Tehnoloogiadisainerid alustavad toote loomisest ja selle kasutajate peal testimisest. Toode on esikohal; kasutaja sisendit kasutatakse selle elujõulisuse kinnitamiseks ja täiustamiseks. Lähenemine on mõttekas. McDonald’s ja Starbucks teevad sama. Inimesed ei kujuta ette uusi tooteid, nagu ka retsepte, ilma neid kogemata.
Kuid paradigmat on laiendatud ka turvatehnoloogiate kujundamisele, kus me koostame kasutajakaitseprogramme ja palume kasutajatel neid seejärel rakendada. Ja sellel pole mõtet.
Turvalisus ei ole kontseptuaalne idee. Inimesed juba kasutavad meili, sirvivad juba veebi, kasutavad sotsiaalmeediat ning jagavad faile ja pilte. Turvalisus on täiustus sellele, mida kasutajad juba teevad meilide saatmisel, sirvimisel ja võrgus jagamisel. See sarnaneb inimeste turvavöö kinnitamise palumisega.
Aeg vaadata turvalisust erinevalt
Meie lähenemine turvalisusele on aga nagu juhi ohutuse õpetamine, ignoreerides samal ajal inimeste juhtimist. Seda tehes tagatakse, et kasutajad võtavad midagi pimesi omaks, uskudes, et see on parem, või sunniviisiliselt lihtsalt järgivad seda. Mõlemal juhul on tulemused ebaoptimaalsed.
Võtke näiteks VPN-tarkvara näide. Neid reklaamitakse tugevalt kasutajatele kohustusliku turva- ja andmekaitsevahendina, kuid enamikul on piiratud kehtivuse puudumisega. Nad seavad kasutajad, kes usuvad oma kaitsetesse, suuremasse ohtu, rääkimata sellest, et kasutajad võtavad rohkem riske, uskudes sellistesse kaitsetesse. Mõelge ka turvateadlikkuse tõstmise koolitusele, mis on nüüdseks paljude organisatsioonide manustatud. Need, kes leiavad, et koolitus on nende konkreetsete kasutusjuhtude jaoks ebaoluline, leiavad lahendusi, mis sageli põhjustavad loendamatuid turvariske.
Sellel kõigel on põhjus. Enamiku turbeprotsesse kujundavad tehnoloogiatoodete arendamise taustaga insenerid. Nad lähenevad turvalisusele kui tehnilisele väljakutsele. Kasutajad on lihtsalt üks toiming süsteemis, mis ei erine tarkvarast ja riistvarast, mida saab programmeerida täitma etteaimatavaid funktsioone. Eesmärk on sisaldada toiminguid, mis põhinevad eelnevalt määratletud mallil selle kohta, millised sisendid sobivad, et tulemused muutuksid prognoositavaks. Ükski neist ei sõltu kasutaja vajadustest, vaid peegeldab eelnevalt kindlaks määratud programmeerimiskava.
Selle näiteid võib leida turvafunktsioonidest, mis on programmeeritud suure osa tänapäevase tarkvara sisse. Kasutage meilirakendusi, millest mõned võimaldavad kasutajatel kontrollida sissetuleva meili allika päist, mis on oluline teabekiht, mis võib paljastada saatja identiteedi, teised aga mitte. Või võtame mobiilibrauserid, kus mõned jällegi võimaldavad kasutajatel kontrollida SSL-sertifikaadi kvaliteeti, teised aga mitte, kuigi kasutajatel on kõigis brauserites samad vajadused. Keegi ei pea SSL-i või allika päist kinnitama ainult siis, kui ta on konkreetses rakenduses. Need erinevused peegeldavad iga programmeerimisrühma erinevat vaadet selle kohta, kuidas kasutaja peaks nende toodet kasutama – toote-kõigepealt mentaliteet.
Kasutajad ostavad, installivad või järgivad turvanõudeid, uskudes, et erinevate turbetehnoloogiate arendajad täidavad seda, mida nad lubavad – mistõttu on mõned kasutajad selliste tehnoloogiate kasutamisel võrgutoimingutes veelgi kavalerimad.
Aeg kasutajapõhiseks turvameetodiks
Turvaparadigma on hädavajalik muuta – seada kasutajad esikohale ja seejärel ehitada nende ümber kaitse. Seda mitte ainult sellepärast, et me peame inimesi kaitsma, vaid ka seetõttu, et vale kaitsetunde edendamisega õhutame riske ja muudame nad haavatavamaks. Organisatsioonid vajavad seda ka kulude kontrolli all hoidmiseks. Isegi kui maailma majandused on pandeemiatest ja sõdadest taandunud, on organisatsiooni turvakulud viimasel kümnendil geomeetriliselt kasvanud.
Kasutajapõhine turvalisus peab algama arusaamisega, kuidas inimesed arvutitehnoloogiat kasutavad. Peame küsima: mis teeb kasutajad e-posti, sõnumite, sotsiaalmeedia, sirvimise ja failide jagamise kaudu häkkimise suhtes haavatavaks?
Peame riski aluse lahti harutama ja leidma selle käitumuslikud, aju- ja tehnilised juured. See on olnud teave, mida arendajad on oma turbetoodete loomisel pikka aega ignoreerinud, mistõttu rikutakse endiselt isegi kõige turvalisusega seotud ettevõtteid.
Pöörake tähelepanu Interneti-käitumisele
Paljud neist küsimustest on juba vastatud. Turvateadus on selgitanud, mis muudab kasutajad sotsiaalse manipuleerimise suhtes haavatavaks. Kuna sotsiaalne insener on suunatud mitmesugustele võrgutoimingutele, saab neid teadmisi rakendada laia käitumise selgitamiseks.
Tuvastatud tegurite hulgas on küberriski uskumused — ideid, mida kasutajad võrgutoimingute riski kohta meeles peavad, ja kognitiivse töötlemise strateegiad - kuidas kasutajad teavet kognitiivselt käsitlevad, mis määrab, kui palju tähelepanu kasutajad võrgus olles teabele pööravad. Teine tegurite kogum on meedia harjumused ja rituaalid mida mõjutavad osaliselt seadmete tüübid ja osaliselt organisatsioonilised normid. Üheskoos mõjutavad uskumused, töötlemisstiilid ja harjumused seda, kas võrgusuhtlus – e-kiri, sõnum, veebileht, tekst – käivitab kahtlus.
Treenige, mõõtke ja jälgige kasutajate kahtlusi
Kahtlus on see rahutus millegagi kokku puutudes, tunne, et midagi on lahti. Peaaegu alati viib see teabe otsimiseni ja kui inimene on varustatud õiget tüüpi teadmiste või kogemustega, viib see pettuse tuvastamiseni ja parandamiseni. Mõõtes kahtlust koos kognitiivsete ja käitumuslike teguritega, mis viivad andmepüügi haavatavuseni, organisatsioonid saavad diagnoosida, mis muutis kasutajad haavatavaks. Seda teavet saab kvantifitseerida ja teisendada riskiindeksiks, mida nad saavad kasutada kõige enam ohustatud isikute tuvastamiseks. nõrgimad lülid - ja kaitsta neid paremini.
Neid tegureid tabades saame jälgida, kuidas kasutajad erinevate rünnakute kaudu koopteeritakse, mõista, miks neid petetakse, ja töötada välja lahendused selle leevendamiseks. Saame luua probleemile lahendusi, nagu lõppkasutajad on kogenud. Saame kaotada turbemandaadid ja asendada need kasutajate jaoks asjakohaste lahendustega.
Pärast miljardite kulutamist turvatehnoloogia kasutajate ette toomiseks oleme sama haavatavad küberrünnakute suhtes, mis tekkis AOL-i võrgustikus 1990. aastatel. On aeg seda muuta ja luua turvalisus kasutajate ümber.
