根据CYBSAFE近日发布的《2023年网络安全意识与行为报告》,网络安全意识的“知行合一”仍然存在较为严重的脱节:尽管人们的网络安全风险意识不断增强,但安全行为存在较大差距。例如,只有60%的受访者使用强密码,40%使用多重身份验证。
报告基于对美国、加拿大、英国、德国、法国和新西兰的6000多名参与者的调查,将受访者按年龄划分为五个群体:Z一代(18-26岁)、千禧一代(27-42岁)、X一代(43-58岁)、婴儿潮(59-77岁)、沉默一代(78+岁)。
受访者年龄与国家分布数据来源:CYBSAFE
受访者中,企业员工占比为66%、学生为3%,退休人员22%,以下是报告在不同领域的五大主要发现:
- 需要防护的个人“数字资产”快速增长:93%的参与者每天至少在线一次。近一半(47%)的受访者者拥有十个或更多包含敏感信息的在线账户。包括与付款和主要电子邮件相关的帐户。更令人惊讶的是,15%的受访者坦言他们已经忘记了账户数量。
- 很多人对网络安全产生挫败感和怀疑:虽然人们对网络安全的态度总体上是积极的,但很大一部分参与者表示沮丧和怀疑。84%的人认为保持在线安全是一种优先考虑的事务,69%的人认为这是可以实现的;但也有39%的人感到受挫,37%的人对保持在线安全的挑战感到恐惧。
对于一些受访者来说,大量网络安全事件的新闻报道产生抑制作用,导致32%的人减少了在线活动。此外,安全往往是有代价的,近一半的受访者(49%)承认为安全防护付出了经济代价。
有趣的是,69%的受访者认为在在线安全方面投入的努力是值得的。然而,与婴儿潮一代(6%)和沉默的一代(9%)相比,Z世代(21%)和千禧一代(23%)等年轻人对网络安全投资回报表示更多怀疑。
媒体报道发挥着关键作用,促使56%的受访者采取保护性安全措施,而51%的受访者认为媒体报道对于了解情况很有价值。然而,媒体报道的影响并不都是积极的:44%的受访者承认媒体报道会引起恐惧,42%的受访者认为这使网络安全变得过于复杂。
- 网络安全意识培训成效显著:26%的受访者表示他们可以访问并接受(企业提供的)网络安全培训。在受访企业员工中,47%倾向于在线培训课程,超过了现场培训(24%)。此外,近五分之一(19%)的人倾向于接收即时警报和通知作为网络安全培训的形式。
网络安全意识培训的影响是巨大的。大多数受访者认为安全意识培训有用(84%)且有吸引力(78%)。79%的参与者已遵循他们收到的网络安全建议。值得注意的是,只有6%的受访者表示他们的网络安全行为没有变化,而15%的受访者认为他们已经遵守了最佳实践。值得注意的是,除了意识和行为改变外,培训也取得了切实的成果:50%的受访者表示比以前更擅长识别和报告网络钓鱼消息,37%的受访者开始采用强密码,34%的受访者接受了多因素身份验证,32%的受访者开始使用密码管理器,22%的受访者开始备份数据。
- 网络犯罪报告率增长:报告还分析了人们如何报告网络犯罪事件,以及是否确实进行了报告。网络犯罪报告的重要性日益凸显,有助于揭示事件及其影响。参与者勇敢地分享了他们的经验,披露了2047起导致经济损失或数据泄露的事件。这些事件包括网络钓鱼攻击、身份盗窃,以及在线约会诈骗。
27%的受访者承认至少遭受过一种形式的网络犯罪。虽然这比2022年减少了7%,但令人担忧的是,50%的受访者认为自己是网络犯罪分子的潜在目标,比去年增加了7%。
网络钓鱼依然是网络犯罪的最主要方式,占总事件的47%。令人惊讶的是,与去年相比,在线约会诈骗(27%)已经超过了身份盗窃(26%)。
千禧一代(27-42岁)已成为网络犯罪的焦点,报告的犯罪事件最多,尤其是在线约会诈骗(44%),紧随其后的是网络钓鱼(36%)和身份盗窃(37%)。
从积极的方面来看,88%的受网络犯罪侵害的受访者向某人报告了事件,只有一小部分导致数据或金钱损失的事件未被举报。其中网络钓鱼占比为14%,在线约会诈骗为16%,身份盗窃为8%。
举报渠道与犯罪类型有关,59%的网络钓鱼受害者、54%的身份盗窃受害者和42%的在线约会诈骗受害者向银行或信用卡公司报告事件。网络犯罪事件报告率的增长趋势反映出人们日益认识到分享网络犯罪经验的重要性。
网络安全行为:报告还深入分析人们如何执行五个关键的网络安全行为,例如密码卫生和多因素认证(MFA):
- 密码卫生:年轻一代很少更新密码
- 多因素认证(MFA):三分之一的受访者没听说过MFA
- 安装最新的设备更新:大多数受访者都能保持设备更新
- 识别网络钓鱼电子邮件并报告:大多数人都会检查网络钓鱼行为,但仍然有不少人会中招
- 数据备份:超过四分之一的受访者不经常备份数据。
