【資訊安全|AI應用】人因風險管理(HRM)策略為何不能忽視 AI?Ferrari Group 實踐案例解析
AI 不僅僅是一波技術浪潮,它更是創新與風險的倍增器。在現今的網路環境中,AI 的崛起正在根本性地重塑安全格局。當「人類風險」與「技術風險」的界線逐漸模糊,企業面臨著一個全新的挑戰:我們不僅需要防範人為疏失,還要管理快速增加的AI 代理。這正是為什麼在您的人因風險管理(Human Risk Management, HRM)策略中,絕對不能忽視 AI 的關鍵原因。
人因風險管理是透過數據驅動方式,識別、量化並降低員工行為造成的資安風險。隨著 AI 技術加速網路攻擊複雜度,企業必須將 HRM 升級為整合 AI 偵測、多語言培訓與行為分析的主動防禦策略。本文將透過Ferrari Group 實踐案例解析,說明為什麼企業在人因風險管理決策中絕不能忽視的關鍵原因,以及如何透過 KnowBe4 平台實施強大的 HRM 策略,成功克服全球勞動力的資安挑戰 。
本文章節
什麼是人因風險管理(HRM)?
人因風險管理(HRM, Human Risk Management) 是一套以「人類行為」為核心的網路安全管理方法論,目的是系統性地識別、量化與降低因員工行為所引發的資安風險。
HRM 建立在四個核心支柱上:
| 支柱 | 說明 |
| 系統化風險評估 | 持續評估與人員相關的資安威脅 |
| 個人化員工教育 | 依員工風險等級提供針對性培訓 |
| AI 技術整合平台 | 結合 SOAR、雲端郵件安全與即時教練 |
| 數據持續監控 | 透過行為數據洞察不斷優化策略 |
HRM 不是取代安全意識培訓(SAT),而是將焦點從「意識提升」升級為「可衡量的風險降低」。它補強了傳統培訓一體適用的缺口,利用真實的釣魚測試結果與行為趨勢數據,精準評估個人風險等級。
為什麼 AI 時代的 HRM 更迫切?
三大新型風險威脅
1. 影子 AI(Shadow AI)的擴散
根據調查,高達 40% 的員工 可能已在不知情的狀況下,將企業敏感資訊輸入大型語言模型(LLM)。當資安政策過於僵化,員工為求效率往往另尋變通,在 AI 時代這些行為可能快速放大外洩風險。
2. AI 強化的社交工程攻擊
攻擊者正透過 AI 製作難辨真偽的深度偽造(Deepfakes)影片、語音釣魚(Vishing)自動化電話攻擊,以及高度個人化的魚叉式網路釣魚(Spear Phishing)郵件。超過 95% 的資安專業人士認為 AI 生成內容讓網路釣魚更難以偵測。
3. 未受管理的 AI 代理(AI Agents)
企業快速部署 AI 代理,卻缺乏如同對待人類員工的背景審查與治理機制。這些 AI 代理 24 小時運作、執行力極高,無形中大幅擴大組織的潛在攻擊面。
關鍵數據:為何人是最大風險點?
-
68% 的資料外洩起因於人為因素
-
70–90% 的網路攻擊涉及社交工程
以 AI 對抗 AI:現代 HRM 的運作方式
傳統安全培訓採「一體適用」模式,無法精準應對個人風險差異。現代 HRM 策略必須具備三項核心能力:
-
即時行為測量:持續偵測員工的高風險操作行為
-
AI 驅動的精準預測:在安全事件發生前識別潛在威脅者
-
自動化介入輔導:針對高風險員工即時觸發客製化培訓
KnowBe4 的 HRM 平台即是以此為核心,透過整合釣魚模擬數據、行為趨勢分析與即時安全教練(SecurityCoach),建立自主數據驅動型防禦系統,將員工從被動的風險負債轉化為組織安全的主動參與者。
實踐案例:Ferrari Group 如何將釣魚點擊率降低 64%
企業背景
Ferrari Group 是全球奢侈品安全物流的領導者,業務橫跨 25 個以上國家,擁有超過 1,600 名員工。多語言、跨時區的全球化員工結構,與許多亞太跨國企業高度相似,是最具參考價值的導入案例。
導入前的挑戰
| 問題 | 數據 |
| 初始釣魚模擬點擊率 | 31.3% |
| 提交憑證的員工比例 | 14.5% |
| 培訓語言支援 | 僅英語、法語、義大利語 |
| 主動回報可疑郵件比例 | 1.3% |
多語言覆蓋不足,導致非英語系員工的安全認知存在明顯落差,也造成安全意識的不均衡分布。
KnowBe4 解決方案
Ferrari Group 導入以下工具組合:
-
KnowBe4 安全意識培訓:34 種語言的短片課程,提升全球員工參與度
-
Compliance Plus:合規培訓模組
-
SecurityCoach:即時行為教練,針對高風險操作即時介入
導入後的成果
| 指標 | 導入前 | 導入後 | 改善幅度 |
| 釣魚易受攻擊率(PPP) | 31.3% | 11.4% | ↓ 64% |
| 主動回報可疑郵件率 | 1.3% | 14.2% | ↑ 10 倍 |
| 全球安全培訓完成率 | 未達標 | 80% | ↑ |
「KnowBe4 不僅僅是安全培訓——它是一個戰略產品,幫助我們在全球企業中建立安全與合規的文化。」
— Andrea Succi,Ferrari Group 資訊安全長
如何評估並導入適合的 HRM 平台?
選擇 HRM 合作夥伴時,應依據以下三個維度評估:
1. 人類行為導向
選擇能追蹤實際行為改變、識別個人風險等級的解決方案,而非僅追蹤培訓完成率等表面指標。
2. 技術整合能力
強大的 HRM 平台應能與 SOAR(安全編排自動化與回應)、雲端電子郵件安全閘道,以及 SIEM / EDR 等現有資安基礎設施無縫整合。
3. 多語言與全球化支援
對跨國企業而言,母語培訓是提升參與度與理解力的關鍵。Ferrari Group 的案例印證了語言覆蓋率會直接影響培訓成效,確保員工能以熟悉的語言學習,是成功推動資安文化的必備條件。
KnowBe4 × 邁達特 × METAMatch 策略合作
合作背景與戰略意義
面對 AI 崛起帶來的全新風險格局,KnowBe4 與IT 智能化最佳夥伴 MetaAge 邁達特,以及旗下企業媒合平台 METAMatch 展開合作。借助邁達特深耕的經銷及技術資源與 METAMatch 的企業觸及力,將 AI 時代的人因風險管理知識,系統性地推廣至台灣及亞太地區的企業組織。
合作兩大推進方向
1. AI 風險意識內容推廣
透過邁達特的代理資源,傳播針對 AI 崛起後新型威脅的資訊內容——包含深度偽造識別、影子 AI 防範、AI 代理治理等主題,協助企業決策者與資安團隊建立正確的風險認知框架。
2. METAMatch 企業媒合加速導入
藉由 METAMatch 的企業媒合機制,將 KnowBe4 的 HRM 解決方案精準對接有迫切需求的企業,縮短評估導入週期,讓更多組織能快速啟動釣魚模擬測試與員工培訓計畫。
AI 工具的普及速度遠超企業資安政策的更新速度。對許多台灣中小型企業而言,「不知道風險在哪裡」比「沒有防禦工具」更危險。KnowBe4 與邁達特、METAMatch 的合作,正是要填補這個風險認知缺口——讓更多企業在資安事件發生之前,就已具備識別與應對 AI 威脅的能力。
常見問題(FAQ)
Q1:為什麼企業現在必須轉向 HRM 策略?
由於70–90% 的網路攻擊涉及社交工程,超過 95% 的資安專業人士認為 AI 讓釣魚更難偵測,但企業在人類防護層的安全支出不到 3%。傳統安全教育已不足以應對當前環境,HRM 是必要的策略升級。
Q2:企業該如何將 HRM 落地執行?
企業應採取「以人為本」的策略,將員工視為應被賦能的資產,而非需要被限制的負債 。利用 AI 驅動的適應性技術精準識別高風險行為,並選擇能整合安全意識、行為管理與文化倡議的一體化平台。
Q3:HRM 會取代傳統的安全意識培訓 (SAT) 嗎?
不會,安全意識培訓 (SAT) 仍然是 HRM 策略中極為關鍵的元素 。HRM 代表著安全教育的下一階段演進,它將焦點從「單純的意識提升」轉移到「可衡量的風險降低」 。HRM 解決了傳統培訓「一體適用」的侷限,利用真實的安全事件、釣魚測試結果與行為趨勢等數據,來評估個人的風險等級 。
Q4:評估 HRM 平台時應注意什麼?
優先選擇以人類行為為核心的平台,能整合 SOAR、雲端電子郵件安全與即時安全教練,並提供跨平台數據驅動防禦。最終目標是將員工從被動的風險負債,轉變為組織安全的主動參與者。
Q5:KnowBe4 與邁達特、METAMatch 的合作如何幫助台灣企業?
此次合作將透過邁達特與 METAMatch 的媒合機制,提供台灣企業更便捷的 HRM 諮詢管道、在地化的 AI 風險教育內容,以及更快速的解決方案導入支援。
結語:讓人成為 AI 時代最強的防禦線
AI 正在同時扮演「攻擊加速器」與「防禦工具」兩種角色。KnowBe4 與邁達特、METAMatch 的合作,代表的不只是商業合作,更是一個明確的訊號:在 AI 重塑風險格局的當下,台灣企業需要更主動、更在地、更數據驅動的人因風險管理策略。
立即行動建議:
-
透過 METAMatch AI雲市集的媒合管道,預約 KnowBe4 風險基準評估
-
評估現行培訓的語言覆蓋率與個人化程度
-
建立 HRM 核心指標儀表板,讓資安投資回報可視化
-
將 AI 代理治理納入現有資安政策框架