人类风险报告揭示网络钓鱼防御过度自信

自信很酷，但过度自信则是另一回事。一份新报告显示，尽管对网络安全防御持续保持信心，但员工的日常行为——从网络钓鱼错误到危险的AI实践——仍然是数据泄露的主要原因。

安全运营公司北极狼发布了第二份年度人类风险行为快照，这是一项对全球1700多名IT领导者和最终用户的独立调查。

“在我作为FBI特员和安全负责人的经验中，我发现仅靠技术并不能保证我们的安全。人类因素，包括我们的行为、习惯和决策，是我们安全层中始终存在且不可预测的变量，“北极狼高级副总裁兼首席信息安全官Adam Marrè在博客文章中表示。

噩梦与恶意链接

随着网络威胁的增长和生成式AI在日常工作流程中的根深蒂固，人为因素正成为网络安全中最不可预测的方面之一。领导者的过度自信和员工规避安全措施的倾向正在扩大感知保护与实际漏洞之间的差距。人类风险行为快照旨在帮助组织识别和管理这些由人驱动的风险。

根据2025年报告，68%的IT领导者表示他们的组织在过去一年中遭受了入侵，比2024年上升了8%。澳大利亚、新西兰以及英国和爱尔兰的增幅最大。近三分之二的IT领导者和一半的员工承认点击过恶意链接，然而四分之三的领导者仍然相信他们的组织是安全的。五分之一的点击恶意链接的领导者没有报告该事件。高级领导团队仍然是高价值目标，39%面临网络钓鱼尝试，35%遭遇恶意软件感染。

生成式AI加剧数据风险

生成式AI的兴起正在加剧数据风险。调查发现，80%的IT领导者和63%的员工在工作中使用AI工具，其中60%的领导者和41%的员工承认向这些平台输入过机密数据。与此同时，只有54%的组织对所有用户强制执行多因素认证，使入门级账户暴露在风险中。

该报告还强调了组织在应对人为错误方面日益扩大的分歧。“培训胜过解雇，“报告指出，77%的IT领导者表示他们会解雇上当受骗的员工——高于去年的66%。然而，专注于纠正培训的公司风险降低了88%。

“生成式AI的兴起创造了强大的新工具——但也带来了强大的新风险，“Marrè补充道。“当领导者对其防御过度自信，同时忽视员工实际如何使用技术时，就为错误变成漏洞创造了完美条件。当领导者接受人类风险不仅仅是前线问题，而是整个组织的共同责任时，进步就会到来。降低这种风险意味着将更强的政策和保障措施与赋予员工发言权、从错误中学习和持续改进的文化相结合。”

专门从事金融犯罪预防的行为生物识别公司BioCatch的一份新报告显示，全球银行诈骗在过去一年中激增了65%。