NASA的波音星際客機(jī)（Starliner）原計(jì)劃進(jìn)行為期7天的太空之旅，但由于推進(jìn)系統(tǒng)的技術(shù)故障，這次任務(wù)不斷延期，目前已經(jīng)擱淺在國(guó)際空間站超過60天，為了保住波音星際客機(jī)項(xiàng)目的顏面和希望，NASA正一步步將宇航員推向危險(xiǎn)邊緣。

從挑戰(zhàn)者號(hào)到哥倫比亞號(hào)再到波音星際客機(jī)，NASA的歷史為我們直觀展示了企業(yè)安全文化如何以漸進(jìn)的、循環(huán)的方式墮落和衰變，并反復(fù)導(dǎo)致災(zāi)難性后果。這一現(xiàn)象不僅局限于航天領(lǐng)域，在全球企業(yè)的網(wǎng)絡(luò)安全文化建設(shè)中，同樣存在類似的困境與挑戰(zhàn)。

從挑戰(zhàn)者號(hào)到星際客機(jī)，NASA的安全文化衰變

在波音星際客機(jī)太空擱淺之前，NASA歷史上已經(jīng)發(fā)生過幾次嚴(yán)重的航天安全事故，例如1986年的挑戰(zhàn)者號(hào)和2003年的哥倫比亞號(hào)事故，都是因技術(shù)故障與安全文化失效共同導(dǎo)致的慘痛教訓(xùn)。這些悲劇暴露出，當(dāng)企業(yè)和機(jī)構(gòu)逐漸對(duì)風(fēng)險(xiǎn)產(chǎn)生麻痹、忽視潛在問題和“事故三角”的早期危險(xiǎn)信號(hào)時(shí)，“黑天鵝”式的災(zāi)難隨時(shí)都有可能發(fā)生。

挑戰(zhàn)者號(hào)事故之后，NASA在羅杰斯委員會(huì)的建議下對(duì)其安全文化進(jìn)行了大規(guī)模改革，鼓勵(lì)低層級(jí)工程師大膽提出安全隱患，并確保這些問題能夠得到高層管理者的重視。然而，隨著時(shí)間的推移，這種改革精神逐漸淡化，到哥倫比亞號(hào)事件時(shí)，NASA的安全文化再次陷入了對(duì)風(fēng)險(xiǎn)的麻痹與漠視。

類似的安全文化循環(huán)墮落問題也在波音星際客機(jī)項(xiàng)目中顯現(xiàn)出來，盡管工程師對(duì)推進(jìn)系統(tǒng)的潛在問題早有察覺，但這些問題卻未能在決策層得到足夠重視。

網(wǎng)絡(luò)安全文化的衰變

這種安全文化的反復(fù)或持續(xù)衰變?cè)谄髽I(yè)網(wǎng)絡(luò)安全領(lǐng)域表現(xiàn)得尤為明顯。企業(yè)在經(jīng)歷了重大數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊后，通常會(huì)對(duì)安全文化進(jìn)行反思并實(shí)施一系列的改革措施。但隨著時(shí)間的推移，安全意識(shí)可能會(huì)隨著商業(yè)壓力的增大而逐漸松懈，最終導(dǎo)致新的安全漏洞和更嚴(yán)重的事件。

以萬豪集團(tuán)、Mailchimp和Facebook為例，這些公司在遭受初次攻擊后，并未能及時(shí)采取有效措施防止類似問題的再次發(fā)生，導(dǎo)致了更加嚴(yán)重的后果：

• 萬豪集團(tuán)：萬豪集團(tuán)（Marriott International）在2018年首次披露了其Starwood酒店業(yè)務(wù)遭遇的數(shù)據(jù)泄露事件，導(dǎo)致約5億名客戶的個(gè)人信息被泄露。這次事件引發(fā)了廣泛的關(guān)注和批評(píng)。然而，令人震驚的是，在2020年，萬豪再次遭受了數(shù)據(jù)泄露，這次波及了540萬名客戶的信息。兩次泄露事件都揭示出萬豪集團(tuán)在數(shù)據(jù)保護(hù)和網(wǎng)絡(luò)安全上的明顯不足，特別是在加強(qiáng)對(duì)已有漏洞的防護(hù)方面，未能吸取第一次事件的教訓(xùn)。
• Mailchimp：郵件營(yíng)銷公司Mailchimp也經(jīng)歷了類似的困境。在2022年，Mailchimp兩次遭遇重大數(shù)據(jù)泄露事件，黑客通過社會(huì)工程攻擊獲取了員工的密碼，進(jìn)而利用公司內(nèi)部工具竊取了客戶數(shù)據(jù)。在第一次事件后，Mailchimp聲稱加強(qiáng)了安全措施，但不到六個(gè)月后，類似的攻擊再次發(fā)生，顯示出公司在漏洞修補(bǔ)和內(nèi)部安全文化建設(shè)方面的不足。
• Facebook：作為全球最大的社交媒體平臺(tái)之一，F(xiàn)acebook也曾多次陷入數(shù)據(jù)泄露的風(fēng)波中。最著名的事件之一是2018年的劍橋分析（Cambridge Analytica）丑聞，導(dǎo)致8700萬用戶的數(shù)據(jù)被不當(dāng)獲取。然而，這并未使Facebook在之后的安全防護(hù)上有顯著的改進(jìn)。2021年，F(xiàn)acebook再次遭遇大規(guī)模數(shù)據(jù)泄露，超5億用戶的個(gè)人信息被公開。這些事件反映出，盡管面臨公眾和政府的壓力，F(xiàn)acebook在改善其安全文化上依然存在顯著的缺陷。

事實(shí)上，反復(fù)發(fā)生數(shù)據(jù)泄露事件的國(guó)內(nèi)外知名企業(yè)數(shù)不勝數(shù)，這些企業(yè)在經(jīng)歷了多次重大數(shù)據(jù)泄露事件后，雖然短期內(nèi)加強(qiáng)了安全防護(hù)措施并提高了員工的安全意識(shí)，但隨著業(yè)務(wù)擴(kuò)展和數(shù)字化轉(zhuǎn)型的加速，安全文化再次陷入了“形式化”的陷阱——即表面上強(qiáng)調(diào)安全，但實(shí)際上缺乏有效的執(zhí)行和持續(xù)的改進(jìn)。這種形式化的安全文化導(dǎo)致了內(nèi)部員工對(duì)于安全隱患的漠視和管理層對(duì)安全問題的忽視，最終引發(fā)更為嚴(yán)重的數(shù)據(jù)泄露事件。

網(wǎng)絡(luò)安全文化的變革與挑戰(zhàn)

在網(wǎng)絡(luò)安全領(lǐng)域，企業(yè)安全文化正在經(jīng)歷一個(gè)復(fù)雜的演變過程。一方面，隨著全球網(wǎng)絡(luò)攻擊頻率和復(fù)雜性的增加，越來越多的企業(yè)開始認(rèn)識(shí)到構(gòu)建健康的安全文化對(duì)于防范數(shù)據(jù)泄露的重要性。企業(yè)開始投入更多資源進(jìn)行員工安全意識(shí)培訓(xùn)，鼓勵(lì)安全問題的公開討論，并建立更為嚴(yán)謹(jǐn)?shù)膬?nèi)部審計(jì)機(jī)制。這些措施在一定程度上提高了企業(yè)的整體安全防護(hù)水平。

然而，安全文化的建立并非一蹴而就，且在商業(yè)壓力與快速發(fā)展的技術(shù)環(huán)境下，維護(hù)這一文化的難度顯著增加。企業(yè)必須在保證商業(yè)利益與提高安全性之間找到平衡，這種平衡的破裂往往導(dǎo)致安全文化的逐步衰退。特別是在面對(duì)新業(yè)務(wù)拓展和新技術(shù)快速應(yīng)用（如云計(jì)算、物聯(lián)網(wǎng)等）時(shí)，安全文化的缺失可能會(huì)迅速放大風(fēng)險(xiǎn)，導(dǎo)致災(zāi)難性的數(shù)據(jù)泄露事件。

如何避免衰變：建設(shè)可持續(xù)的安全文化

要避免企業(yè)安全文化的衰變，首先需要認(rèn)識(shí)到安全文化的建立是一項(xiàng)長(zhǎng)期的系統(tǒng)性工程，而非一次性的任務(wù)。企業(yè)應(yīng)從以下幾個(gè)方面入手，構(gòu)建并維護(hù)與安全運(yùn)營(yíng)融為一體的，可持續(xù)的安全文化：

• 高層支持與參與：高層管理者的支持對(duì)于安全文化的建立至關(guān)重要。管理層必須不僅在口頭上支持安全文化，還要在資源分配、政策制定和日常決策中體現(xiàn)對(duì)安全的重視。
• 持續(xù)的教育與培訓(xùn)：?jiǎn)T工的安全意識(shí)是安全文化的基石。企業(yè)應(yīng)定期進(jìn)行安全培訓(xùn)，并結(jié)合實(shí)際案例增強(qiáng)員工的危機(jī)意識(shí)，特別是在如何識(shí)別和防范社會(huì)工程攻擊方面。與此同時(shí)，企業(yè)應(yīng)該鼓勵(lì)員工主動(dòng)報(bào)告安全隱患，
• 開放的溝通渠道：企業(yè)應(yīng)建立開放的溝通機(jī)制，鼓勵(lì)員工主動(dòng)報(bào)告安全隱患，并確保這些問題能夠迅速得到高層的關(guān)注與解決。建立一個(gè)開放、透明的溝通環(huán)境，讓每個(gè)人都能為公司的安全貢獻(xiàn)力量。
• 外部審計(jì)與持續(xù)改進(jìn)：定期的外部審計(jì)有助于發(fā)現(xiàn)企業(yè)內(nèi)部潛在的安全問題，并推動(dòng)安全文化的持續(xù)改進(jìn)。
• 優(yōu)先處理已知漏洞：安全文化和“安全素養(yǎng)”同樣體現(xiàn)在安全運(yùn)營(yíng)中。企業(yè)在面對(duì)重復(fù)攻擊時(shí)，最重要的是專注于解決之前暴露出來的具體漏洞。每一次公開的攻擊事件都會(huì)給攻擊者提供一個(gè)“操作手冊(cè)”，教他們?nèi)绾卫孟嗤穆┒催M(jìn)行再次攻擊。因此，企業(yè)必須優(yōu)先修復(fù)這些已知的安全問題，并確保它們不會(huì)再次成為攻擊的突破口。
• 全面的安全態(tài)勢(shì)調(diào)整：除了具體的漏洞修補(bǔ)，企業(yè)還需要從整體上調(diào)整其安全態(tài)勢(shì)。例如，實(shí)施零信任架構(gòu)，確保即使攻擊者突破了某個(gè)環(huán)節(jié)，依然無法輕易地在系統(tǒng)內(nèi)部橫向移動(dòng)。此外，企業(yè)還應(yīng)強(qiáng)化其數(shù)據(jù)保護(hù)措施，尤其是在數(shù)據(jù)訪問權(quán)限和加密方面，防止敏感信息的再次泄露。
• 引入新技術(shù)時(shí)將安全放在第一位：在引入新技術(shù)（例如AI）時(shí)，企業(yè)必須進(jìn)行全面的安全評(píng)估，確保新技術(shù)不會(huì)帶來額外的安全風(fēng)險(xiǎn)。