几十年来，政府机构、私营企业和非营利组织都在努力教育员工“不要随便点可疑链接”或“不要下载不安全文件”。然而，越来越多的证据显示，这类网络安全意识培训的效果非常有限，甚至可能产生负面影响。

如今，从钓鱼邮件模拟测试到年度宣讲会，网络安全培训已经成为企业防御体系的标配。安全行业普遍认为“人是最薄弱的一环”，而培训则被视为解决方案。然而，事实正在动摇这一共识：多项研究指出，这些培训方式并没有显著降低员工上当受骗的概率，部分情况下甚至让人变得更容易被攻击。

网络安全研究者阿伦·维什瓦纳斯（Arun Vishwanath）形象地比喻道：“意识培训就像医生把药片丢给你，希望你能好起来。可当病人没好转，医生又加大剂量，一次又一次。最后，他们把问题归咎于病人，而不是治疗方式。”

01培训为何无效：频繁测试与嵌入式教学都被质疑

多数组织采用两种方式开展安全培训：周期性测评（如年度或月度测试）和“嵌入式教学”（即用户在钓鱼测试中失败后立即被弹出学习内容）。但研究表明，这两种方法都存在严重问题。

芝加哥大学与加州大学圣地亚哥分校的研究团队在一篇备受关注的论文中指出：“我们没有发现年度安全意识培训能降低钓鱼上当率的证据。”研究显示，无论用户最近是否完成过培训，他们在测试中的表现都没有显著差异。研究作者格兰特·霍（Grant Ho）直言：“年度培训并没有带来新的知识或实质性的防护能力。”

更糟的是，许多补救性课程仅面向“考试失败者”开放。这意味着，尚未被“钓”到的员工得不到学习机会，而他们未来同样可能上当。研究者指出，这种做法效率极低。

瑞士苏黎世联邦理工学院（ETH Zurich）的研究还发现，即便培训确实能提高辨别能力，其效果往往转瞬即逝。研究显示，立即弹出教学并不比次日推送培训材料更有效。更令人担忧的是，嵌入式培训甚至可能带来副作用：员工可能因此产生“过度自信”，误以为“犯错也没关系”，从而更容易被欺骗。

此外，“强制培训”同样未能帮助那些最容易中招的人群。无论是苏黎世联邦理工的实验，还是哈佛大学附属医疗体系在2019年的研究，都发现强制培训并未显著降低高风险人群的点击率。

02“短暂效应”与“行为鸿沟”：知识无法自动转化为防护

即便培训一度奏效，其影响也难以持续。澳大利亚阿德莱德大学的一项综述指出，现有培训项目在“长期行为改变”上的证据极其有限。另一项2020年的研究显示，培训后4个月效果明显，但6个月后改善消失殆尽。

维什瓦纳斯解释说：“人的习惯力量比培训的‘轻推’更强。人们对风险的固有认知惯性太大。”

莱顿大学2024年的一项荟萃分析则进一步揭示：培训确实能提升知识与态度，但对行为改变的实际影响微乎其微。换言之，“知道”不等于“做到”。

牛津大学研究者在2019年发表的论文中也指出：“知识和意识是行为改变的前提，却非充分条件。答对问题，并不代表员工会在真实场景中照做。”

03实验环境“太理想”，研究结果或被高估

许多早期研究都宣称培训有效，但后续分析发现，这些实验往往存在“理想化”的问题。被测试者在实验室中更专注、更警觉，因此结果过于乐观。而现实工作环境下，员工几乎不会像实验中那样积极参与。

澳大利亚团队也指出，在“人为控制的实验条件”下获得的结果，并不能真实反映长期行为转变的情况。莱顿大学的回顾更进一步批评，部分研究样本太小、测试次数不足，甚至仅通过一次培训就得出结论，缺乏说服力。

04如何修复：从灌输知识到塑造习惯

当前学界的共识是：传统培训方式只能带来微弱的防护收益。若要真正改变结果，企业必须彻底改造培训的设计与执行方式。

牛津大学的研究团队建议：

• 不要通过恐吓或羞辱激发学习动机，这种策略无效；

• 培训内容应具体、可操作、可执行；

• 通过持续反馈帮助员工形成安全习惯。

同时，培训还应注重塑造员工对安全的态度，而不仅仅是知识传递。维什瓦纳斯指出，大多数意识培训忽略了行为科学，只追求“规模化灌输”。“这些课程从不探讨‘为什么人会点开链接’。他们忽略了习惯与风险感知的根本问题。”

莱顿大学学者普吕默（Julia Prümmer）也强调：“我们必须先理解是什么让人更容易成为受害者，才能制定有效的培训。”

最终，研究者一致认为，没有任何单一培训方案能适用于所有组织。针对不同风险行为，应采用差异化的培训策略与干预方式。

维什瓦纳斯总结道：“我们花了很多钱，也觉得自己‘做了点什么，但从结果看，网络安全的韧性并没有真正提升。”

文章来源：安全内参