NASA的波音星際客機（Starliner）原計劃進行為期7天的太空之旅，但由于推進系統的技術故障，這次任務不斷延期，目前已經擱淺在國際空間站超過60天，為了保住波音星際客機項目的顏面和希望，NASA正一步步將宇航員推向危險邊緣。

從挑戰者號到哥倫比亞號再到波音星際客機，NASA的歷史為我們直觀展示了企業安全文化如何以漸進的、循環的方式墮落和衰變，并反復導致災難性后果。這一現象不僅局限于航天領域，在全球企業的網絡安全文化建設中，同樣存在類似的困境與挑戰。

從挑戰者號到星際客機，NASA的安全文化衰變

在波音星際客機太空擱淺之前，NASA歷史上已經發生過幾次嚴重的航天安全事故，例如1986年的挑戰者號和2003年的哥倫比亞號事故，都是因技術故障與安全文化失效共同導致的慘痛教訓。這些悲劇暴露出，當企業和機構逐漸對風險產生麻痹、忽視潛在問題和“事故三角”的早期危險信號時，“黑天鵝”式的災難隨時都有可能發生。

挑戰者號事故之后，NASA在羅杰斯委員會的建議下對其安全文化進行了大規模改革，鼓勵低層級工程師大膽提出安全隱患，并確保這些問題能夠得到高層管理者的重視。然而，隨著時間的推移，這種改革精神逐漸淡化，到哥倫比亞號事件時，NASA的安全文化再次陷入了對風險的麻痹與漠視。

類似的安全文化循環墮落問題也在波音星際客機項目中顯現出來，盡管工程師對推進系統的潛在問題早有察覺，但這些問題卻未能在決策層得到足夠重視。

網絡安全文化的衰變

這種安全文化的反復或持續衰變在企業網絡安全領域表現得尤為明顯。企業在經歷了重大數據泄露或網絡攻擊后，通常會對安全文化進行反思并實施一系列的改革措施。但隨著時間的推移，安全意識可能會隨著商業壓力的增大而逐漸松懈，最終導致新的安全漏洞和更嚴重的事件。

以萬豪集團、Mailchimp和Facebook為例，這些公司在遭受初次攻擊后，并未能及時采取有效措施防止類似問題的再次發生，導致了更加嚴重的后果：

• 萬豪集團：萬豪集團（Marriott International）在2018年首次披露了其Starwood酒店業務遭遇的數據泄露事件，導致約5億名客戶的個人信息被泄露。這次事件引發了廣泛的關注和批評。然而，令人震驚的是，在2020年，萬豪再次遭受了數據泄露，這次波及了540萬名客戶的信息。兩次泄露事件都揭示出萬豪集團在數據保護和網絡安全上的明顯不足，特別是在加強對已有漏洞的防護方面，未能吸取第一次事件的教訓。
• Mailchimp：郵件營銷公司Mailchimp也經歷了類似的困境。在2022年，Mailchimp兩次遭遇重大數據泄露事件，黑客通過社會工程攻擊獲取了員工的密碼，進而利用公司內部工具竊取了客戶數據。在第一次事件后，Mailchimp聲稱加強了安全措施，但不到六個月后，類似的攻擊再次發生，顯示出公司在漏洞修補和內部安全文化建設方面的不足。
• Facebook：作為全球最大的社交媒體平臺之一，Facebook也曾多次陷入數據泄露的風波中。最著名的事件之一是2018年的劍橋分析（Cambridge Analytica）丑聞，導致8700萬用戶的數據被不當獲取。然而，這并未使Facebook在之后的安全防護上有顯著的改進。2021年，Facebook再次遭遇大規模數據泄露，超5億用戶的個人信息被公開。這些事件反映出，盡管面臨公眾和政府的壓力，Facebook在改善其安全文化上依然存在顯著的缺陷。

事實上，反復發生數據泄露事件的國內外知名企業數不勝數，這些企業在經歷了多次重大數據泄露事件后，雖然短期內加強了安全防護措施并提高了員工的安全意識，但隨著業務擴展和數字化轉型的加速，安全文化再次陷入了“形式化”的陷阱——即表面上強調安全，但實際上缺乏有效的執行和持續的改進。這種形式化的安全文化導致了內部員工對于安全隱患的漠視和管理層對安全問題的忽視，最終引發更為嚴重的數據泄露事件。

網絡安全文化的變革與挑戰

在網絡安全領域，企業安全文化正在經歷一個復雜的演變過程。一方面，隨著全球網絡攻擊頻率和復雜性的增加，越來越多的企業開始認識到構建健康的安全文化對于防范數據泄露的重要性。企業開始投入更多資源進行員工安全意識培訓，鼓勵安全問題的公開討論，并建立更為嚴謹的內部審計機制。這些措施在一定程度上提高了企業的整體安全防護水平。

然而，安全文化的建立并非一蹴而就，且在商業壓力與快速發展的技術環境下，維護這一文化的難度顯著增加。企業必須在保證商業利益與提高安全性之間找到平衡，這種平衡的破裂往往導致安全文化的逐步衰退。特別是在面對新業務拓展和新技術快速應用（如云計算、物聯網等）時，安全文化的缺失可能會迅速放大風險，導致災難性的數據泄露事件。

如何避免衰變：建設可持續的安全文化

要避免企業安全文化的衰變，首先需要認識到安全文化的建立是一項長期的系統性工程，而非一次性的任務。企業應從以下幾個方面入手，構建并維護與安全運營融為一體的，可持續的安全文化：

• 高層支持與參與：高層管理者的支持對于安全文化的建立至關重要。管理層必須不僅在口頭上支持安全文化，還要在資源分配、政策制定和日常決策中體現對安全的重視。
• 持續的教育與培訓：員工的安全意識是安全文化的基石。企業應定期進行安全培訓，并結合實際案例增強員工的危機意識，特別是在如何識別和防范社會工程攻擊方面。與此同時，企業應該鼓勵員工主動報告安全隱患，
• 開放的溝通渠道：企業應建立開放的溝通機制，鼓勵員工主動報告安全隱患，并確保這些問題能夠迅速得到高層的關注與解決。建立一個開放、透明的溝通環境，讓每個人都能為公司的安全貢獻力量。
• 外部審計與持續改進：定期的外部審計有助于發現企業內部潛在的安全問題，并推動安全文化的持續改進。
• 優先處理已知漏洞：安全文化和“安全素養”同樣體現在安全運營中。企業在面對重復攻擊時，最重要的是專注于解決之前暴露出來的具體漏洞。每一次公開的攻擊事件都會給攻擊者提供一個“操作手冊”，教他們如何利用相同的漏洞進行再次攻擊。因此，企業必須優先修復這些已知的安全問題，并確保它們不會再次成為攻擊的突破口。
• 全面的安全態勢調整：除了具體的漏洞修補，企業還需要從整體上調整其安全態勢。例如，實施零信任架構，確保即使攻擊者突破了某個環節，依然無法輕易地在系統內部橫向移動。此外，企業還應強化其數據保護措施，尤其是在數據訪問權限和加密方面，防止敏感信息的再次泄露。
• 引入新技術時將安全放在第一位：在引入新技術（例如AI）時，企業必須進行全面的安全評估，確保新技術不會帶來額外的安全風險。