這篇是由Kim Loohuis寫、2025年7月2日在Computer Weekly網站刊出的文章"Dutch study uncovers cognitive biases undermining cyber security board decisions"。有助於我們瞭解在網路安全方面董事會的偏見。
在與10位歐洲資安長訪談後,荷蘭開放大學的研究員Gulet Barre發現了令人憂慮的證據:董事會如何詮釋黃燈風險,存有認知偏見,而這就對資安長報告、董事會瞭解之間帶來了危險的鴻溝。
研究資安長與董事會溝通的Barre說,「思考就像開車。我們都知道綠燈、紅燈該怎麼做。但是黃燈呢?某些駕駛會加速通過、有些則是停車。黃燈的模糊性,顯示了資安長報告網路安全風險時會在董事會發生的事。」
Barre說,詮釋錯誤的結果十分嚴重。若是靠認知錯誤而做出的決定,可能會造成災難性的後果。他的研究就是找出七種認知偏見—可能會系統性破壞董事會層級網路安全決定,同時可能會給組織帶來毀滅性結果。
對網路安全提供預算若採被動的方法,會造成惡性循環。資安長難以確保有充足預算進行預防措施,而董事會卻認為他們的組織有足夠的保護,直到重大事件發生。但到這階段,傷害已經造成。
問題源自於如何溝通、詮釋黃燈風險。傳統的燈號報告綠燈屬於低風險、紅燈需要立即採取行動,但黃燈就是模糊地帶—不同利害關係人可以有完全不同的解釋。
Barre說,「資安長可能會認為黃燈接近綠燈,對管理此風險十分樂觀。但董事會成員或許會較悲觀,認為同樣的黃燈風險接近紅燈。這個風險認知的基本差異(亦即我們所稱的模糊偏見),對瞭解和處置網路而言會帶來巨大落差。」
除了前述已提出的模糊偏見,Barre的研究點出了以下六個可能影響網路安全治理的認知偏見(共七個偏見):
*樂觀偏見:引發資安長低估不利影響的可能性。
*悲觀偏見:引發董事會成員認為狀況比實際更糟。樂觀與悲觀兩者結合起來,就會形成「災難性的決策場景」。
*羊群偏見:若有前資安長擔任董事,其他董事可能會認為:該董事認為我們應該走這個方向,那我們就跟隨吧。人們會聽從專家,而不批判性地評估。這個行為不只是在某一次會議發生,董事會也通常會根據競爭者組織的作為做自己的網路安全決定,而不是按自身的風險概況。
*確認偏見:包含以上問題。董事會成員看到媒體上報導勒索軟體攻擊,就會開始關注此特定威脅,逼著資安長解決他們先入為主觀念裡的風險,而非實際上最迫切的實際漏洞。
*過度自信偏見:最造成董事會成員高估自身對網路風險的瞭解,特別是當他們收到新資訊(比如安全查核報告)時,對安全會有錯誤的感覺。
*秉賦偏見(endowment bias):當董事會拒絕改變現有系統時就會出現。Barre說,資安長可能會建議替換一個過時的工具,但董事會成員(尤其是資深的)會說系統已經夠好了,就只是因為我們一直在用。這就是一種讓公司變弱的拒絕改變方式。
當董事會會議時間有限、有很多風險要討論時,就可能會讓黃燈風險變成紅燈,以便有更多時間討論。但這就會創造了危險的模糊性。
該研究顯示,建立和詮釋風險時,落差相當大。當不同利害關係人詮釋同一個安全場景時,資安長可能會將之歸類於紅燈,但董事可能視之為綠燈;但也可能相反。風險評估在根本上的不一致,會破壞整個風險安全治理流程。
Barre說,調查現在還有多少時間是否會影響到風險認知,這十分重要。他說,如果你討論下週就會影響營運的網路安全威脅,董事會成員可能會比較悲觀、更加注意。但若同一個威脅是以後幾個月的,就可能傾向樂觀、比較不擔心。
則,如何解決呢?Barre還在研究以探索是否傳統的燈號報告可以改進,還是需要完全替代。
某些高度可靠的組織已經不用單純的燈號,而是採複雜的儀表板或AI導向的風險評估工具。然而,無論報告系統多複雜,還是有灰色區域存在。
Barre希望董事會成員瞭解,綠黃紅的燈號無法涵蓋所有風險領域。
對資安長而言,該研究顯示認識並積極處理董事會偏見,跟處理技術安全問題一樣重要。Barre結論是:「心理因素干擾會在每個決策流程中出現。關鍵是讓彼此敏銳,並認識到這些偏見會影響到關鍵網路安全決定。」
當網路威脅持續演變、監理壓力增強,組織是無法承受模糊的風險報告。多年來呈現網路安全治理的交通號誌系統,或許本身就需要跟新了。
沒有留言:
張貼留言