者分享了他们的IS密码，59.4%的受试者在分享后没有修改密码，只有40.6%的受试者这么做了。

回到顶部

结语:希望是有理由的

我们期望我们改进安全指令的努力会对学生的安全行为产生积极的影响。但这并没有发生——用户根本没有阅读它。然而，对一大批大学生的纵向研究结果仍然显示出自我报告的安全行为的积极趋势——尽管很少接触到指令。虽然还不理想，但终端设备的保护和人们处理密码的方式已经达到了合理的水平。这是否是由于接触了相关信息的外部来源(例如，相关工作)¹⁰暗示只有29.5%的人了解工作中的安全行为)或更自然地采用技术仍有待在未来的工作中调查。

回到顶部

回到顶部

回到顶部

数字图书馆是由计算机协会出版的。版权所有©2022 ACM, Inc.

---

没有发现记录