在电脑安全防护的概念中,使用者往往是最脆弱的一环。他们常常不会设定安全的密码,还会把密码写下来,或把密码给予其他外人。他们可能使用老旧或过时的安全软件,疏于提防网络钓鱼等等诈骗行为,还会任何点击来自网页、电子邮件或即时信息中的不明链接。
在日前举行的病毒通报会议中,瑞典斯德哥尔摩皇家科技大学的博士研究生Stefan Gorling表示,上述情形是他观察到的现状。
在公司的电脑或网络出事的时候,使用者会向其公司或外部的电脑厂商、软件厂商或网络服务企业等等寻求协助,同时往往花费一大笔钱。而许多科技企业表示,这个问题的解决之道,就是教育使用者如何应付网络上的各种威胁。然而Gorling表示,这些教育并没有用,也使用了错误的方法。
“有没有可能我们只是利用使用者教育的这个词句与观念来掩盖我们的失败?”他对一群安全专家提出质问:“所谓的安全教育,会不会只是把我们这些安全专家该做的事丢给那些使用者?会不会只是让他们替我们做那些本来就应该是我们IT部门应该要做的事情?”
谁的责任?
由Gorling的观点观之,这些问题的答案就是“是”。他认为在公司里面,所谓安全防护的工作,就应该属于IT部门,而不是使用者。他表示,就好像会计部门专门负责处理财务报表与支出报表,而IT部分就应该处理电脑安全的问题。使用者要担心的是他们的工作,而不是电脑安全。
举例来说,要求使用者自行判断电子邮件是否藏有骗取个人邮件位址的诈骗信息,是十分没有效率的。“要判断网络钓鱼太困难了,就算对网络专家来说也是如此。”
而且就算使用者可以被训练,他们也不可能随时保持警觉,他表示。
“我不相信使用者的教育可以解决网络安全问题,因为网络安全对使用者来说,永远只是第二目标,”Gorling表示:“要达到网络安全,所有的安全程序都要彻底实行。然而这些程序必须要设计成不跟使用者的主要目标有所冲突。如果他影响了使用者的主要工作,就不可能成功实施。”
在这个病毒通报会议上所提出的内建安全功能的范例包含有网络浏览器的网络钓鱼防护软件,电子邮件服务与程序的病毒防护,以及微软Windows Live Messenger等即时通信服务内的防护功能。
Gorling的发言在病毒通报会议中,同时得到许多支持与反对声浪。英国IBM的网络安全专家Martin Overton同学这位瑞典博士班学生的意见。他表示,公司内部大多数的电脑使用者只想要专心于工作内容,然后把赚来的钱拿回家花。
“这的确是场恶梦。使用者教育根本就是浪费时间。这几乎就像把果冻钉在墙壁上一样徒劳无功,”Overton表示:“要教使用者什么是网络钓鱼,什么是恶意软件,什么是木马程序等等,实在不得要领。他们根本不感兴趣。他们只想要专心做他们自己的工作。”
网友评论