从波音星际客机“搁浅”看企业安全文化的衰变

图片：NASA

NASA的波音星际客机（Starliner）原计划进行为期7天的太空之旅，但由于推进系统的技术故障，这次任务不断延期，目前已经搁浅在国际空间站超过60天，为了保住波音星际客机项目的颜面和希望，NASA正一步步将宇航员推向危险边缘。

从挑战者号到哥伦比亚号再到波音星际客机，NASA的历史为我们直观展示了企业安全文化如何以渐进的、循环的方式堕落和衰变，并反复导致灾难性后果。这一现象不仅局限于航天领域，在全球企业的网络安全文化建设中，同样存在类似的困境与挑战。

从挑战者号到星际客机，NASA的安全文化衰变
在波音星际客机太空搁浅之前，NASA历史上已经发生过几次严重的航天安全事故，例如1986年的挑战者号和2003年的哥伦比亚号事故，都是因技术故障与安全文化失效共同导致的惨痛教训。这些悲剧暴露出，当企业和机构逐渐对风险产生麻痹、忽视潜在问题和“事故三角”的早期危险信号时，“黑天鹅”式的灾难随时都有可能发生。

挑战者号事故之后，NASA在罗杰斯委员会的建议下对其安全文化进行了大规模改革，鼓励低层级工程师大胆提出安全隐患，并确保这些问题能够得到高层管理者的重视。然而，随着时间的推移，这种改革精神逐渐淡化，到哥伦比亚号事件时，NASA的安全文化再次陷入了对风险的麻痹与漠视。

类似的安全文化循环堕落问题也在波音星际客机项目中显现出来，尽管工程师对推进系统的潜在问题早有察觉，但这些问题却未能在决策层得到足够重视。

网络安全文化的衰变
这种安全文化的反复或持续衰变在企业网络安全领域表现得尤为明显。企业在经历了重大数据泄露或网络攻击后，通常会对安全文化进行反思并实施一系列的改革措施。但随着时间的推移，安全意识可能会随着商业压力的增大而逐渐松懈，最终导致新的安全漏洞和更严重的事件。

以万豪集团、Mailchimp和Facebook为例，这些公司在遭受初次攻击后，并未能及时采取有效措施防止类似问题的再次发生，导致了更加严重的后果：

• 万豪集团：万豪集团（Marriott International）在2018年首次披露了其Starwood酒店业务遭遇的数据泄露事件，导致约5亿名客户的个人信息被泄露。这次事件引发了广泛的关注和批评。然而，令人震惊的是，在2020年，万豪再次遭受了数据泄露，这次波及了540万名客户的信息。两次泄露事件都揭示出万豪集团在数据保护和网络安全上的明显不足，特别是在加强对已有漏洞的防护方面，未能吸取第一次事件的教训。
• Mailchimp：邮件营销公司Mailchimp也经历了类似的困境。在2022年，Mailchimp两次遭遇重大数据泄露事件，黑客通过社会工程攻击获取了员工的密码，进而利用公司内部工具窃取了客户数据。在第一次事件后，Mailchimp声称加强了安全措施，但不到六个月后，类似的攻击再次发生，显示出公司在漏洞修补和内部安全文化建设方面的不足。
• Facebook：作为全球最大的社交媒体平台之一，Facebook也曾多次陷入数据泄露的风波中。最著名的事件之一是2018年的剑桥分析（Cambridge Analytica）丑闻，导致8700万用户的数据被不当获取。然而，这并未使Facebook在之后的安全防护上有显著的改进。2021年，Facebook再次遭遇大规模数据泄露，超5亿用户的个人信息被公开。这些事件反映出，尽管面临公众和政府的压力，Facebook在改善其安全文化上依然存在显著的缺陷。

事实上，反复发生数据泄露事件的国内外知名企业数不胜数，这些企业在经历了多次重大数据泄露事件后，虽然短期内加强了安全防护措施并提高了员工的安全意识，但随着业务扩展和数字化转型的加速，安全文化再次陷入了“形式化”的陷阱——即表面上强调安全，但实际上缺乏有效的执行和持续的改进。这种形式化的安全文化导致了内部员工对于安全隐患的漠视和管理层对安全问题的忽视，最终引发更为严重的数据泄露事件。

网络安全文化的变革与挑战
在网络安全领域，企业安全文化正在经历一个复杂的演变过程。一方面，随着全球网络攻击频率和复杂性的增加，越来越多的企业开始认识到构建健康的安全文化对于防范数据泄露的重要性。企业开始投入更多资源进行员工安全意识培训，鼓励安全问题的公开讨论，并建立更为严谨的内部审计机制。这些措施在一定程度上提高了企业的整体安全防护水平。

然而，安全文化的建立并非一蹴而就，且在商业压力与快速发展的技术环境下，维护这一文化的难度显著增加。企业必须在保证商业利益与提高安全性之间找到平衡，这种平衡的破裂往往导致安全文化的逐步衰退。特别是在面对新业务拓展和新技术快速应用（如云计算、物联网等）时，安全文化的缺失可能会迅速放大风险，导致灾难性的数据泄露事件。

如何避免衰变：建设可持续的安全文化
要避免企业安全文化的衰变，首先需要认识到安全文化的建立是一项长期的系统性工程，而非一次性的任务。企业应从以下几个方面入手，构建并维护与安全运营融为一体的，可持续的安全文化：

• 高层支持与参与：高层管理者的支持对于安全文化的建立至关重要。管理层必须不仅在口头上支持安全文化，还要在资源分配、政策制定和日常决策中体现对安全的重视。
• 持续的教育与培训：员工的安全意识是安全文化的基石。企业应定期进行安全培训，并结合实际案例增强员工的危机意识，特别是在如何识别和防范社会工程攻击方面。与此同时，企业应该鼓励员工主动报告安全隐患，
• 开放的沟通渠道：企业应建立开放的沟通机制，鼓励员工主动报告安全隐患，并确保这些问题能够迅速得到高层的关注与解决。建立一个开放、透明的沟通环境，让每个人都能为公司的安全贡献力量。
• 外部审计与持续改进：定期的外部审计有助于发现企业内部潜在的安全问题，并推动安全文化的持续改进。
• 优先处理已知漏洞：安全文化和“安全素养”同样体现在安全运营中。企业在面对重复攻击时，最重要的是专注于解决之前暴露出来的具体漏洞。每一次公开的攻击事件都会给攻击者提供一个“操作手册”，教他们如何利用相同的漏洞进行再次攻击。因此，企业必须优先修复这些已知的安全问题，并确保它们不会再次成为攻击的突破口。
• 全面的安全态势调整：除了具体的漏洞修补，企业还需要从整体上调整其安全态势。例如，实施零信任架构，确保即使攻击者突破了某个环节，依然无法轻易地在系统内部横向移动。此外，企业还应强化其数据保护措施，尤其是在数据访问权限和加密方面，防止敏感信息的再次泄露。
• 引入新技术时将安全放在第一位：在引入新技术（例如AI）时，企业必须进行全面的安全评估，确保新技术不会带来额外的安全风险。