2024年信息安全意识与培训全球研究报告

方法论 来自与1850名执行人员和100-499名员工进行的在线访谈本报告的结果基于以下29个地区的组织的安全意识响应层和管理层专业人士的回答而得出： 公司规模22%500-999名员工21%1000-2499名员工21% 18% 18% 角色类型 7%担任所有者职位26%担任C级高管职位7%担任副总统职位18%担任部门主管职位17%担任过总监职务25%担任经理职务 现场培训。访谈由2,500-4,999名员工进行。Sapio Research于2024年5月和6月进行。受访者超过5,000名员工。 阿根廷，澳大利亚，巴西，加拿大，哥伦比亚，法国，德国，香港，印度，印尼，以色列，意大利，日本，中国大陆，马来西亚 墨西哥荷兰新西兰菲律宾新加坡南非韩国西班牙瑞典台湾泰国阿拉伯联合酋长国英国美利坚合众国 性别67%of respondents were male33%of respondents were female Top Three Business Sectors: 顶尖三大商业领域：制造业17%金融服务13%专业服务与技术11% 总受访者：1,850亚太30%欧洲、中东和非洲27%北美22%拉丁美洲22% 总体结果准确度在±2.3%之内，置信度为95%。 执行摘要 领导者认识到，人民是抵御网络攻击的关键第一道防线。这就是为什么许多高管担心员工的网络安全意识水平——甚至对他们所担心的由人工智能生成的新威胁更为担忧，这些威胁已经证明比“传统”网络攻击更难发现和阻止。 培训需要引人入胜且具有目的性。 培训是提高安全意识的关键。 机构正为应对人工智能攻击做准备 领袖需要 网络意识员工 •97%93%•89%48%)41%)决策者中有说更多培训与意识将有助于减少网络攻击。略升在2023年。报告对他们的改进组织的安全态势在实施安全措施之后意识与培训。• 最重要的安全意识与培训主题包括：数据安全数据隐私这与2023年的发现一致。 •62%领导们期望员工成为网络犯罪分子利用AI发起的攻击的受害者。95%正在使用、实施或研究用于防范网络攻击的AI解决方案。80%报告称，由于恶意行为者使用人工智能，对安全意识培训的态度得到了改善。•尽管人们对人工智能风险存在担忧，31%组织未能管理或监控员工如何使用人工智能应用。 平均来看，81%组织中有三分之二的人认为每年需要3小时的培训来提高网络安全意识。75%安全意识宣传活动预先计划，并按月进行。34%）或按季度（47%)基础。86%Of leaders are satisfied withtheir current security awareness and training solutions. Of those who reported beingdissatisfied,41%他们认为他们的节目缺乏吸引人的内 容。 •67%担心员工缺乏一般的安全意识，人数上升56%2023年。• 采用安全意识和培训计划的核心驱动因素：• 过去发生安全漏洞或安全漏洞威胁52%企业赞助（21%• 合规与监管要求13%) •94%对为高风险用户实施更严格的网络安全政策感兴趣。 新的、扩大的对意识和培训的审视 安全意识与培训这一主题曾是Fortinet的网络安全技能差距全球研究报告随着人类网络安全因素的日益重要，我们于2024年发布了一份单独的调查，深入探讨这一主题。 虽然今年提出了许多新问题且没有可比的基线，但我们仍选择了与往年数据的部分年度比较。 简介 无弱链允许 员工安全意识与培训已成为那些希望通过各种可能手段加强组织网络防御的领导者高度关注的焦点问题。 如何避免成为这些攻击的受害者。几乎所有受访者都说钓鱼预防是他们的培训计划和方案的一部分。其他培训的重点还包括数据安全和数据隐私。 本报告展示了关于全球网络意识与培训现状的调查结果： 今年调查还揭示了组织在处理安全意识培训方面的方法。调查结果显示，大部分组织都非常有意图，提前规划培训主题，并在一年中定期提供内容更新。大多数领导人支持这些努力，并认为需要更多培训和意识提升。 在领导者们关注的领域 如何处理紧迫性 什么让决策者夜不能寐 如我司2024年网络安全技能缺口全球研究报告所示，组织将提高意识和培训视为降低网络安全风险的三位一体的方法之一，该方法还包括招聘和保留 skilled IT security staff，以及实施有效的网络安全解决方案。 随着人工智能持续渗透我们生活的各个方面，企业领导者对与人工智能相关的威胁越来越紧张，这些威胁包括深度伪造方案、更高级别的钓鱼攻击，以及员工使用大型语言模型、编码伴侣、图像生成器和其他人工智能工具。尽管有这些焦虑，几乎三分之一的组织未管理或监控员工使用人工智能应用，这表明某些企业政策存在缺口。 2024年，政策在网络安全中所发挥的，或能发挥的关键作用越来越明显，无论是关系到管理员工在线行为，还是网络保险日益流行的趋势。这些发现表明，领导者认识到网络安全扎根于组织文化，而政策、意识与培训都为它作出贡献。 今天，网络犯罪分子正在利用人工智能使网络钓鱼方案更难以检测。因为网络钓鱼直接针对个人用户，所以组织机构普遍专注于向员工传授 62%预计未来由于攻击者恶意使用人工智能，更多组织将期望员工成为网络攻击的受害者。 组织机构正准备应对由人工智能驱动的攻击 企业用户和网络犯罪分子 alike 都采用了人工智能来加快、扩大和简化他们的工作。企业领导者已经意识到人工智能工具内部误用和人工智能赋能的外部攻击所构成的威胁，并且他们急于采取措施应对这些问题。 这些政策往往围绕着信息泄露展开，包括个人或专有数据出现在面向公众的AI输出中、无意中泄露秘密或解匿名个人识别信息。 泄露往往容易发生——例如，当员工将公司内容复制到大型语言模型（LLM）进行编辑或为回答问题编写详细的提示时。这样的输入可能会被用来训练AI模型或被外部方查询，导致私人信息被公之于众。 大多数（62%）的调查受访者表示，他们预计随着恶意行为者增加使用人工智能，员工将遭受更多攻击。几乎所有（96%）都在研究、实施或已经制定了应对外部人工智能相关威胁的事件响应计划，这些威胁今天包括难以检测的音频和视频深度伪造，旨在触发诈骗交易，以及高度针对性的网络钓鱼方案。新的AI赋能攻击类型持续出现。 在制定管理企业AI使用的政策时虽然很重要，但在近三分之一（31%）的组织中，这些政策并未得到对员工AI使用进行主动管理和监控的补充，导致潜在漏洞未被检查。 组织正在使用人工智能进行网络安全。 大多数受访者（80%）表示，对AI攻击的企业级认知使他们的组织更倾向于提高安全意识和培训。绝大多数（95%）也报告说，他们拥有或正在制定安全政策来管理使用AI工具相关的内部风险。 几乎所有调查受访者（95%）表示，他们所在的组织目前正在使用由AI驱动的安全解决方案来预防网络安全的攻击，或者正在进行这些工具的研究或实施。 挖掘更深入 培训、意识和信心相辅相成 更加强有力的意识和培训支持提升AI信心 大多数组织尚未管理员工的人工智能使用 组织在提高意识和培训方面内部支持力度越大，往往越有信心员工能够处理与人工智能相关的威胁： 大多数（53%）受访者表示，他们的组织仍在实施或尚未建立管理监控员工使用AI工具的流程。 • 60% 对培训表示强烈支持的调查对象表示，他们认为员工会因AI而遭受更多攻击。 31%没有采取任何措施，另外10%的人不知道或者不确定。 关于人工智能威胁的担忧因行业而异 • 22% 表示他们正在着手处理，但尚未完成监控和管理流程的实施。 受访者在某些行业和领域对人工智能导致员工上当受骗的问题更为关注： 66%的对于培训有适度支持的组织中，更担心更多员工处于风险之中。 • 70%的媒体和娱乐公司预计，由于攻击者使用AI，员工将更容易受到更多攻击。 • 70%的培训支持很少或没有的组织担心更多员工会中AI攻击的圈套。 • 国家和地方政府紧随其后，占比68%。 不到四分之一的组织（21%对员工使用的特定人工智能应用进行管制。 能源和公用事业公司（59%），医疗保健（57%），以及零售（56%） 地区亮点 大多数组织都有安全政策来管理AI工具 人工智能的担忧在拉丁美洲最为突出。 拉丁美洲（LATAM）的组织最有可能认为，由于攻击者使用人工智能，员工越来越容易受到网络攻击的诱惑。 所有地区的受访者几乎同样有可能拥有企业政策来规范人工智能工具的使用。 事件应对计划最不可能出现在欧洲、中东和非洲地区。 在欧洲、中东和非洲（EMEA）地区，拥有针对人工智能相关威胁的应急响应计划的公司较少，而北美地区的公司最有可能拥有此类计划。 The majority (67%决策者中有相当一部分认为他们的员工缺乏安全意识。 领导者需要具备网络意识的员工 无论威胁是有关新技术如人工智能还是更为传统的网络攻击，决策者仍然担忧员工可能没有他们保护自己和组织所需要的足够安全意识。 96%的人表示他们的领导团队支持实施培训以提升员工的网络安全意识。IT领导者（57%）和安全领导者（54%）通常是安全意识和培训的倡导者，而CEO/机构负责人则远远排在第三位，占比40%。 与此同时，认识到形势的严重性，94%的领导人也表示，他们有兴趣对表现出高风险行为的用户实施更严格的网络安全政策。这些用户可能通过公司运行的钓鱼攻击等活动识别，揭示哪些员工最有可能上当受骗。 超过三分之二（67%）的受访者表示他们认为他们的员工缺乏安全意识和知识，这一比例比2023年的56%有所上升。这与Fortinet 2024年网络安全技能差距全球研究报告发现相符，其中缺乏安全意识被认为是导致漏洞前三大原因之一。 意识威胁推动培训采用 大多数组织由于自身遭受入侵的经历或在所属行业或领域中对威胁的了解，都倾向于引入安全意识培训。 鉴于这些发现，支持安全意识和培训并不令人惊讶。几乎所有决策者 挖掘更深入 缓解网络风险成为企业日益重视的优先事项 意识、培训和网络安全保险有相似的驱动因素 组织投资于网络安全保险，因为： 这是一项企业优先事项（51%）。 总体上发生的数据泄露事件更多（46%）。 • 他们在行业的违规行为事件正在增多（42%）。 三分之 一31%)的受访者表示，人力资源限制阻止了他们推行安全意识和培训项目。 地区亮点 关于安全意识培训不足的担忧普遍存在。 拉丁美洲的组织最有可能投资于网络安全保险。 拉丁美洲地区的受访者中，表示已购买或计划购买网络保险的人比其他任何地区的都多。 各地区组织普遍存在员工缺乏网络安全意识的问题，关注程度大致相当。 对安全意识和培训的支持也十分普遍 所有地区的领导团队都支持为员工提供安全意识与培训。 97%决策者中相信提高安全意识将有助于减少网络攻击的人占了相当一部分。 培训是提高安全意识的关键 决策者一致认为，提高意识将有助于改善其组织的网络安全状况，同时内部宣传活动和培训也是有效管理风险的途径。 根据今年的调查，97%的领导者认为提高员工意识将加强网络安全。这一比例比2023年《安全意识与培训服务全球研究报告简报》中的93%略有上升。 受访者似乎有充分的理由持有这种观点。绝大多数（89%）表示，在实施安全意识和培训后，他们的组织在安全态势上至少有所改善——而且没有一位受访者声称没有看到任何改善。大多数人（86%）补充说，他们的员工对安全意识和培训持积极态度，其中55%表示“非常积极”。 当谈到培训优先级时，数据安全和数据隐私分别占据榜首，占比分别为48%和41%。对于钓鱼攻击的认识同样关键：几乎所有受访者（98%）表示他们的计划包括或将包括与钓鱼相关的活动。这与我们的《2024年网络安全技能差距全球研究报告》发现相符，即钓鱼攻击是组织遇到的第二常见攻击形式。 保护数据安全最为重要 领导层最想要的，是最新的安