2019年5月,馬里蘭州巴爾的摩市政府陷入混亂。網路犯罪分子鎖定了該市許多重要檔案,並要求支付贖金才能解密。市政府拒絕支付贖金。這次攻擊使多項服務癱瘓,包括房地產交易和帳單支付,復原成本攀升至數百萬美元。

麻省理工學院都市研究與規劃學系(DUSP)的11.074/11.274課程(網路安全診所)的大綱,將巴爾的摩的案例作為市政機關和其他公共機構日益常見的勒索軟體攻擊範例。為了因應此類威脅,講師Jungwoo Chun與都市與環境規劃Ford教授Lawrence Susskind於2019年成立了麻省理工學院網路安全診所。自此以來,他們幾乎每學期都開設這門課程。

這個課程就像法律或醫療診所一樣,同時提供學生實務訓練,以及為高風險社區提供免費服務。學生完成教學模組並通過認證考試後,會被分派到團隊為客戶服務。到學期結束時,每個團隊都會提交一份報告,評估客戶在網路攻擊方面的弱點,並提出改善防護的建議。到目前為止,該診所已提供超過40份評估報告,這些報告均保密且免費,主要服務新英格蘭地區的市政機關和醫療保健組織。

2025年,聯邦調查局網路犯罪投訴中心記錄了美國人每天平均2,765起網路攻擊。Chun表示,當這些攻擊襲擊城鎮時,其影響遠超財務層面:「這對我們生活的每一個面向都產生令人恐懼的連鎖效應。」

近年來,針對麻省理工學院診所所服務之客戶社區的網路攻擊,已危及供水、阻礙911和警察服務,並暴露公民個人資料。

儘管許多小型市政機關和醫院是重要基礎設施的入口,但它們卻缺乏受過網路安全訓練的內部人員。目前勞動市場對此類專家的需求遠超過供給,而公共部門的預算很少能與私人公司提供給合格候選人的高薪相匹敵。

根據Comparitech的數據,從2018年到2024年,美國政府實體遭受525次勒索軟體攻擊,約每五天一次,導致估計10.9億美元的停機成本。

Susskind表示:「資金不足的公共和非營利機構需要採取自助途徑。這些組織只需透過免費服務診所的少許指導,就能實施許多低成本措施。」

防禦性社會工程

有些人可能會驚訝地發現,大學的網路安全課程設在電腦科學系之外。Chun是應用社會科學家,專長公共政策與規劃,而Susskind則是衝突解決與共識建立的知名學者。他們為診所發展出的方法稱為「防禦性社會工程」,強調網路安全不僅是技術挑戰。

Chun承認,人工智慧的快速發展已為犯罪分子創造出令人擔憂的新工具——「現在人工智慧不僅能辨識漏洞,還能自行發動攻擊,這真的很可怕」——而聲稱防禦這些攻擊的軟體選單也持續變化。因此,課程會花費相當多的時間在網路安全的技術層面。「但最終,」Chun說,「最大的攻擊途徑仍然是透過人類。」

「社會工程」一詞通常指操縱網路犯罪受害者,使其危害安全的方式(例如,匯款給詐騙者、下載惡意程式碼或洩露敏感資訊)。Susskind與Chun的防禦性社會工程概念同樣植基於人類心理。這種方法強調網路安全必須成為每個人的工作,無論是否具技術背景。

「這是關於人們知道該做什麼、人們做出正確選擇,」Chun說。「這是幫助他們運用現有的資源和預算,投入能長期有效的措施,而非只花錢購買最新的防毒軟體。」

Susskind表示:「具電腦科學背景的學生會對我們重視幫助客戶建立組織能力的程度感到驚訝。學生需要了解客戶社區的領導動態。IT主管無法只做她或他想做的事。他們的預算仰賴地方政府。他們需要批准才能聘用新員工。」

另一方面,Susskind說,規劃或社會科學背景的學生常研究智慧城市創新,卻未學習太多管理相關風險所需的技術。而工程系學生在其他課程中可能未學到人工智慧和先進系統設計的面向——以及對網路安全至關重要的網路法律等主題。網路安全診所旨在補足各學科學生的知識。該課程也透過每學期至少邀請六位來自產業、其他大學、麻省理工學院學術部門、產業及/或相關公共機關的演講者,來拓寬這些學生的視野。

例如,今年春天,講師陣容包括Industrial Data Works創辦人Dan Ricci,講授預算受限環境中能源系統的風險建模;I&C Secure Inc.總裁Gus Serino,講授工業控制系統的操作技術網路安全;以及MassCyberCenter和網路安全與基礎設施安全局的代表,分別概述其州級與聯邦級組織的計畫與措施。

Susskind表示:「有些高度專業化的內容需要學習,特別是關於人工智慧如何改變網路安全,我們需要幫助教學。網路安全領域的變化速度,意味著大多數學者很難跟上。」

改善藍圖

診所學生會在學期前四週為實地任務做準備。一系列線上模組輔以課堂討論,概述針對關鍵都市基礎設施的網路攻擊範圍與性質;檢視與客戶類型最相關的23個風險領域;並為評估過程的每個步驟提供指導。這包括模擬棘手的客戶互動。假如客戶不認真看待學生,或未能提供必要資訊?假如他們主張獲得比事實更正面的評估?

「我從未參加過任何課程,能為如此真實的情境做好準備,」本學期修完這門課程、主修電腦科學與工程的四年級學生Diego Contreras說。

這些模組以考試結束,學生必須第一次就通過才能獲得實地任務。在學期剩餘時間,他們將透過每週課堂會議持續獲得支援,並就草擬報告取得教師意見,但協調團隊活動與建立客戶信任的責任在學生身上。

「你代表麻省理工學院,這是相當大的責任,」Contreras說。「這門課程讓我培養出在其他情境無法發展的人際技巧。」

「專案中最微妙的面向是平衡我們的評估發現,」去年秋天修課、主修數理經濟學與金融的Zev Moore ’26說。「我們的做法是提供重要回饋,同時肯定客戶已採取的正面安全措施,確保我們的報告感覺像是協作式的改善藍圖。」

大多數報告中都會出現某些關鍵建議。例如,建議客戶清查所有連入其網路的硬體與軟體,並追蹤存取權限;定期修補軟體並備份資料;要求多重驗證與頻繁更新密碼;訓練員工不要開啟來自不明來源的附件;準備攻擊應變計畫,釐清權責線,並包含組織對支付贖金的立場;以及僅使用具良好網路安全衛生的供應商。

Susskind表示:「這些項目都不昂貴。合在一起,它們大概能避免80%或更多的網路攻擊可能造成的成本與危險。」

推廣模式

迄今已有超過120名學生在麻省理工學院完成完整課程。準備學生認證的線上模組以大規模開放線上課程形式在MITx免費提供給公眾,課程名稱為關鍵都市基礎設施的網路安全,已吸引數萬名學習者。這些模組也被其他設有網路安全診所的大學採用——部分歸功於麻省理工學院於2021年與加州大學柏克萊分校、印第安納大學和阿拉巴馬大學共同創立的聯盟(目前已有61所會員機構,且持續增加)。

大多數學生團隊在完成建議後結束客戶工作;少數團隊則自願在學期結束後繼續協助執行。在任一情況下,Susskind與Chun都會在每次合作後至少追蹤客戶兩年。

「我們常聽到弱點評估報告成為組織短期、中期與長期議程的藍圖,讓他們更能因應未來的攻擊,」Chun說。「我們主要與IT主管或技術長合作,他們許多人在合作結束後告訴我們,他們已將麻省理工學院的報告分享給市或鎮的領導,並成功說服他們需要額外預算或特定項目。他們將學生報告作為說服的依據:『不只是我說。我們有一個投入時間且值得信賴的團隊,這些就是他們的發現。』

「當一些過去的客戶過了一段時間後再次聯絡我們說:『現在我們有不同的人,我們剛購買新設備。我們可以全部重做一次嗎?』這真的是一次謙卑的經驗,」Chun補充道。