近日，勒索、釣魚等攻擊充斥各大報端。人們理所當然地認為這種熱議可以提高網民的安全意識、改善網民的安全行為。

為了測試這一理論，Wombat Security在2017年5月初調查了超過2000名在職人員(一半來自美國，一半來自英國)，內容是數字安全和自我保護行為。

研究結果表明，要實現網民對最基本的數字安全風險有所認知，我們的路還很長。以下是Wombat Security首次網民風險報告的主要發現。

1. 缺少對釣魚和勒索的了解

英國和美國的受訪者對網絡釣魚有著同等的認識水平。70%的受訪者可以準確地描述網絡釣魚的威脅，但仍有30%的受訪者不知道釣魚。其中13%的受訪者完全不能想象釣魚意味著什么。

而與受訪者的無知形成鮮明對比的是，調查顯示43%的美國受訪者和19%的英國受訪者說曾遭受過網絡釣魚的攻擊。

網民對勒索攻擊的了解程度則更糟。只有不到一半的受訪者能正確定義加密—勒索攻擊，這一數字在美國/英國分別為37%和42%。這意味著近60%的參與者對勒索攻擊一無所知。

平心而論，人們已經增進了對勒索攻擊的認識。Wombat Security進行的調查恰恰在5月12日全球“魔窟”病毒爆發之前。

幸運的是，超過80%的兩國受訪者表示，他們會定期備份他們的數據。如果他們遭受勒索病毒感染，希望他們能想起這些備份。

2. 對無處不在的威脅的錯誤認識

對數字威脅的認識的缺乏會嚴重危害網民的數據。而一些常見的錯誤認識也會造成同等后果。例如，Wombat Security的調查顯示，過半(57%)的美國受訪者表示自己相信咖啡店、賓館等地的免費wifi不會危害信息安全。

只有27%的英國受訪者贊同這一觀點。在現實中，自由wifi、公共wifi服務為攻擊者提供了充足的機會來攔截網民的數據。考慮到這些威脅，網民應當避免通過任何公共wifi網絡進行金融業務。此外，網民也應該考慮使用VPN。

另一個問題在于，整體上看大多數受訪者過于信任他們的殺毒軟件了。58%的美國受訪者和37%的英國受訪者表示，他們認為殺毒軟件的安全策略可以保護自己免受攻擊。這種看法可能適用于90年代。但在一個惡意軟件不再依賴文件的時代，這種觀點完全過時了。

或許最令人不安的誤解在于，部分受訪者不能正確定義惡意軟件。只有78%的英國受訪者和61%美國受訪者表示，惡意軟件是“危害設備和文件的軟件”。其余受訪者大多認為，這是“偷wifi流量的設備”或“提供實時警告的移動應用”。

剩余的人則說他們完全不知道什么是惡意軟件。相當一部分的網民無法定義惡意軟件或認為惡意軟件是一種工具，很顯然，公司應該為員工進行更多關于數字安全威脅的培訓。

3. 密碼、移動安全和公司設備的使用

大多數網民能認真對待網絡賬戶、手機和公司設備的安全問題，但是在很多方面仍有改進的空間。舉例而言，67%的美國受訪者和45%的英國受訪者表示他們使用了密碼管理器或為不同賬戶設置了不同的密碼。

剩下的受訪者則說，他們為所有的賬戶設置了不到十種密碼，其中部分人只使用一種或兩種密碼。

關于移動設備的密碼，一半以上(54%)的受訪者表示自己使用了生物認證、復雜的滑動模式或字符密碼。35%的受訪者則承認自己用的是安全程度很低的4位或6位數字鎖。

即便如此，11%的網民說他們根本沒有用設備鎖。一旦攻擊者獲得對無保護設備的物理訪問，他們可以很容易地趁機而入或訪問敏感信息。

至于公司的筆記本電腦，71%的美國受訪者和26%的英國受訪者聲稱他們在公司的設備上使用VPN。也許這個安全措施是71%的美國受訪者和39%的英國受訪者認為在家里使用公司設備很合理的原因之一。

大多數受訪者表示，他們使用公司設備處理郵件，但是也有很多人承認自己使用公司設備刷社交媒體、觀看流媒體或網購。

4. 怎樣加深網民對網絡威脅的認識

如果說《2017網民風險認知報告》只揭示了一件事，那就是公司仍然需要改善員工的安全意識。

Wombat Security語重心長地說：

當然?受到“魔窟”攻擊觸動，員工們對勒索攻擊的認識很可能有所加強。但是，這種認識的強化的代價是全球性惡性事件。而無論如何，即便人們對勒索攻擊或其他別的網絡威脅有了更清晰的認識，這不代表他們知道如何避免這種威脅。

為了應對這種形勢，安全培訓人員建議企業把重點放在安全培訓和安全意識工作上。這種雙重努力一方面可以培養出能妥善處理自身的數字安全問題的員工，另一方面還可以幫助員工積極地發現威脅和應對問題，以免小問題釀成大事故。