前沿 Idea Watch

---

理念回歸實踐

“讓課程更加
個人化，大家
更容易堅持下
去”

房利美（Fannie Mae）的首席信息安全官克里斯托弗·波特（Christopher Porter）負責監督近7500名員工以及數千名獨立合同員工和顧問的安全培訓。最近他接受了《哈佛商業評論》的采訪，談到了該公司是如何抵御釣魚攻擊的。以下是采訪節錄。

你們會進行何種防釣魚攻擊培訓?

整個公司都設有廣泛的強制性培訓，我們還針對特定部門采取了其他措施。例如，應付賬款和財務部門面臨獨特的攻擊，需要培養特殊的防御能力。此外，每個月我們都會圍繞特定主題進行一次模擬釣魚攻擊演習。員工點擊一個測試郵件，會立即得到反饋——一個簡短的視頻會告訴他們為什么這條信息是釣魚攻擊。如果員工在一年內有兩項或以上的測試不合格，就要參加額外的小組培訓來進行補習。最后，我們每周都會進行一次安全意識宣傳活動：每周五發布一篇博客，討論如何識別網絡攻擊的一些問題，以及在發現網絡攻擊時應該如何處理——讓大家主動報告攻擊郵件至關重要。我們在不斷地強調員工需要采取什么行動。

你們每月演習的重點是什么?

有三個主題。第一個是損失：攻擊者威脅說，如果有人不回應，就會奪走他的某些東西。第二個是承諾：員工被告知點擊某個鏈接就會得到一些東西。第三點與情感有關——試圖利用諸如好奇心之類的東西。重要的是要知道員工最容易上哪一種的當，這樣才能有針對性地進行培訓。我們還會觀察在某個特定時段流行什么樣的攻擊。比如最近，與新冠疫情相關的釣魚郵件很容易令人上當。

研究發現，簡單的思維練習可以增強員工對釣魚的抵抗力。你們用過這種方法嗎?

我們嘗試讓員工使用“停下，思考，行動”的流程。例如，鼓勵他們在看到標記為外部信息的郵件時停下來，在繼續閱讀或采取任何行動之前問問自己是否在等這封郵件、是否認識發件人、是否有什么事情感覺不對勁。這種做法慢慢提高了我們的抵抗力。

如何防止員工完成了培訓卻沒有真正理解吸收?

首先，試著讓培訓變得好玩。我們用專業人士制作的動畫視頻來進行安全培訓，有時視頻的配音是明星——喜劇演員喬恩·洛維特（Jon Lovett）就配過一次。其次，我們會參考研究成果：如果你教會員工在家里保護自己的信息，他們會把這種經驗帶到辦公室，并應用到公司的信息上。為此，我們向員工展示了如何設置多重因素認證來保護個人財務信息安全。在報稅季節，我們會提醒員工注意自稱來自美國國稅局的詐騙信息。我們做了很多事情來幫助員工保護自己的家人，比如請一位女性來公司講小時候被網絡獵手綁架的經歷，以及父母如何保護孩子免受網絡犯罪侵害。研究與我們的發現表明，個人化的培訓課程更容易讓人堅持下去。