بناء الأمن حول المستخدمين: نهج الإنسان أولاً للمرونة السيبرانية ذكاء بيانات PlatoBlockchain. البحث العمودي. منظمة العفو الدولية.

بناء الأمن حول المستخدمين: نهج الإنسان أولاً للمرونة السيبرانية

الطابع الزمني: 4 نوفمبر 2022 الساعة 10:00 صباحًا

يبدأ مصممو التكنولوجيا ببناء منتج واختباره على المستخدمين. المنتج يأتي أولاً؛ يتم استخدام مدخلات المستخدم لتأكيد صلاحيتها وتحسينها. هذا النهج منطقي. ماكدونالدز وستاربكس يفعلون نفس الشيء. لا يستطيع الناس تخيل منتجات جديدة، تمامًا كما لا يمكنهم تخيل الوصفات دون تجربتها.

لكن النموذج امتد أيضًا إلى تصميم التقنيات الأمنية، حيث نقوم ببناء برامج لحماية المستخدم ثم نطلب من المستخدمين تطبيقها. وهذا ليس له معنى.

الأمن ليس فكرة مفاهيمية. يستخدم الأشخاص بالفعل البريد الإلكتروني، ويتصفحون الويب بالفعل، ويستخدمون الوسائط الاجتماعية، ويشاركون الملفات والصور. الأمان عبارة عن تحسين يتم وضعه على شيء يفعله المستخدمون بالفعل عند إرسال رسائل البريد الإلكتروني والتصفح والمشاركة عبر الإنترنت. إنه مشابه لمطالبة الناس بارتداء حزام الأمان.

حان الوقت للنظر إلى الأمن بشكل مختلف

ومع ذلك، فإن نهجنا تجاه الأمن يشبه تعليم سلامة السائقين مع تجاهل كيفية قيادة الأشخاص. إن القيام بذلك يضمن أن المستخدمين إما يتبنون شيئًا ما بشكل أعمى، معتقدين أنه أفضل، أو على الجانب الآخر، عندما يضطرون، يلتزمون به فقط. وفي كلتا الحالتين، فإن النتائج دون المستوى الأمثل.

خذ حالة برنامج VPN. يتم الترويج لهذه بشكل كبير للمستخدمين كأداة ضرورية للأمان وحماية البيانات، ولكن معظمهم يمتلكونها يقتصر على عدم الصلاحية. فهي تضع المستخدمين الذين يؤمنون بوسائل الحماية الخاصة بهم في خطر أكبر، ناهيك عن أن المستخدمين يتحملون المزيد من المخاطر، عندما يؤمنون بمثل هذه الحماية. ضع في اعتبارك أيضًا التدريب على الوعي الأمني ​​الذي تفرضه الآن العديد من المنظمات. أولئك الذين يجدون أن التدريب غير ذي صلة بحالات الاستخدام المحددة الخاصة بهم يجدون حلولاً بديلة، مما يؤدي غالبًا إلى مخاطر أمنية لا حصر لها.

هناك سبب لكل هذا. تم تصميم معظم العمليات الأمنية من قبل مهندسين لديهم خلفية في تطوير منتجات التكنولوجيا. إنهم يتعاملون مع الأمن باعتباره تحديًا تقنيًا. المستخدمون هم مجرد إجراء آخر في النظام، لا يختلف عن البرامج والأجهزة التي يمكن برمجتها لأداء وظائف يمكن التنبؤ بها. الهدف هو احتواء الإجراءات بناءً على قالب محدد مسبقًا للمدخلات المناسبة، بحيث تصبح النتائج قابلة للتنبؤ بها. لا يعتمد أي من هذا على ما يحتاجه المستخدم، ولكنه يعكس بدلاً من ذلك أجندة برمجة محددة مسبقًا.

يمكن العثور على أمثلة على ذلك في وظائف الأمان المبرمجة في الكثير من برامج اليوم. لنأخذ على سبيل المثال تطبيقات البريد الإلكتروني، التي يسمح بعضها للمستخدمين بالتحقق من رأس مصدر البريد الإلكتروني الوارد، وهي طبقة مهمة من المعلومات يمكنها الكشف عن هوية المرسل، في حين لا يفعل البعض الآخر ذلك. أو خذ متصفحات الهاتف المحمول، حيث، مرة أخرى، يسمح بعضها للمستخدمين بالتحقق من جودة شهادة SSL بينما لا يسمح البعض الآخر بذلك، على الرغم من أن المستخدمين لديهم نفس الاحتياجات عبر المتصفحات. لا يبدو الأمر كما لو أن شخصًا ما يحتاج إلى التحقق من طبقة المقابس الآمنة (SSL) أو رأس المصدر فقط عندما يكون في تطبيق معين. ما تعكسه هذه الاختلافات هو وجهة النظر المميزة لكل مجموعة برمجة حول كيفية استخدام المستخدم لمنتجها - عقلية المنتج أولاً.

يقوم المستخدمون بشراء متطلبات الأمان أو تثبيتها أو الالتزام بها معتقدين أن مطوري تقنيات الأمان المختلفة يقدمون ما يعدون به - ولهذا السبب يكون بعض المستخدمين أكثر متعجرفة في تصرفاتهم عبر الإنترنت أثناء استخدام هذه التقنيات.

حان الوقت لنهج أمان المستخدم أولاً

من الضروري أن نعكس النموذج الأمني، بحيث نضع المستخدمين في المقام الأول، ثم نبني الدفاع حولهم. وهذا ليس لأننا يجب أن نحمي الناس فحسب، بل لأنه من خلال تعزيز شعور زائف بالحماية، فإننا نثير المخاطر ونجعلهم أكثر عرضة للخطر. تحتاج المنظمات أيضًا إلى هذا للتحكم في التكاليف. حتى مع ترنح اقتصادات العالم من الأوبئة والحروب، فقد زاد الإنفاق على الأمن التنظيمي في العقد الماضي بشكل هندسي.

يجب أن يبدأ أمان المستخدم أولاً بفهم كيفية استخدام الأشخاص لتكنولوجيا الحوسبة. علينا أن نسأل: ما الذي يجعل المستخدمين عرضة للاختراق عبر البريد الإلكتروني والرسائل ووسائل التواصل الاجتماعي والتصفح ومشاركة الملفات؟

ويتعين علينا أن نفك أساس المخاطرة وأن نحدد جذورها السلوكية والدماغية والتقنية. لقد كانت هذه هي المعلومات التي تجاهلها المطورون لفترة طويلة أثناء قيامهم ببناء منتجاتهم الأمنية، ولهذا السبب لا تزال حتى الشركات الأكثر اهتمامًا بالأمن تتعرض للاختراق.

انتبه إلى السلوك عبر الإنترنت

العديد من هذه الأسئلة لقد تم الرد عليها بالفعل. لقد أوضح علم الأمن ما يجعل المستخدمين عرضة للهندسة الاجتماعية. ونظرًا لأن الهندسة الاجتماعية تستهدف مجموعة متنوعة من الإجراءات عبر الإنترنت، فيمكن تطبيق المعرفة لشرح مجموعة واسعة من السلوكيات.

ومن بين العوامل التي تم تحديدها هي معتقدات المخاطر السيبرانية - الأفكار التي يحملها المستخدمون في أذهانهم حول مخاطر الإجراءات عبر الإنترنت، و استراتيجيات المعالجة المعرفية – كيف يتعامل المستخدمون مع المعلومات بشكل معرفي، وهو ما يحدد مقدار الاهتمام المركّز الذي يوليه المستخدمون للمعلومات عند الاتصال بالإنترنت. مجموعة أخرى من العوامل هي عادات وطقوس الإعلام والتي تتأثر جزئيًا بأنواع الأجهزة وجزئيًا بالمعايير التنظيمية. تؤثر المعتقدات وأساليب المعالجة والعادات معًا على ما إذا كان جزء من التواصل عبر الإنترنت - البريد الإلكتروني، أو الرسالة، أو صفحة الويب، أو النص - يؤدي إلى حدوث اشتباه.

تدريب وقياس وتتبع شكوك المستخدم

الشك هو عدم الارتياح عند مواجهة شيء ما، والشعور بأن هناك شيئًا ما معطلاً. فهو يؤدي دائمًا تقريبًا إلى البحث عن المعلومات، وإذا كان الشخص مسلحًا بالأنواع الصحيحة من المعرفة أو الخبرة، فإنه يؤدي إلى اكتشاف الخداع وتصحيحه. من خلال قياس الشك إلى جانب العوامل المعرفية والسلوكية التي تؤدي إلى ثغرة التصيد الاحتيالي، يمكن للمنظمات تشخيص ما يجعل المستخدمين عرضة للخطر. يمكن قياس هذه المعلومات وتحويلها إلى مؤشر مخاطر يمكنهم استخدامه لتحديد الأشخاص الأكثر عرضة للخطر - أضعف الروابط - وحمايتهم بشكل أفضل.

من خلال التقاط هذه العوامل، يمكننا تتبع كيفية اختيار المستخدمين من خلال الهجمات المختلفة، وفهم سبب خداعهم، ووضع الحلول للتخفيف منها. يمكننا صياغة حلول حول المشكلة كما يواجهها المستخدمون النهائيون. يمكننا التخلص من التفويضات الأمنية، واستبدالها بحلول ذات صلة بالمستخدمين.

بعد إنفاق المليارات على وضع تكنولوجيا الأمان أمام المستخدمين، فإننا لا نزال عرضة للهجمات الإلكترونية ظهرت في شبكة AOL في التسعينيات. لقد حان الوقت لتغيير هذا - وبناء الأمان حول المستخدمين.

الطابع الزمني:

اكثر من قراءة مظلمة