Δημιουργήστε ασφάλεια γύρω από τους χρήστες: Μια ανθρώπινη προσέγγιση για την ανθεκτικότητα στον κυβερνοχώρο

Οι σχεδιαστές τεχνολογίας ξεκινούν κατασκευάζοντας ένα προϊόν και δοκιμάζοντας το στους χρήστες. Το προϊόν έρχεται πρώτο. Η εισαγωγή του χρήστη χρησιμοποιείται για να επιβεβαιώσει τη βιωσιμότητά του και να βελτιωθεί. Η προσέγγιση είναι λογική. Τα McDonald's και τα Starbucks κάνουν το ίδιο. Οι άνθρωποι δεν μπορούν να φανταστούν νέα προϊόντα, όπως δεν μπορούν να φανταστούν συνταγές, χωρίς να τα ζήσουν.

Ωστόσο, το παράδειγμα έχει επεκταθεί και στον σχεδιασμό τεχνολογιών ασφαλείας, όπου κατασκευάζουμε προγράμματα για την προστασία των χρηστών και στη συνέχεια ζητάμε από τους χρήστες να τα εφαρμόσουν. Και αυτό δεν έχει νόημα.

Η ασφάλεια δεν είναι μια εννοιολογική ιδέα. Οι άνθρωποι χρησιμοποιούν ήδη email, περιηγούνται ήδη στον Ιστό, χρησιμοποιούν μέσα κοινωνικής δικτύωσης και μοιράζονται αρχεία και εικόνες. Η ασφάλεια είναι μια βελτίωση που επικαλύπτεται από κάτι που κάνουν ήδη οι χρήστες κατά την αποστολή email, την περιήγηση και την κοινή χρήση στο διαδίκτυο. Είναι παρόμοιο με το να ζητάς από τους ανθρώπους να φορούν ζώνη ασφαλείας.

Ώρα να δούμε την ασφάλεια διαφορετικά

Η προσέγγισή μας στην ασφάλεια, ωστόσο, είναι σαν να διδάσκουμε την ασφάλεια του οδηγού ενώ αγνοούμε τον τρόπο με τον οποίο οδηγούν οι άνθρωποι. Κάνοντας αυτό μόνο διασφαλίζει ότι οι χρήστες είτε υιοθετούν τυφλά κάτι, πιστεύοντας ότι είναι καλύτερο, είτε από την άλλη πλευρά, όταν αναγκάζονται, απλώς συμμορφώνονται με αυτό. Σε κάθε περίπτωση, τα αποτελέσματα δεν είναι βέλτιστα.

Πάρτε την περίπτωση του λογισμικού VPN. Αυτά προωθούνται σε μεγάλο βαθμό στους χρήστες ως απαραίτητο εργαλείο ασφάλειας και προστασίας δεδομένων, αλλά οι περισσότεροι το έχουν περιορισμένη σε καμία ισχύ. Θέτουν τους χρήστες που πιστεύουν στις προστασίες τους σε μεγαλύτερο κίνδυνο, για να μην αναφέρουμε ότι οι χρήστες αναλαμβάνουν περισσότερους κινδύνους, πιστεύοντας σε τέτοιες προστασίες. Επίσης, σκεφτείτε την εκπαίδευση ευαισθητοποίησης σχετικά με την ασφάλεια που επιβάλλεται πλέον από πολλούς οργανισμούς. Όσοι θεωρούν ότι η εκπαίδευση είναι άσχετη με τις συγκεκριμένες περιπτώσεις χρήσης τους βρίσκουν λύσεις, που συχνά οδηγούν σε αμέτρητους κινδύνους ασφαλείας.

Υπάρχει λόγος για όλα αυτά. Οι περισσότερες διαδικασίες ασφαλείας σχεδιάζονται από μηχανικούς με υπόβαθρο στην ανάπτυξη τεχνολογικών προϊόντων. Προσεγγίζουν την ασφάλεια ως τεχνική πρόκληση. Οι χρήστες είναι απλώς μια άλλη ενέργεια στο σύστημα, που δεν διαφέρει από το λογισμικό και το υλικό που μπορούν να προγραμματιστούν για να εκτελούν προβλέψιμες λειτουργίες. Ο στόχος είναι να περιέχει ενέργειες που βασίζονται σε ένα προκαθορισμένο πρότυπο για το ποιες εισροές είναι κατάλληλες, έτσι ώστε τα αποτελέσματα να γίνονται προβλέψιμα. Τίποτα από αυτά δεν βασίζεται στο τι χρειάζεται ο χρήστης, αλλά αντικατοπτρίζει ένα πρόγραμμα προγραμματισμού που έχει καθοριστεί εκ των προτέρων.

Παραδείγματα αυτού μπορούν να βρεθούν στις λειτουργίες ασφαλείας που είναι προγραμματισμένες σε μεγάλο μέρος του σημερινού λογισμικού. Πάρτε εφαρμογές email, μερικές από τις οποίες επιτρέπουν στους χρήστες να ελέγχουν την κεφαλίδα πηγής ενός εισερχόμενου email, ένα σημαντικό επίπεδο πληροφοριών που μπορεί να αποκαλύψει την ταυτότητα ενός αποστολέα, ενώ άλλες όχι. Εναλλακτικά, χρησιμοποιήστε προγράμματα περιήγησης για κινητά, όπου και πάλι, ορισμένα επιτρέπουν στους χρήστες να ελέγχουν την ποιότητα του πιστοποιητικού SSL ενώ άλλοι όχι, παρόλο που οι χρήστες έχουν τις ίδιες ανάγκες σε όλα τα προγράμματα περιήγησης. Δεν είναι σαν να χρειάζεται κάποιος να επαληθεύσει το SSL ή την κεφαλίδα πηγής μόνο όταν βρίσκεται σε μια συγκεκριμένη εφαρμογή. Αυτό που αντικατοπτρίζουν αυτές οι διαφορές είναι η ξεχωριστή άποψη κάθε ομάδας προγραμματισμού για το πώς θα πρέπει να χρησιμοποιείται το προϊόν της από τον χρήστη — μια νοοτροπία που είναι πρώτα το προϊόν.

Οι χρήστες αγοράζουν, εγκαθιστούν ή συμμορφώνονται με τις απαιτήσεις ασφαλείας πιστεύοντας ότι οι προγραμματιστές διαφορετικών τεχνολογιών ασφαλείας προσφέρουν αυτό που υπόσχονται — γι' αυτό ορισμένοι χρήστες είναι ακόμη πιο καμαρωτοί στις διαδικτυακές τους ενέργειες ενώ χρησιμοποιούν τέτοιες τεχνολογίες.

Ώρα για μια προσέγγιση ασφαλείας με πρώτο χρήστη

Είναι επιτακτική ανάγκη να αντιστρέψουμε το παράδειγμα ασφάλειας — να βάλουμε πρώτα τους χρήστες και μετά να δημιουργήσουμε άμυνα γύρω τους. Αυτό δεν συμβαίνει μόνο επειδή πρέπει να προστατεύουμε τους ανθρώπους, αλλά και επειδή, καλλιεργώντας μια ψευδή αίσθηση προστασίας, υποκινούμε τον κίνδυνο και τους κάνουμε πιο ευάλωτους. Οι οργανισμοί το χρειάζονται επίσης για τον έλεγχο του κόστους. Παρόλο που οι οικονομίες του κόσμου έχουν παρασυρθεί από πανδημίες και πολέμους, οι οργανωτικές δαπάνες για την ασφάλεια την τελευταία δεκαετία έχουν αυξηθεί γεωμετρικά.

Η ασφάλεια του χρήστη πρέπει να ξεκινά με την κατανόηση του τρόπου με τον οποίο οι άνθρωποι χρησιμοποιούν την τεχνολογία υπολογιστών. Πρέπει να ρωτήσουμε: Τι είναι αυτό που κάνει τους χρήστες ευάλωτους στο hacking μέσω email, μηνυμάτων, μέσων κοινωνικής δικτύωσης, περιήγησης, κοινής χρήσης αρχείων;

Πρέπει να ξεμπερδέψουμε τη βάση του κινδύνου και να εντοπίσουμε τις συμπεριφορικές, εγκεφαλικές και τεχνικές ρίζες του. Αυτές ήταν οι πληροφορίες που οι προγραμματιστές αγνοούσαν εδώ και καιρό καθώς κατασκεύαζαν τα προϊόντα ασφαλείας τους, γι' αυτό και οι εταιρείες που προσανατολίζονται περισσότερο στην ασφάλεια εξακολουθούν να παραβιάζονται.

Δώστε προσοχή στη διαδικτυακή συμπεριφορά

Πολλές από αυτές τις ερωτήσεις έχουν ήδη απαντηθεί. Η επιστήμη της ασφάλειας έχει εξηγήσει τι κάνει τους χρήστες ευάλωτους στην κοινωνική μηχανική. Επειδή η κοινωνική μηχανική στοχεύει μια ποικιλία διαδικτυακών ενεργειών, η γνώση μπορεί να εφαρμοστεί για να εξηγήσει ένα ευρύ φάσμα συμπεριφορών.

Μεταξύ των παραγόντων που εντοπίστηκαν είναι πεποιθήσεις κινδύνου στον κυβερνοχώρο — ιδέες που έχουν στο μυαλό τους οι χρήστες σχετικά με τον κίνδυνο διαδικτυακών ενεργειών και στρατηγικές γνωστικής επεξεργασίας — πώς οι χρήστες αντιμετωπίζουν γνωστικά τις πληροφορίες, το οποίο υπαγορεύει το πόσο εστιασμένη προσοχή δίνουν οι χρήστες στις πληροφορίες όταν είναι συνδεδεμένοι. Ένα άλλο σύνολο παραγόντων είναι συνήθειες και τελετουργίες των μέσων ενημέρωσης που επηρεάζονται εν μέρει από τους τύπους συσκευών και εν μέρει από τα οργανωτικά πρότυπα. Μαζί, οι πεποιθήσεις, τα στυλ επεξεργασίας και οι συνήθειες επηρεάζουν εάν ένα κομμάτι διαδικτυακής επικοινωνίας — email, μήνυμα, ιστοσελίδα, κείμενο — ενεργοποιεί υποψία.

Εκπαίδευση, μέτρηση και παρακολούθηση υποψιών χρηστών

Η καχυποψία είναι αυτή η ανησυχία όταν συναντάς κάτι, η αίσθηση ότι κάτι είναι απενεργοποιημένο. Σχεδόν πάντα οδηγεί στην αναζήτηση πληροφοριών και, εάν ένα άτομο είναι οπλισμένο με τα σωστά είδη γνώσης ή εμπειρίας, οδηγεί σε εξαπάτηση-ανίχνευση και διόρθωση. Μετρώντας την υποψία μαζί με τους γνωστικούς και συμπεριφορικούς παράγοντες που οδηγούν σε ευπάθεια phishing, Οι οργανισμοί μπορούν να διαγνώσουν τι έκανε τους χρήστες ευάλωτους. Αυτές οι πληροφορίες μπορούν να ποσοτικοποιηθούν και να μετατραπούν σε δείκτη κινδύνου τον οποίο μπορούν να χρησιμοποιήσουν για να εντοπίσουν αυτούς που κινδυνεύουν περισσότερο — τους πιο αδύναμους κρίκους — και προστατέψτε τους καλύτερα.

Καταγράφοντας αυτούς τους παράγοντες, μπορούμε να παρακολουθήσουμε τον τρόπο με τον οποίο οι χρήστες επιλέγονται μέσω διαφόρων επιθέσεων, να κατανοήσουμε γιατί εξαπατούν, και να αναπτύξουν λύσεις για τον μετριασμό του. Μπορούμε να δημιουργήσουμε λύσεις γύρω από το πρόβλημα όπως βιώνουν οι τελικοί χρήστες. Μπορούμε να καταργήσουμε τις εντολές ασφαλείας και να τις αντικαταστήσουμε με λύσεις που σχετίζονται με τους χρήστες.

Μετά από δισεκατομμύρια που δαπανήθηκαν για να θέσουμε την τεχνολογία ασφαλείας μπροστά στους χρήστες, παραμένουμε το ίδιο ευάλωτοι σε κυβερνοεπιθέσεις που εμφανίστηκε στο δίκτυο της AOL τη δεκαετία του 1990. Ήρθε η ώρα να το αλλάξουμε αυτό — και να δημιουργήσουμε ασφάλεια γύρω από τους χρήστες.