二十多年前,亚当斯和萨斯在他们被高度引用的开创性工作中1挑战了IT安全专家普遍持有的信念——用户是组织内部的敌人——那些不关心安全并随后以一种威胁的方式行动的人。虽然从那时起,研究界采取了许多努力,以减轻终端用户的负担,并使安全系统更可用,6看来组织安全方面的情况并没有改善。根据一项调查4一个IT安全专家的在线社区——大多数这些专家仍然认为“疏忽或违反安全政策的用户”是“最大的数据泄露风险”。同时,正如Herley所说,7用户不遵循安全建议是有原因的,因为遵循安全建议的成本可能高于收益。
在Masaryk大学(MU)——一所拥有大约30,000名学生的捷克大学——我们想从用户的角度了解更多关于当前事态的情况:用户(仍然没有)遵循安全策略吗?同时,我校IT基础设施管理部门有意向重新设计(过时的)安全指令,为我们深入研究这一课题提供了一个理想的机会。
安全指令(也称为信息安全策略)是一种高级文档,它为定义、交流和执行组织的信息安全策略建立基础。它描述了用户必须遵循的原则,以支持组织资产的保护(例如,技术基础设施或知识)。有些人相信(我们也相信)拥有一个可用的安全指令是激励用户安全行为的基石。2类似地,安全决策者在安全指令设计中忽略可用性方面时也一再受到批评。9
我们试图改进我们的安全指令,以激励用户遵守它。然而,我们的信仰受到了沉重的打击——正如我们在这里详细描述的那样,但这并不是白费力气。我们获得的副作用数据显示了这一领域的新视角。
六年前,我们有幸参与了密歇根大学安全指令的现代化,由于我们渴望找到真相,我们当时决定,除了将现代趋势纳入指令,8我们还将设计调查来衡量这些变化对(用户自我)报告的安全行为的影响。法律和IT团队都投入了相当多的努力,大学的管理层也是如此,希望大学的指令在实践中更容易遵循(其伞形设计之后有额外的文件和措施,如用户培训,强调单点接触,以方便有关事件的沟通,等等),并更易于使用(在可访问性和易于阅读方面),因此,也被更多的学生阅读,这将积极有助于改善他们的安全行为。
随后,“MU计算机网络的管理和使用”指令被修改为“信息技术的使用”指令,重点关注可接受的使用(用于工作和学习任务等)、安全事件期间的行为和认证数据的保护。在重新设计的过程中,指令的长度从5.5页缩减到两页;此外,新指令的定义明显减少。前面提到的不涉及所有用户的技术问题(例如,管理员任务或网络层次结构)被删除,访问权限问题缩小到一句话,隐私问题留给一个特定的指令。最终,没有具体的制裁措施。
显然,该指令还涉及到与MU信息系统(IS)的交互,因为学生使用IS进行关键任务,包括注册课程、考试学期、获取学习材料、评分,并使用IS电子邮件前端与工作人员进行通信。
为了找到答案,我们在mu组织了一项纵向研究,目的是调查安全态度/行为和机构安全指令的知识。该研究在2015年、2017年和2018-2019年反复进行,对应于机构生命的三个阶段:在(重新设计的)指令发布之前(随后在2017年9月延迟发布);两个月后通过标准的机构渠道发布;最后,在一系列安全问题上,比如密码共享,恶意软件的范围,或访问滥用受害者,等等。
在第三轮调查之后,当我们最终开始分析得到的数据时,我们发现了令人惊讶的结果,并在研究小组成员中引发了热烈的讨论。
在第三阶段之前,我们协调的活动利用了校刊(唯一的校刊),有网络版和纸质版。我们在印刷版(6000份)的首页上有一个吸引器,展示了第一阶段令人惊讶的结果,密码安全性很差。我们还强调了新的安全指令的存在。为了增加曝光度,这篇文章在不同的Facebook群组中进行了三次宣传,达到了大约15000人。对于在线版,我们获得了966次独特的文章页面浏览量(650次来自Facebook)。这篇文章大约有1000字,根据测量的平均阅读时间5分1秒,考虑到平均阅读速度约为200字/分钟,这篇文章被完整阅读。11
调查是在所有学生都可以使用的计算机大厅进行的。在学生登录时,研究问卷会显示给每个学生,有可能完全跳过它(有时会在下次登录时显示)。密歇根大学所有九个院系(学院)的学生都参与了这项研究,其主要目的是避免关注选定学科的学生,例如计算机专业的学生。2015年有613名受访者,2017年有1100人,2019年有1309人。女性分别为52.7%、62.3%和63.3%,平均年龄22.98、22.24和22.11岁。
在第三轮调查之后,当我们最终开始分析得到的数据时,我们发现了令人惊讶的结果,并在研究小组成员中引发了热烈的讨论。虽然指令相关的问题的结果相对容易解释(不令人满意),但是在一个由心理学家、社会学家、工程师、计算机科学家和管理人员组成的多学科研究团队中,关于什么构成“坏”或“好”安全行为的观点自然存在很大分歧。尽管安全行为还不是很理想,但我们得出结论,在给定的环境下(大多数用户没有阅读指令),就像我们在这里描述的那样,它是相当合理的。
随着时间的推移,从不阅读安全指令的用户比例显著增加(参见图1;在此报告的所有以下结果——如果没有明确说明的话——都在统计学意义上进行了检查p< 0.05),那些宣称对指令一无所知的人的百分比也是如此。请注意,大部分调查项目的回答量表都是分组和二分的,以清楚地显示行为和知识的差异。对该指令规定事项的了解程度也有所下降:2015年43.6%的受访者(正确)认为该指令规定了他们在宿舍网络中使用笔记本电脑,而2017年和2019年这一比例仅为34.9%和34.1%。对于连接到大学Wi-Fi网络的私人智能手机,差异不显著,但比第一波有所下降(分别下降了4和1.8个百分点),2015年为31.3%,2017年为27.3%,2019年为29.5%。这些发现让我们和密歇根大学的安全决策者感到负面的惊讶,尤其是相关研究暗示员工的不阅读率要低得多。5
图1。图表显示从未阅读该指令的用户比例和不知道该指令内容的用户比例。这些趋势与共享MU密码的用户比例下降形成了对比。
然而,用户也报告了他们的电脑保护水平,我们认为这是非常合理的,在我们的研究期间没有任何重大变化(除了更新应用程序,不定期更新的用户比例从2015年的30%增加到2017年的36%,2019年的34%)-只有大约30%不定期更新他们的操作系统(或可能没有意识到这种情况发生),只有12%的人不使用(或不知道这是内置在他们的操作系统中)最新的恶意软件保护,只有5%的人报告没有使用防火墙(再次强调,他们可能甚至不知道这包括在他们的操作系统设置中)。我们认为这些是相当积极的发现。
离开计算机大厅时锁定使用中的工作站是我们研究的另一个维度。作为图2我们发现,在离开工作场所时锁定屏幕的用户比例有所提高。
图2。这张图显示了三个数据集合中,离开计算机大厅的三种不同原因——午餐(蓝色)、咖啡/饮料(橙色)和电话(灰色)——导致的计算机锁定趋势。
从不同的角度来看同样的情况,我们想找出用户在经过别人未解锁的电脑时,遵循“如果你看到什么,就做什么”的原则,会对别人的电脑做些什么的百分比。在这里,虽然不愿对另一个用户解锁的电脑采取任何行动的用户比例有所下降,但我们认为这一比例仍然很高——2015年为78.5%,2017年为73.7%,2019年为70.0%。
用户在处理密码时的行为既有积极的一面也有消极的一面。
用户在处理密码时的行为既有积极的一面也有消极的一面。我们的研究显示,曾经分享过自己的IS密码的受访者比例呈非常积极的下降趋势——2015年有51.1%的受访者曾分享过自己的IS密码,2017年和2019年这一比例分别降至35.9%和36.3%。类似地,大约四分之一(26.5%-27.3%)在其他地方重用IS密码,而在其他服务之间重用其他密码的频率更高(34.8%-37.4%)。我们认为后两个数字是一个令人惊喜的发现——因为在被研究的年龄组中,密码重用率在其他地方高达76%。3.消极的一面是,对于那些分享了能够访问IS的密码的人来说,超过一半(56.1%-59.4%)的人表示之后没有更改密码,这使他们在未来可能容易受到假冒攻击。看到图3以及更多细节说明。
图3。在上次的数据收集中,只有36.3%的受试者曾分享过他们的IS密码,59.4%的受试者在分享后没有更改密码,只有40.6%的受试者更改了密码。
我们期望我们改进安全指令的努力会对学生的安全行为产生积极的影响。但这并没有发生——用户根本没有阅读它。然而,对一大批大学生进行的纵向研究的结果显示,尽管对指令的接触很少,但他们自我报告的安全行为仍呈现出积极的趋势。虽然还不理想,但终端设备的保护和人们处理密码的方式已经达到了一个合理的水平。这是否与相关信息的外部来源(例如,相关工作)有关10暗示只有29.5%的人了解工作中的安全行为)或更自然地增加对技术的采用,仍有待于未来的研究。
1.亚当斯,a,和萨斯,硕士。使用者不是敌人。Commun。42, 12(1999年12月),40-46。
2.Alotaibi, m.j., Furnell, S.和Clarke, N.报告和处理终端用户安全政策遵从性的框架。信息与计算机安全, 1(2019), 2-25。
3.CSID。消费者调查:密码习惯。美国消费者密码习惯研究(2012);https://bit.ly/3Hnfd84
4.黑暗的阅读。《战略安全调查》(2019);https://bit.ly/3DgMrn8
5.Da Veiga, A.比较读过和没读过信息安全政策的员工的信息安全文化。资讯及电脑保安(2016)。
6.可用的安全:历史、主题和挑战。信息安全、隐私和信任综合讲座, 2(2014), 1-124。
7.再见,不用感谢外部性:用户对安全建议的理性拒绝。在2009年新安全范式研讨会论文集、(2009);133 - 144。
8.隐私和安全可用的安全:如何获得它。Commun。ACM。5225日- 27日(2009);DOI: 10.1145/1592761.1592773。
9.Parkin, S.等。实现可用安全性的隐形方法:帮助IT安全经理确定可行的安全性解决方案。在2010年新安全范式研讨会论文集, 33-50(2010)。
10.Redmiles, E.M.等人。我是如何学会安全的:关于安全建议来源和行为的人口普查代表调查。在2016年ACM计算机与通信安全SIGSAC会议论文集,(2016), 666 - 677。
11.陈文敏,陈文敏。阅读能力的标准化评估:新型国际阅读速度文本IReST。眼科学与视觉科学, 9(2012), 5452-5461。
作者感谢马萨里克大学的学生和支持人员参与我们的实验,感谢David Smahel、Lenka Dedkova和Vlasta Bukacova在多年的实验设置和数据收集期间的合作,感谢Michal Muzik在数据分析方面的帮助,并感谢评审员提供有用的建议。Lydia Kraus还感谢ERDF项目网络安全、网络犯罪和关键信息基础设施卓越中心(No。CZ.02.1.01/0.0/0.0/16_019/0000822),以支持本观点。
数字图书馆是由计算机协会出版的。版权所有©2022 ACM股份有限公司
没有发现记录