人性　最脆弱的一環

一般人對電腦駭客的刻板印象是臉色蒼白，埋首在電腦鍵盤前的年輕人，寧可待在房間與電腦為伍，也不願與人往來。但實際上，真正成功的駭客能言善道，光靠耍嘴皮子，就能搞定所有狀況。安全大師史耐爾形容：「業餘的駭客才會攻擊電腦系統。真正專業的，攻擊的對象是人。」
近年最惡名昭彰的駭客凱文．密特尼克，就靠著人性的弱點，攻進美國政府及富士通、摩托羅拉、昇陽等科技公司。二〇〇〇年，服刑近五年之後，密特尼克出席國會的政府電腦安全小組聽證會時表示：「每當我攻擊系統時，我採取的第一步，叫做社會工程攻擊，也就是透過電話，用謊言來操控對方人員。這個策略非常成功，我幾乎不需要動用到技術性攻擊。電腦安全的人性面是最容易被利用，也是最常被忽略的。企業花費數百萬元，裝設防火牆、密碼等安全設施，都只是浪費錢，因為他們忽略了安全鏈中最脆弱的一環。」
換句話說，即使是最精密的安全措施，也擋不了人為疏失。一項由潘塔安全公司進行的調査顯示，倫敦維多利亞車站的通勤人口中，有三分之二的人願意為了一枝原子筆，把電腦密碼告訴別人。另一項調査顯示，將近一半的英國上班族，用自己、家人或寵物的名字做密碼。其他常見的錯誤，還包括將密碼寫在貼紙上，貼在電腦螢幕或附近的白板上。或是外出午飯時，電腦開著不管。更有人將內含機密資料的筆記型電腦，任意放在公共場所。
除非這些基本的錯誤能改正，否則員工將是安全的最大威脅。就連理論上應該比較有安全概念的技術人員也無法免疫。梅塔集團指出，最常見的電腦系統入侵方式，不需要技術，只需要知道任何一位員工的全名及使用者名稱(從電子郵件裡就很容易猜出來)然後冒充是這名員工，打電話給技術人員，說忘了密碼，就能輕易要到。
其實只要用一些簡單的措施，就能以極低的成本，大幅提高安全。
例如，鼓勵員工外出午餐時，記得關掉電腦；選擇密碼時，多費些心思等。密碼最少要有六到八碼，裡面包括數字、英文字母、標點符號。字典査得到的字及個人資訊，最好不要用作密碼。此外，不同的系統，要用不同的密碼，而且使用者不得將密碼透露給任何人，即使是系統管理人員也不行。
只要運用得宜，管理導向的安全系統，要比單靠技術的系統，成本效益更高。因此，企業除了運用安全科技之外，還要訂出一套使用者能了解並遵守的安全規範。不過根據調査，只有一半的上班族曾受過電腦安全訓練。
規範之外，管理與安全，還須更深層的互動。「資訊安全，就是工作流程，」劍橋大學電腦實驗室的安德森表示，加強安全，必須從人員及流程著手，而不是買酷炫的科技產品。愈來愈多電腦科學家開始把經濟理論運用到資訊安全，安德森也是其中之一。他指出，安全漏洞「不是因為缺少合適的技術保護機制，而是出於錯誤的誘因。」例如，理應保護系統的人，既缺乏保護的誘因，出了問題又不必負責。這樣的問題，就是經濟學說的外部性、不對稱資訊及道德風險。
史耐爾預測，要矯正錯誤誘因造成的安全問題，經濟及法律手段，將扮演日益吃重的角色。法律規範財務長必須簽署聲明，保證公司的財務資料正確無誤。同樣，軟體公司的產品如有安全漏洞，將面對法律訴訟，可使得軟體製造商不敢在安全上偷工減料。
電腦安全問題，除了無能及冷漠之外，另一個問題是惡性破壞。根據顧問公司威士達的研究，雖然媒體大幅報導的，都是外來攻繫，但「電腦安全相關的犯罪，大都來自內部」。威士達估計，在損失超過十萬美元的安全破壞案例中，七〇％肇因於不滿的員工。
內部攻擊造成的損害，遠大於外部攻擊。根據CSI/FBI的－項小型調査，內部攻擊對大企業造成的損失，平均為二七〇萬美元，而外部攻擊平均為五萬七千美元。
以科技對抗內部攻擊，困難度很高。這顯示，安全其實主要是人的問題。內部攻擊的根本問題，是管理不善。員工可能因為被降級、未被升遷、覺得薪水太低，或未受重視而心存不滿。改善管理，對處理這樣的問題，遠較科技有效。