网络通信 频道

警惕:自身恐惧感是安全决策最大隐患

      【编者按】在一年一度的RSA大会上,著名安全专家Bruce Schneier提出了一个惊人的安全威胁质疑:在企业原本应该非常慎重的信息系统的安全决策,却并非以事实情况的详细研究为依据,而被出于自身难以察觉的恐惧感和不理智反应而左右?
    
     【IT168 资讯】Bruce Schneier 先生是著名的安全服务提供厂商Counterpane Internet Security 公司的首席技术官,他在安全领域一向以坦率直言著称。在一年一度的RSA Conference会议上,他指出人类关于安全的决策和安全观往往会被不理智的动机和下意识所左右,并以此为题进行了精彩的阐述。

  Schneier 指出,安全管理人员需要明白这样一个现实情况:不管是他们自己,还是他们的业务管理人员或是他们公司的用户,大家在做出关键安全决策时,并非是以事实情况的详细研究为依据,而往往是出于自身难以察觉的恐惧感和不理智的反应。

    安全心理的博弈

     对企业至关重要的安全决策,缘何居然会被不理智的反应所左右?

     对此,Schneier解释到:“安全不过是折衷的作法。有得必有失,不管这种折衷的作法出于有意还是无意,这种情况的确存在。”

     同时,Schneier为大家举了一个现实生活中的例子:大家在日常的生活中一般不会有人穿防弹背心,因为大家认为即使有危险,也没有必要穿。特别是当想到穿着它既不美观、也不舒服时,就更不想穿了。不仅如此,大家每天都在做着穿防弹背心的这样或那样折衷的事情。

      “在业务领域内,人的心理状态在关于获取安全防范的最终决策中往往会发挥极为重要的作用。” Schneier特别强调到。

      Schneier之所以得出上述结论,有着相当坚实的科学依据,内容涉及行为科学、人类心理学和关于人类决策的学院式研究。Schneier表示,有理由相信关于安全的决策的合理性往往并不如人所愿。

     生理学反应:你觉得安全的未必安全

     “‘感觉与现实相对立’。你觉得安全的未必安全;令你忧心忡忡的却安全的很。”经过从生理学的深入研究,Schneier得出这样的结论。

     Schneier指出,作为大脑的基本组成部分,脑扁桃体能够感知恐惧和引起惧怕或是反抗两种不同的反应。这一过程奇快,人们自己根本觉察不到。不过,它受到大脑更高级组成部分的支配。大脑新皮质是哺乳类动物大脑中的组成部分,它与人的意识有关,虽然其速度略慢,不过“其适应性和灵活性强”,其有助于对抗恐惧感,做出有助于提高安全性的决策。

     人类大脑在是否作出理性反应之前要经历内部斗争过程。对此,Schneier罗列出了被夸大的风险和不受重视的风险的详细清单。被人们夸大的风险类型包括“醒目、少见、不受控制、讨论已久、普遍问题、人为问题、即将发生、针对儿童或精神冒犯”等;被人们忽视的风险类型包括“司空见惯、寻常、完全可以操控、秘而不宣、自然的、悬而未决、进展缓慢或是影响他人”等。

      Schneier表示,研究表明人们经常会有“乐观性偏见”(optimism bias)——总会觉得自己比别人幸运。”他指出关于人们如何记事的心理研究表明“印象最深刻”,或者牢记在心的事情通常都表明是“人们总是健忘”。
经过复杂的心理学、人类行为学、安全学等综合分析,Schneier为大家的信息安全决策提出了明确的警示:人类的心理倾向,例如“锚定”这种心理状往往会被暗示的选择所左右,从而经常导致在决策时引发完全不理智的反应。在这样的心理框架中,安全管理人员应该认识到管理层和用户(如果不包括他们自己)对安全风险所作出的反应极端不理智。

      对于以上的现象,Schneier提出了这样的建议:对于那些知晓关于感觉和现实情况关系这种人性倾向的安全管理人员而言,他们获得的唯一好处就是能够善用“少许恰如其分的安全恐惧感”,这将有助于进行安全部署,或者甚至能“使人们感觉更舒服”。

      编辑点评:

       打江山难,守江山更难。为何有此一说,不外乎这样的一个道理:最大的敌人,不是别人,而是自己,最容易忽视的敌人,也是自己。

   同样,面对企业信息系统的安全问题,大家更多的是考虑外部威胁,例如病毒攻击、入侵检测、信息泄露等。对于这些已经被人关注的对象,容易受到我们的控制,但来自我们自己的威胁,却往往难以发现。Schneier先生给了我们一个很好的警示,我们应该注意自身,克服自己的恐惧式的偏见和不理智的反应。的确,恐惧式的偏见和不理智的反应,往往会让我们的企业安全决策有所偏失,应该注意的安全威胁,却视而不见。因为,我们需要高度重视自身的不理智反应,克服恐惧式的偏见。

   这就是一种很严重的安全威胁,我们应该注意!

0